監査基準報告書 505 実務ガイダンス第3号
電子的媒体又は経路による確認に係る実務ガイダンス
2 0 1 0 年 5 月 1 8 日
改正 2022 年 10 月 13 日
日本公認会計士協会
監査・保証基準委員会
(実務ガイダンス:第9号)
-目 次-
頁 Ⅰ はじめに.............................................................. 1 Ⅱ 確認依頼への回答が電子化されることの意義.............................. 1 1.確認手続の諸方式.................................................... 1 2.確認依頼への回答が電子的に行われることのメリット.................... 5 3.確認依頼への回答が電子的に行われることのリスク...................... 6 4.電子的回答の信頼性の要件............................................ 6 5.信頼性の要件を実現するための諸方式.................................. 8 6.電子的回答の記載要件............................................... 10 7.確認に関わる機能要件............................................... 12 Ⅲ 監査上の留意点....................................................... 13 1.電子的回答を利用するに当たっての監査手続........................... 13 2.電子的回答システムの信頼性の検討................................... 15 Ⅳ 電子的回答の管理..................................................... 16 1.電子的回答の保存................................................... 16 2.電子的回答の管理................................................... 16 Ⅴ 課題と提言........................................................... 17 1.XBRLの利用..................................................... 17 2.免責事項又は制限条項が記載された電子的回答......................... 17 3.監査意見に及ぼす影響の検討......................................... 18 4.電子的回答システムの検証の推奨..................................... 19 5.電子的回答の仕組みの業界一元化..................................... 19 6.電子的回答と監査証拠の証明力....................................... 19
Ⅰ はじめに
情報技術の発展及び普及に伴い、実務環境において電子メールやファクシミリ、CD-ROM、
ウェブサイトなど様々な電子的媒体(注)又は経路が使用されるようになってきている。この
ような環境のもとで、2008年12月に改訂されたISA505「External Confirmations」において
は、監査人が確認先である第三者(以下「確認回答者」という。)から回答を電子的に受領
した場合に言及した記述がある。また、2009年11月に公表されたIAASB Staff Audit Practice
Alert「EMERGING PRACTICE ISSUES REGARDING THE USE OF EXTERNAL CONFIRMATIONS IN AN AUDIT
OF FINANCIAL STATEMENTS」においても、「ISA505は、電子的確認プロセスの利用又は電子的
確認を監査証拠として受け入れることを妨げているわけではない」との記述がある。
日本公認会計士協会は、数年来の監査証拠の電子化環境の拡大に鑑み、従来から電子的監
査証拠の研究を実施しており、2007年12月には、カナダ勅許会計士協会による報告書
「ELECTRONIC AUDIT EVIDENCE」を「電子的監査証拠」として翻訳出版している。同書は電
子的監査証拠に関する研究の理論編と位置付けられる。
電子的監査証拠に関する実践的な実務ガイダンスとして、当協会は、監査基準報告書505
実務ガイダンス第2号「株式会社証券保管振替機構が発行する残高証明書取得に係る実務ガ
イダンス」を2009年4月に公表している。これは、確認依頼への回答が電子化されている具
体例の一つである株式会社証券保管振替機構が発行する残高証明書について、その取得の際
の監査人の留意事項を取りまとめたものである。
本実務ガイダンスにおいて、電子的回答とは、監査人が監査の過程で実施する確認手続に
おいて、電子的媒体により、又は電子的な経路を通して確認回答者から入手する回答をいう。
本実務ガイダンスにおいては、このような電子的回答について、より一般的な観点に基づ
いて、それを監査上利用する場合の留意点を検討し、電子的回答の管理手続を明らかにする
とともに、将来に向けた課題について提言を行っている。
