日本公認会計士協会は、「イメージ文書により入手する監査証拠に関する実務指針」(監査・保証実務委員会実務指針第104号、以下「実務指針」)を公表しました。
リモートワーク(リモート監査)の進展や電子帳簿保存法の改正等により証憑の保存や受け渡しを電子媒体で行うケースが今後ますます増加すると考えられる中で、会計監査を実施する上で、注意すべき事項が取りまとめられたものとなっていますが、今回は、特にイメージ文書の特徴・リスク、そしてリスクに対応する内部統制に焦点を当てて、整理してみたいと思います。
1.イメージ文書とは?
イメージ文書については、以下のように定義されています。(実務指針.12(5))
情報システムの使用により可読性のある電子データであり、書面の取引証憑と同等の記載内容を保っているデータをいう。ファイル形式としては、PDFファイルや他の画像ファイル(BMP、TIFF、JPEG、PNG等)を想定している。
そして、監査証拠をイメージ文書で入手する場面として、大きく以下の3つパターンが示されています。(実務指針.3)
①電子取引において作成されるイメージ文書
②書面をスキャナ等で電子化したイメージ文書で、企業が法令等に従って電子化したもの
③書面をスキャナ等で電子化したイメージ文書で、監査の過程で監査人が依頼したことで電子化されたもの
①の電子取引において作成されるイメージ文書とは、納品書や請求書等の証憑が電子化されたデータの形式で授受されるものが想定されています。電子取引には、情報システムから出力される一覧型のデータ(実務指針では「システム取引データ」と定義しています)を用いて取引が行われるケースも含まれますが、このシステム取引データについては実務指針の適用範囲からは除かれています。
また、付録1「電子帳簿保存法と本実務指針の適用範囲の関係」及び付録2「スキャナ保存制度を含む電子帳簿保存法」においても、イメージ文書等に関する詳細な説明がなされています。
2.イメージ文書の特徴とリスク
(1)イメージ文書の特徴
イメージ文書には、一般的に以下のような特徴があるとされています。(実務指針.25)
・通常、書面による原本または情報システムから出力された電子データによる原本が存在する。
・その原本が書面か電子データであるかを問わず、様々な機器・ソフトウェアを使用して容易に作成することが可能であり、何度でも作成することができ、さらに複製も容易である。
・視認性の高い外観を伴う一方、それを視認するための機器・ソフトウェアへの依存性が高い。
・使用性(ユーザビリティ)が高く、無償の閲覧・編集ソフトで閲覧・編集が可能であるとともに、検索も容易である。
(2)イメージ文書に係るリスク
イメージ文書に係るリスクは、以下のように整理されています。(実務指針.30)
・データファイルそのものが有するリスク(適切な保全が行われていない場合に生じる可能性が高いリスク)
・ファイルの作成、受領及び保管プロセスにおけるリスク(イメージ文書の利用が企業の業務プロセスに含まれている場合等に生じる可能性があるリスク)
このうち、データファイルそのものが有するリスクとしては、以下のようなケースがあると考えられています。
・複製等による情報漏洩
・改ざんやすり替えなどの不正行為の痕跡が残らない可能性
・作成や編集履歴、作成者や編集者情報が残らない可能性
・ハードウェアの劣化やソフトウェアのサポート終了、ファイル破損等により閲覧が困難となる状況の発生
監査人は、このようなイメージ文書の特徴とリスクを踏まえた上で、企業がどのような内部統制を整備・運用しているのかを理解することが重要になり、また、イメージ文書に係るリスクについて経営者等の企業関係者とのコミュニケーションを通じて共有し、企業のリスク対応を促すことが有益であるとされています。(実務指針.29)
このイメージ文書の特徴とリスクについては、付録4「イメージ文書の特徴とリスク」において詳細な説明がなされています。
3.イメージ文書に対する監査の基本的な考え方
監査基準委員会報告書500「監査証拠」においては、原本で提供された監査証拠は、電子媒体に変換された文書によって提供された監査証拠よりも証明力が強く、原本以外の文書の信頼性は、その作成と管理に関する内部統制に依存することがあるとされています。
イメージ文書は、この電子媒体に変換された文書に該当するため、その証明力はその作成及び保存手続に関する内部統制の有効性に依存することになるとされています。そして、この作成や保存手続に関する内部統制が有効であり、記録や証憑書類の真正性に疑いを抱く理由がない場合には、イメージ文書を真正なもの(監査証拠)として受け入れることができるとされています。(実務指針.17~19)
4.イメージ文書に係るリスクに対応する内部統制
これまでのお話からお分かり頂けるように、企業はイメージ文書の作成、受領及び保管に関する内部統制(以下、「イメージ文書に関する内部統制」)を整備及び運用することが想定され、監査人は以下の2つの観点から理解することが考えられるとされています。(実務指針.37)
データファイルそのものが有するリスクに着目した観点
(観点の例示)
・イメージ文書管理システムの開発管理体制、また、市販のイメージ文書管理システムを利用する場合の体制
・イメージ文書の管理に関連するシステムの管理責任者の設置や管理運用規程の明文化及び周知
・サーバーまたはネットワーク環境の安定性の確保
・イメージ文書を閲覧、編集、移植できなくなった際の対応策
・複製による漏洩を防止または発見するための仕組みや体制
・改ざんやすり替えなどの不正行為を防止または発見するための仕組みや体制
・イメージ文書を作成または編集した実施者及び履歴の管理
ファイルの作成、受領及び保管プロセスにおけるリスクに着目した観点
・イメージ文書作成前の媒体の改ざん、編集等を防止または発見するための仕組みや体制
・見読性を確保してイメージ文書を作成するためのルールの制定及び周知
・イメージ文書の作成過程での操作誤りやデータの差し替え、改ざんを防止または発見するための仕組みや体制
・イメージ文書作成後の書面の保管及び廃棄のルールの制定及び周知
・取引先等の外部から受領したイメージ文書に関する以下の仕組みや体制
①正当な取引先の適切な権限を有している者から送付されたものであうかどうかの確認
②保管の過程での操作誤りやデータの差し替え、改ざんを防止または発見
・イメージ文書の複製を使用した資産の流用等の不正を防止または発見する仕組みや体制
・サイバー攻撃による被害を未然防止または攻撃を受けた場合の復旧に関する仕組みや体制
・イメージ文書の漏洩、破壊等を防止する仕組みや体制
・クラウドストレージを利用する場合のデータセンターが海外に所在することによるカントリーリスクの評価や対応
・システム障害などに対応するための仕組みや体制
・イメージ文書の作成及び保管が外部の受託会社に委託する場合の利用状況
また、監査人は、整備・運用された内部統制についてのモニタリング体制(監視活動)や不正リスク(改ざんの防止)への対応状況についても理解することとされています。(実務指針.40及び41)
企業においては、今後イメージ文書によって証憑を保存するケースが飛躍的に増えるものと考えられますが、イメージ文書が持つリスクに注目して頂き、これまで実施されていた原本の保存管理とは異なる視点での対応が重要になるということをご認識頂く必要があると思われます。
付録5「イメージ文書の特性から生じるリスクに対応するための内部統制の例示」にも監査人の理解の対象となる内部統制の例が具体的に示されており、企業の皆様がイメージ文書に関する内部統制を整備される上で、非常に参考になるものと思われます。
あすかコンサルティング株式会社
【会計コンサルティング担当】津田 佳典
プロフィールはこちらをご覧くださいませ!