なお、本実務ガイダンスは、一般に公正妥当と認められる監査の基準を構成するものでは
なく、会員が遵守すべき基準等にも該当しない。また、2010年5月18日時点の最新情報に基
づいている。
Ⅱ 確認依頼への回答が電子化されることの意義
1.確認手続の諸方式
電子的回答を入手する際の方式には様々なものがあるが、ここでは現時点において海外
の金融機関(在日支店を含む。)等で実際に利用されている主なものを列挙する。いずれ
の仕組みにおいても、監査人が確認回答者から得ようとする対象項目がすべて電子的回答
で得られるとは限らないため、監査人は回答される項目が何かを具体的手続を実施する前
(注)本実務ガイダンスでは、記録の保存方法としてUSBメモリ等の磁気記録による保存のほか、例えば、
CD-ROM等の光学記録による保存もあることから、紙媒体以外のこれら保存媒体を総称して電子的媒体と
している。
- 1 -
に確かめることが重要である。
(1) 確認回答者のウェブサイト
確認回答者が自らウェブサイトの仕組みを用意し、固有のURLに確認回答者が確認
回答データを掲載する方法である。監査人は、当該固有のURLにアクセスして確認回
答データを入手する。
① 監査人は、メールアドレスや確認対象項目などを記載した確認依頼状(本実務ガ
イダンスにおいて「確認依頼状」とは、監査人から確認回答者に対して確認依頼を
する文書をいい、紙媒体によるものと電子的によるものの双方を含む。)を確認回答
者に送付する。
② 確認回答者は、確認対象項目への回答(「確認回答データ」)をウェブサイトの固
有のURLに掲載する。
③ 確認回答者は、そのURL及びパスワードを監査人に電子メールで通知する。
④ 監査人は、電子メールに記載されたURLにパスワードを入力してアクセスする。
⑤ 監査人は、確認回答データを電子ファイルの形式で入手する。
上記のプロセスにおいて確認回答者が、ウェブサイトのURLやパスワードを何らか
の方法により監査人に事前に通知しておき、監査人が当該ウェブサイトを利用して確認
対象項目を登録して確認回答者に確認を依頼する方法もある。
(2) 第三者のウェブサイト
確認回答者が指定した第三者サービスプロバイダが用意したウェブサイトの仕組み
において、固有のURLに確認回答者が確認回答データを掲載する方法である。監査人
は、当該固有のURLにアクセスして確認回答データを入手する。
- 2 -
① 監査人は、確認回答者が指定した第三者サービスプロバイダが用意したウェブサ
イトにアクセスし、被監査会社名と確認対象項目をウェブサイト上で登録する。
② 監査人は、確認用IDの生成を要求する。
③ ウェブサイトから被監査会社の担当者に確認用IDが電子メールで送付される。
④ 被監査会社の担当者は、監査人に確認用IDを通知する。
⑤ 監査人はウェブサイトにアクセスし、被監査会社から通知された確認用IDを入
力し、確認を依頼する。
⑥ 確認回答者は、第三者サービスプロバイダから連絡を受け、登録された被監査会
社に係る確認回答データをウェブサイト上に掲載する。
⑦ 監査人はウェブサイトにアクセスし、確認回答データを電子ファイルの形式で入
手する。
(3) CD-ROM等
確認回答者が確認回答データをCD-ROMやUSBメモリなどの電子的媒体に記録し、監
査人に郵送することがある。
① 監査人は、確認依頼状を確認回答者に送付する。
② 確認回答者は、確認対象項目への回答(「確認回答データ」)をCD-ROM等に記録し、
監査人に送付する。
③ 監査人は、確認回答データを電子ファイルの形式で入手する。
- 3 -
(4) 電子メール及びファクシミリ
確認回答者が確認回答データを電子メール又はファクシミリを利用して回答するこ
とがある。ファクシミリの場合、監査人は紙に印刷するか、又は電子データのまま回答
を入手することになる。
① 監査人は、確認依頼状を確認回答者に送付する。
② 確認回答者は、確認対象項目への回答(「確認回答データ」)を電子メール又はフ
ァクシミリにより監査人に送付する。
③ 監査人は、確認回答データを紙媒体又は電子ファイルの形式で入手する。
なお、この場合、監査人は確認回答者が実際に回答を送信したことを電話等によ
り確かめる。
電子メール又はファクシミリを利用する場合、次の方法によることもある。
① 監査人は、被監査会社に確認依頼状の作成を依頼し、被監査会社はそれを作成し
て監査人に提供する。
② 監査人は、受領した確認依頼状に特定の識別記号等を追加した上で、スキャナな
どにより電子文書化する。
- 4 -
③ 監査人は、被監査会社から確認回答者のメールアドレス又はファクシミリ番号を
受領する。
④ 監査人は、提供されたメールアドレスやファクシミリ番号の妥当性や正確性を確
かめる。
⑤ 監査人は、上記②において電子化した確認依頼状を電子メール又はファクシミリ
により確認回答者に送信する。
⑥ 確認回答者は、確認対象項目への回答(「確認回答データ」)を電子メール又はフ
ァクシミリにより監査人に送付する。
⑦ 監査人は、確認回答データを紙媒体又は電子ファイルの形式で入手し、識別記号
等を確かめる。
2.確認依頼への回答が電子的に行われることのメリット
一般的には、確認依頼への回答が電子的に行われることにより、次のメリットが得られ
ると考えられている。
(1) 人為的ミスの低減
現状では、ほぼすべての確認回答データが電子的に保持されていることから、紙媒体
による回答から電子的媒体による回答に変更することにより、確認回答者による回答作
成時の人為的な誤り(紙媒体に転記する際の転記ミスや集計ミスなど)が低減する。ま
た、電子的媒体による方法の場合、一般的にその過程に関与する組織や人間の数が少な
くなるため、誤りが発生する可能性が低減する。
(2) 迅速化、効率化、回収期間の短縮
電子的媒体で回答を作成することにより、確認回答者の業務が効率化され、回答作成
までに要する時間も短縮される。例えば、確認回答者が、従来は支社又は支店ベース等
で作成していた回答を一元管理しているデータを利用して一本化することも可能にな
ると考えられる。また、特定の部署が回答を作成する業務を一括して実施し、効率化す
ることも考えられる。したがって、上記(1)とあわせて監査人側からみた最終的な回答
の回収までに要する期間も短縮されることが見込まれる。
(3) 回収率の向上
紙媒体による回答文書を作成することに比べて、回答の作成に手間がかからない、作
成手続が簡易化又は自動化されている、方式によっては監査人自らがウェブサイト等に
アクセスして入手するなどの理由から、電子的回答においては回収率も大幅に向上する
ことが期待される。
(4) 再発送等の減少
上記(1)の効果などにより、確認回答者からの回答内容に誤り(単純な形式的な誤り
を含む。)がある場合や不明な点などがある場合に監査人が実施する再発送等の件数も
減少することが期待される。
(5) 監査の効率化
電子的回答のデータにXBRL等の仕組みを利用することにより、確認回答者が回答
- 5 -
を作成する業務が効率化される。また、監査人が入手後の確認回答データを監査業務に
おいて活用することが容易となり、監査業務の効率化が進むと期待される。
(6) その他
電子的回答を利用することにより、紙資源の節減や費用の削減といった効果も見込ま
れる。
3.確認依頼への回答が電子的に行われることのリスク
すべての確認は、紙媒体により入手した回答であろうと、電子的媒体により入手した回
答であろうと、妨害、改ざん又は不正行為のリスクを伴う。ただし、回答を電子的媒体に
より入手する場合には、紙媒体の場合に比べて回答の信頼性に影響する可能性がある追加
的なリスクが存在する。例えば、電子的媒体の場合、一般に発信元の立証や確認回答者が
正当な回答権限を有する者であるかどうかを確かめることは容易ではなく、また、改変さ
れていてもそれを検出することは容易ではない。
監査人が監査証拠として電子的回答を利用しようと計画する場合、確認手続を設計する
上で次のリスクが関係すると考えられる。
(1) 回答が適切な情報源から得られていないリスク
電子的媒体による場合、発信元の立証が容易ではないことから、回収した回答が本来
の確認回答者からのものではないときに、それが検出されないリスクが生じる。
(2) 確認回答者が回答権限をもっていないリスク
電子的媒体による場合、確認回答者が正当な回答権限を有する者であるかどうかを確
かめることが容易ではないことから、回収した回答が本来の確認回答者によって記載さ
れていないときに、それが検出されないリスクが生じる。
(3) 情報伝達の完全性(インテグリティ)が確保されないリスク
電子的媒体による場合、その改変を検出するのが容易ではないことから、送受信時に
不適切な介入や改ざんといった不正行為が行われていたときに、それが検出されないリ
スクが生じる。
(4) 確認回答者が回答内容を否認するリスク
電子的媒体による場合、発信元の立証が容易でなく、確認回答者が正当な回答権限を
有する者であるかどうかを確かめることも容易ではないことから、確認回答者が回答内
容を否認したときに、それに対する反証を提示できないリスクが生じる。
これらのリスクは、電子的確認の方法や利用される媒体の組合せに依存して変動すると
考えられる。例えば、第三者サービスプロバイダを経由して入手する電子的回答のリスク
の程度は、当該サービスプロバイダが用意している仕組みに依存すると考えられる。した
がって、監査人は、それぞれの状況に応じた適切な対応を検討する。
4.電子的回答の信頼性の要件
前述したように、電子的回答を利用する場合には、考慮すべきリスクが存在する。監査
- 6 -
人は、これらのリスクを回避し、監査上、従来の紙媒体による回答と同様の信頼性を確保
するための方策を検討する。
電子的回答を監査上使用し得るための信頼性の基本要件は、認証、承認、インテグリテ
ィ及び否認防止である。また、その他として補足的な要件が考えられる。
電子的回答の基本要件として次の要件が必要と考えられる。
(1) 認証
認証とは、情報を作成した人物又は企業を特定できることをいう。
(2) 承認
承認とは、情報が正当な権限をもった人によって準備、処理、改正、訂正、送信、受
信等のそれぞれの処理がなされていることをいう。
(3) インテグリティ
インテグリティとは、情報が作成、処理、送信、保存された場合、意図的又は偶然に
変更又は破壊されていないことをいう。
(4) 否認防止
否認防止とは、情報を送信、受信した人物又は企業が、情報に関わったことの事実又
は情報の内容を拒否することができないことをいう。
(5) その他
電子的回答の信頼性に直接関わるものではないが、上記の信頼性の基本要件のほかに、
監査の実施環境面において、また監査終了後の監査調書としての保管期間において、電
子的回答の信頼性を間接的又は補助的に担保する要件がある。通常は電子的回答を包含
する監査調書として電子的保管に関する配慮がなされるが、ここでは電子的回答の要件
として別個に検討する。電子的回答の信頼性を間接的又は補助的に担保する要件として
は、次のような要件が挙げられる。
① 機密性
監査人は、電子的回答の入手に際して、通信経路からの情報の窃用及び入手後の
機密保持に留意する。
② 加工可能性
監査人が電子的回答の情報を利用して、確認対象項目の金額や数量等の照合、確
認差異の調整手続を実施するために、電子的回答の情報の数値以外の形式を加工で
きるようにする。
ただし、照合や調整手続を実施する際に元の情報が改変されないように留意する。
③ 見読可能性
監査人が電子的回答を見読するためには、一般的にPC等のハードウェアと特定
のソフトウェアが必要であり、これらは電子的回答の発行者や利用者で共通のもの
が前提となる。したがって、監査人は電子的回答を利用するための仕組みを構築す
る際に、必要となるハードウェアやソフトウェアを考慮する。
- 7 -
5.信頼性の要件を実現するための諸方式
ここでは上記4.に述べた信頼性の基本要件を実現するために、現在利用可能ないくつ
かの技術方式を検討する。
(1) 暗号化
暗号化は、第一義的には、インテグリティ及び機密性の要件を確保するために用いら
れる技術である。すなわち発信者と受信者が了解する手順で原文を判読できないように
暗号文に変更し、通常暗号化の際の「鍵」と呼ばれる論理的手順を知らない他者が原文
を把握できないようにすることにより、「鍵」をもつ者が、すなわち暗号化手順を了解
する者だけが、変更された暗号文を原文に復号できることとなる。暗号化を利用した他
の方式との併合による方法で、認証、承認の要件を充足できる場合がある。
(2) 電子署名
電子署名は、署名者である電子署名の作成者が、自らの電子的記名情報を特定の手順
で暗号化し、これを署名に代用するものである。当該署名を発信者本人が作成している
ことは、受信者が発信者の実施した電子署名の手順を確かめることによって識別できる。
電子署名は、認証、承認、否認防止の要件の担保に利用される。また、電子署名が署名
の対象となる文書に付された場合は、インテグリティの要件をも充足する。
紙媒体による確認の場合、監査人の確認依頼状に付される被監査会社の署名若しくは
金融機関届出印又は金融機関の回答に付される金融機関の署名若しくは押印は、通常金
融機関の取引口座を契約した支店等の事業所単位で用いられている。電子的回答につい
ても同様の適用が可能であれば問題はないが、仕組みによっては電子的回答の回答単位
が当該金融機関側において一元的になされる可能性も考えられることから、監査人はど
のような仕組みとなっているかについて留意する。
(3) 秘密鍵方式
秘密鍵方式は、認証、承認、インテグリティ、否認防止の要件を充足するために文書
の発信者と受信者が、双方のみが知る共通の秘密鍵を利用して通信する方式である。他
者が介在しないため機密の保持能力は高いものといえるが、発信者、受信者双方による
秘密鍵の保管と鍵の変更等に関わる連絡方法の煩雑性が利用の支障となることがある。
(4) PKI
PKI(Public Key Infrastructure 公開鍵基盤)は、上記暗号化と電子署名を利用
して、認証、承認、インテグリティ、否認防止の要件を充足し得る方式である。発信者
又は受信者になり得る個人のみが知る秘密鍵と、発信者を特定しようとする受信者又は
受信者を特定しようとする発信者が保持する公開鍵とを利用して、上記の要件を充足す
る。公開鍵は必要とする者に公開されているが、秘密鍵とはペアをなす関係にある。
例えば、発信者が公開鍵で暗号化した文書の平文(原文)を復号できるのは、発信し
た文書を暗号化した公開鍵とペアをなす秘密鍵を保持する者のみである。
- 8 -
---------------------------------------------------------------------------------
< PKIの手順とその概要図 >
送信者
送信
受信者
平文
ハッシュ
アルゴリズム
ハッシュ
メッセージダイ
平文
メッセージダイ
メッセージ
アルゴリズム
ジェスト化する
ジェスト化する
ダイジェスト
メッセージ
ダイジェスト
暗号化
電子署名
復号
メッセージ
ダイジェストの完全
性チェック
メッセージ
ダイジェスト
送信者側秘密鍵
送信者側公開鍵
---------------------------------------------------------------------------------
電子署名を例にしたPKIの手順は、次のとおりである。
(1) 通信のための論理的な鍵として、一つしかない秘密鍵と、その秘密鍵と対をなす公開鍵がある。秘密鍵
で暗号化したものは、公開鍵をもつ者が復号でき、暗号化した者を特定できる。公開鍵で暗号化したもの
は、それと対をなすただ一つの秘密鍵でのみ復号でき、復号する者を特定できる。
(2) 送信対象とする文書である平文を、特定の論理(ハッシュアルゴリズム)でダイジェスト化したメッセ
ージ(以下「ハッシュ値」という。)を作り、さらに送信者の秘密鍵で暗号化して電子署名を作成し、平文
とともに送信する。
(3) 公開鍵をもつ受信者は、受信した平文から送信者と同じ論理でメッセージダイジェストを作成し、さら
に公開鍵で、受信した電子署名を確かめる。これにより、発信者を特定できるとともに受信した電子署名
又は平文は変更されていないことが確かめられる。
---------------------------------------------------------------------------------
(5) タイムスタンプ
タイムスタンプは、文書の改ざん等を防止するために、特定の手順を用いて原文をハ
ッシュ値に変更し、特定日時の標準時とともに確定する技術である。したがって、その
標準時をタイムスタンプ日とする技術的刻印日以降に文書改ざんがなされた場合に発
見することができる。インテグリティの要件にかかわるものであるが、電子署名を伴え
ば、認証、承認、否認防止の要件を充足できる。
- 9 -
---------------------------------------------------------------------------------
< タイムスタンプの認証の手順とその概要図 >
---------------------------------------------------------------------------------
タイムスタンプの認証の手順は、次のとおりである。
(1) 利用者は、タイムスタンプを付す対象の電子文書をハッシュ値として、タイムスタンプ局に申請する。
(2) タイムスタンプ局は、国際標準時情報を保持する時刻配信局から標準時を得ている。利用者から得たハ
ッシュ値に時刻情報とタイムスタンプ局としての電子署名を付したタイムスタンプトークンを利用者に返
信する。
(3) 利用者は、タイムスタンプ局から入手したタイムスタンプトークンを保持し、必要な場合には、タイム
スタンプ局にタイムスタンプトークンを送信してその結果を受け取り、タイムスタンプの認証を得ること
によって、電子文書の改ざん等の有無を確かめることができる。
---------------------------------------------------------------------------------
(6) SSL
SSL(Secure Socket Layer)は、インターネット上で情報を送受信する際に用い
られる通信プロトコルであり、公開鍵暗号方式や秘密鍵暗号方式、電子証明書、ハッ
シュ関数などのセキュリティ技術を組み合わせて、データの盗聴や改ざん、なりすま
しを防ぐことができる。
(7) 認証局のためのWebTrust-EV(以下「EV」という。)
EVは、ウェブサイトを表示した際、そのサイトがWebTrustシールを取得した認証
局を利用している場合、URL表示欄が緑色に変色する仕組みである。このことによ
って、ウェブサイトが実際に存在することを確かめることができる。
6.電子的回答の記載要件
電子的回答の記載要件について、紙媒体による回答と比較して不要となるもの、また、
拡充されるものがある。
(1) 不要となるもの
① 印鑑
- 10 -
印鑑は紙媒体による文書のみに用いられる物理的印章であるから、電子的回答で
は利用しない。仮にイメージ画像など印影を用いたとしても、電子的回答の信頼性
の要件は充足されない。
② 封筒
封筒が確認回答者の特定様式や印刷様式を含む場合は、監査証拠として利用でき
ることがあるが、電子的回答において封筒は用いられない。
③ 消印
消印は紙媒体による回答の回収封筒に押印されるため、投函日、投函場所を想定
し得る重要な証拠となるが、電子的回答には存在しない。類似するものとして電子
的回答には、電子署名日、タイムスタンプ日などが存在する。
(2) 拡充されるもの
① コントロールID
コントロールIDは、電子的回答の発信、回収、調整、保存の各段階での管理や
手続の実施に当たり、電子的回答に付す固有の名称・番号・コードである。紙媒体
による回答のコントロール番号に比べて、多くの用途に活用できる。
② 問合せのメールアドレス
問合せのメールアドレスは、確認回答者からの確認内容の問合せについて、確認
回答者が電子メールを用いることを想定して記載するものである。なお、電話によ
る問合せ又は紙媒体による回答に比べて、簡便で迅速に目的に対応できるが、認証
や機密性等に配慮を必要とする場合が多い。
③ バージョン番号
バージョン番号は、電子的回答について、再発行や訂正のための再確認など、当
初の確認内容と変更が生じた際に、その都度のバージョンを管理するための当初と
の変更回数に応じた管理番号である。
④ その他
監査人が確認依頼を行う場合、現在は依然として紙媒体による別途の確認依頼状
を依頼者名や被監査会社の署名等が記載された文書として用いている場合もあるが、
電子的回答においてこの文書を不要とすることも可能である。この場合は、確認依
頼の際に紙媒体の確認依頼状であれば記載されていた次のような項目の確認回答者
への連絡が求められるものと想定される。
送付日、回答希望日、支店名、口座番号、口座番号の枝番 他
(3) 確認対象項目の網羅性
確認には、確認対象項目について金額等の数値を明示して行うものと、確認対象項目
のみを提示して、金額等の数値を空白にして回答を求めるものとがある。後者について
は、確認対象項目に対するものに該当がない場合は、監査人は、「該当なし」の旨の明
確な回答を入手することを期待している。この点については、電子的回答においても同
様である。
しかしながら、現在の電子的回答を入手する様々な方式においては、回答される項目
- 11 -
が限定されている場合が多い。このような場合には、確認対象項目のすべてにつき「該
当なし」を含めた回答を入手し得ないことになるため、回答された項目以外について、
電子的回答とは別に「該当なし」の旨の文書を追加的に入手する方法が考えられる。
7.確認に関わる機能要件
(1) 確認依頼状
① 確認依頼状がもつ機能
確認を依頼する趣旨を記載した依頼文書(確認依頼状)には、被監査会社を主語と
して、「監査人が確認の手続をしたいから回答してほしい」という旨の文言が記載さ
れており、金融機関宛ての紙媒体による確認依頼状であれば、登録口座の名義と取引
印を押印する形式となっている。これらは、監査人の確認手続の実施を被監査会社が
了解することについて確認回答者に伝える機能を果たしており、確認回答者からみて
被監査会社から発信されたと認証できることになる。これは、確認依頼への回答が電
子的に行われる場合においても同様である。
② 認証のための方策
確認依頼状がもつ機能を実現するための手法としては、次のようなものが考えられ
る。
ア.確認回答者が確認依頼への回答を電子的に行うとしても、監査人は、確認依頼
状を紙媒体によって送付する。
イ.監査人が電子メールで確認を依頼する場合、その電子メールに被監査会社が電
子署名を付すことで被監査会社の了解した電子メールであることが確認回答者に
認証される。
ウ.被監査会社は、事前に確認回答者に識別記号等(メールアドレス等)を知らせ
ておくことで、この識別記号等が記載されている確認を依頼する電子メールは、
被監査会社の意思によるものであることが確認回答者に認証される。
エ.監査人のメールアドレスから、被監査会社の電子署名が付されていない、又は
被監査会社が設定した識別記号等が記載されていない状態で確認を依頼する電子
メールを確認回答者が受信した場合に、その確認回答者は、電話等により被監査
会社から確認手続の了解を得た監査人からの電子メールであることを被監査会社
に確かめる。
また、従来のような紙媒体による回答の方式を単純に電子的な方式に置き換えるのでは
なく、「Ⅱ 1.(1) 確認回答者のウェブサイト」のように確認回答者が残高証明書、残高
確認書用に閲覧サイトを用意し、そこへアクセスするID、パスワードを被監査会社に複
数交付し、そのうちの一つを被監査会社が監査人に利用させるということも考えられる。
この場合、閲覧サイトのURLを事前に知っており、当該サイトにID、パスワードを適
切に入力することで認証がなされることにより、監査人のアクセス権は担保される。
確認回答者から直接ではなく、確認回答者が業務を委託した第三者から電子的回答が発
行される場合があるが、この場合には、第三者である外部委託先が確認回答者に代わって
- 12 -
被監査会社及び監査人を認証できる方式が必要となる。
(2) 確認回答者の特定
① 確認回答者による記述の機能
通常確認依頼に対する回答の冒頭の確認回答者による回答の発行者名や署名等の
記述には、確認依頼状と同様に特有の機能があり、「下記のとおり回答する」旨の文
言とともに、確認回答者が被監査会社から確認を依頼された者であることを監査人が
認証するために、回答した確認回答者の社印等が押印されている。監査人は、電子的
回答においても同様に、確認回答者を認証する機能が確保されていることを確かめる。
② 確認回答者を認証する手段
電子的回答における確認回答者の認証を確保する手段としては、次のようなものが
ある。
ア.電子署名
イ.事前に取り決めたID、パスワード
ウ.事前に通知された固有のURL
エ.SSL、EVによる認証
(3) 監査人の対応
紙媒体による確認から電子的回答による確認に移行する場合、従来の手続と同じ機能
が何らかの形で代替されて保持されていることを監査人は確かめる。その場合、監査人
は、その仕組みや手続の詳細を調査し必要な質問等を行って、確認手続の方式に問題が
ないかどうかを確かめることとなる。
Ⅲ 監査上の留意点
1.電子的回答を利用するに当たっての監査手続
(1) 電子的回答の仕組みの理解
電子的回答については、紙媒体による回答と異なり、「Ⅱ 3.確認依頼への回答が電
子的に行われることのリスク」で述べたリスクが存在するため、回答を入手するまでに
何者かにより改ざんがなされていないことや発信元などを確かめた上で初めて監査証
拠としての証明力をもつということを、監査人は十分留意する。紙媒体による回答の場
合は、監査人が送付した様式に、確認回答者が直接記入して返送されるか、又は様式添
付という形で証明書が返送されるので、このようなリスクは極めて少ない。
確認回答者が回答を電子的回答による旨を通知してきた場合には、まず被監査会社を
経由して、当該電子的回答を入手する仕組みを監査人が十分理解することが重要である。
これは電子的回答の仕組みにより発生するリスクの観点が異なり、そのため監査人がと
るべき手続が異なるからである。
(2) 電子的回答に関する監査人、確認回答者、被監査会社の三者による合意
① 手続の合意
従来の紙媒体による回答から電子的回答に移行するに当たっては、監査人と被監査
会社と確認回答者の三者が移行について合意していることが必要であると考えられ
- 13 -
る。これは、従来の紙媒体による回答の中に含まれている認証やインテグリティを電
子的回答においても確保するためには、当事者である三者が十分にその手続を検討し
た上で実施する必要があると考えられるからである。
② その他の合意
手続の合意の他に留意すべき合意としては、監査人が確認回答者又は第三者サービ
スプロバイダのウェブサイトに直接アクセスする場合における守秘義務や取得した
情報の取扱いなどを定めたシステム利用規約への承諾がある。これは、紙媒体による
回答にはなかった合意ではあるが、電子的回答による場合、その記録が外部に流出し
やすいという特性があるためである。また、外部に流出した場合の損害賠償の有無や
負担する損害額についても検討する。
(3) 確認回答者による監査人の認証
電子的回答の確認回答者は、通常、監査人からの確認依頼については、まず、監査人
に電子的回答を送付又は開示して良いかどうかの認証手続を実施する。認証手続につい
ては各種の方式があり、具体例は次のとおりである。
① 確認回答者が用意したウェブサイトに監査人がアクセスして、確認回答データを入
手する方式
この方式では、紙媒体による回答と同様、まず、監査人が、被監査会社の口座印を
押印した確認依頼状に監査人のメールアドレスを記載して確認回答者に郵送する。そ
して、確認回答者が当該口座印を確かめた後、当該監査人のメールアドレスに電子的
回答を掲載した特定のウェブサイトのアドレスとアクセスする際のパスワードが電
子メールで届くという方式である。
② 確認回答者が指定した第三者サービスプロバイダが用意したウェブサイトに監査
人がアクセスして確認回答データを入手する方式
この方式では、監査人の第三者サービスプロバイダへの事前登録が必要とされてい
る。その後、監査人から確認対象項目のウェブサイト上での指定があると、第三者サ
ービスプロバイダから確認回答者へ通知され、確認回答者が当該確認対象項目をウェ
ブサイト上に掲載するという方式である。
③ 確認回答者から電子メールで回答を入手する方式
この方式では、①の認証方式と同様、監査人は確認依頼状を確認回答者に郵送する
が、その後のプロセスを簡略化し、監査人のメールアドレスに直接電子的回答を送信
する。
(4) 電子的回答の信頼性の検討
電子的回答の信頼性を確かめるための手段として、次のようなものが考えられる。
なお、各項目末尾の括弧内は、検討により確かめられる信頼性の要件(「Ⅱ 4.電子
的回答の信頼性の要件」参照)を示している。
① 電話
電子的回答の信頼性を確かめるための手段として、電話による応答がある。これ
により、監査人は、確認回答者が実際に回答を送信したかどうかを確かめることが
- 14 -
できる。(認証)
② 識別記号等
確認回答者が、監査人と確認回答者のみが知る識別記号等を回答に付すことで、
監査人は、確認依頼状と回収した電子的回答との整合性を確かめことができる。(認
証)
③ 電子署名
監査人は、電子的回答に電子署名を利用することで、回答が誰によって作成され
たのか、また、改ざんが行われていないかどうかを確かめることができる。(認証、
承認、否認防止)
④ 暗号化と復号
電子的回答の信頼性を確かめる手段として暗号化が用いられる場合、監査人は、
実際に入手した確認回答データが暗号化されていることを確かめ、暗号化されてい
るときには入手後の復号が必須となる。(インテグリティ、否認防止)
⑤ タイムスタンプ
監査人は、タイムスタンプの認証を確かめることにより、電子文書の改ざん等の
有無を検討する。(インテグリティ)
⑥ SSL
監査人は、電子的回答の送受信において利用されるウェブサイトにSSLが用い
られているかどうかを確かめることで、改ざんリスクの程度を識別することができ
る。具体的には、まずウェブサイトのURLがhttp://ではなく、https://で始まっ
ているかどうかを確かめ、その後SSLが用いられているウェブサイトにアクセス
し、ウェブブラウザの右下又はURL表示欄に鍵マークが表示されているかどうか
について確かめる。(インテグリティ)
⑦ EV
監査人は、WebTrustシールを取得した認証局を利用しているウェブサイト上で電
子的回答の送受信が行われている場合、URL表示欄が緑色に変色していることを
確かめる。これにより、監査人は、ウェブサイトの運営者の法的実在性や当該ウェ
ブサイトに対する排他的制御の確立がなされていること等を確かめることができる。
(インテグリティ)
なお、監査人は、上記いずれの検討においても、実施した手続及びその結果を監査
調書に記載する。
2.電子的回答システムの信頼性の検討
現状の紙媒体による回答のプロセスは、確認回答者の内部統制に依拠している。一方、
電子的回答のシステム自体の信頼性についても、紙媒体による回答と同様に確認回答者の
内部統制に依拠していることに変わりはないことから、監査人は現状よりも何らかの追加
手続の実施を必要とするものではない。
- 15 -
ただし、電子的回答について、確認回答者から第三者サービスプロバイダ等に発行が委
託されている場合については、電子的回答のシステム自体の信頼性が確認回答者ではなく
第三者サービスプロバイダ等の内部統制に依拠することとなるため、監査人はその信頼性
に留意する。
Ⅳ 電子的回答の管理
1.電子的回答の保存
監査人は、電子的回答を入手した後、電子的回答を監査証拠として保存する。
(1) 電子的媒体による保存
電子的回答を電子的媒体で保存する場合には、監査人は、電子的回答自体の保存のほ
かに電子署名を確かめた旨を別途文書化して監査調書として保存する。これは、電子的
回答とともに確認回答者の電子署名も保存されるが、電子証明書には有効期限があり、
有効期限を過ぎると電子的回答の内容は参照できるものの、その電子署名を確かめるこ
とができなくなるためである。
(2) 紙媒体による保存
監査人は、電子的回答を監査調書として保存することになるが、監査調書を電子的媒
体として保存する仕組みがない場合には、印刷して紙媒体で保存することになる。その
場合、監査人は、電子的媒体での保存の場合と同様に、電子署名を確かめた旨を別途文
書化する。これに加えて、監査人は、印刷の対象となったウェブサイトのURL、電子
メール等で確認回答データを受領した際の電子メールのヘッダー及び添付されていた
確認回答データのファイル名、出力した日時、出力担当者の氏名などを書き込んだ上で
監査調書とする。
(3) 電子的媒体による保存における留意事項
電子的回答は、電子的記録の一種であるから、その記録の閲覧にはシステム依存性の
問題が避けられない。システム依存性とは、電子的記録は、それが記録された媒体を読
み取る機器と読み取ったデータを表示するソフトウェアを動作させることを必要とし、
その一つでも欠けるならば、データを見読できないという特性をいう。したがって、こ
の制約の下で電子的回答を監査証拠として保存する場合、保存期間の経過の間に見読機
器やソフトウェアが利用可能であるかを確かめ続け、必要に応じて将来にわたり見読機
器やソフトウェアで利用可能なようにデータを変換して、保存し直す。
2.電子的回答の管理
(1) 確認回答データの保存
監査人は、電子的回答を電子的記録のまま監査証拠とした場合、監査業務を終了した
後も監査調書を構成する一部として長期間にわたって保存するが、この保存は監査人の
管理下で行う。例えば、確認回答者のウェブサイトへアクセスして残高を確認するよう
な方式の場合、確認回答者がいつまでもウェブサイトに確認回答データを残しておくと
は限らない。したがって、監査人は、ウェブサイトから確認回答データをダウンロード
- 16 -
し監査人のPCに電子的に記録するなど、監査人の管理下で保管する。
(2) ID、パスワード管理
電子的回答の仕組みの中では、多くの場合IDとパスワードの利用が想定される。監
査人は、電子的記録の保存期間中に再度、電子的回答を確かめるためにIDとパスワー
ドが求められるような場合には、IDとパスワードの管理をする。また、確認回答者の
サイトへのアクセスするためのIDとパスワードについては、確認回答者の利用規約に
よりパスワードの定期的な変更が求められるのであれば、監査人は、利用規約に従いパ
スワードを変更する。仮に確認回答者の利用規約でパスワードの定期的な変更が求めら
れていないとしても、監査人は、一定期間におけるパスワードの更新の要否について検
討し、また、監査事務所内での担当者の交代があった場合にはパスワードを更新する。
(3) 暗号化されている電子的回答の保存
電子的回答が暗号化されて監査人へ送付される場合、監査人は、復号して容易に見読
可能な状態にして電子的回答を保存する。この場合、電子署名を確かめた旨を監査調書
に記載する。
Ⅴ 課題と提言
1.XBRLの利用
電子的回答へのXBRLの利用は、監査基準報告書 505 実務ガイダンス第2号「株式会
社証券保管振替機構が発行する残高証明書取得に係る実務ガイダンス」において提起をさ
れている。一般的に、電子的媒体の情報を授受する手段としてPDFやCSVなどの形式
がある。これらの形式に比べてXBRLは、情報の再利用や保守性などの点で優位性があ
ると考えられる。
財務情報や開示書類にXBRLを採用する流れが主流となりつつある現在、財務報告と
の相互運用性や勘定科目に対する拡張性などの点から、電子的回答をXBRL形式で回収
することにより、確認手続が効率化される。電子的回答の様式の統一化は、確認回答者及
び監査人の双方にとって有益である。
2.免責事項又は制限条項が記載された電子的回答
電子的回答では、確認対象項目の性質や確認対象項目に関する確認回答者の知識や回答
権限といった要因以外に回答の信頼性に影響を及ぼすもう一つの要因として、回答に免責
事項又は制限事項が付されているか否かという点について検討が必要な場合がある。
確認に対する回答が紙媒体によるものであれ電子的媒体によるものであれ、確認回答者
が回答に免責事項又は制限事項を付している傾向がある。定型的な免責事項又は制限事項
は、確認対象項目に対する回答内容の信頼性に通常影響を及ぼさない。
一方、免責事項又は制限事項によっては、回答に含まれる情報の網羅性や正確性又は監
査人が当該情報を信頼し、依拠できるかという点に疑義が生じる可能性もある。
実務上遭遇するこのような免責事項又は制限事項の例として、次のような事項が挙げら
れる。
- 17 -
・ 回答は、電子的な情報源から入手されており、確認回答者が保有するすべての
情報が必ずしも当該情報源に含まれているとは限らないとするもの
・ 回答の正確性及び回答が最終版であることが保証されておらず、見解上の相違
が生じる可能性があるとするもの
・ 監査人が、回答にある情報に依拠できない可能性があるとするもの
監査人が、回答を信頼し、依拠できるかどうか及びその度合いは、免責事項又は制限事
項のもつ性質と内容による。特定の状況下において免責事項又は制限事項の影響を確かめ
ることが困難な場合、監査人は、確認回答者に説明を求める、又は法的助言を求めること
が適切であると考えることもある。
免責事項又は制限事項によって確認に対する回答の監査証拠としての信頼性が限定さ
れる場合、監査人は、追加的又は代替的な監査手続を実施することもある。その場合、監
査手続の内容及び範囲は、財務諸表の勘定科目、確認の目的に関連するアサーション、免
責事項又は制限事項のもつ性質と内容及びその他の監査手続により入手される関連情報
等の要因に依存することになると考えられる。監査人が追加的又は代替的な監査手続によ
り十分かつ適切な監査証拠を入手できない場合、監査意見に及ぼす影響について検討する
ことが求められる。
3.監査意見に及ぼす影響の検討
我が国においても、今後確認依頼に対する電子的回答が広がってくる可能性があること
から、電子的回答固有の性格が及ぼす監査意見への影響につき、今後の課題として記載す
る。電子的回答は、その固有の性格から監査証拠としての証明力及び監査意見に及ぼす影
響について検討が必要な場合がある。検討が必要な場合としては、例えば、次のような二
つの場合が考えられるが、いずれの場合においても一律に監査意見に影響を与えるもので
はなく、入手した電子的回答と他の監査手続から得られた監査証拠とを総合的に勘案して、
監査意見に及ぼす影響の有無を検討することになる。
(1) 電子的回答システムについて未検証の場合
確認回答者が電子的回答システムを利用している場合には、監査人は監査証拠として
の信頼性を評価するために、電子的回答のプロセスにおける内部統制(例えば、データ
の処理、回答の準備や作成及び監査人への送信の過程で適用される統制等)について、
独立した第三者が当該プロセスに関する電子的及び手作業による内部統制の整備及び
運用状況を評価していることが望ましいといえる。
この電子的回答プロセスにおける内部統制についての独立した第三者の検証が実施
されていないのであれば、監査人は、監査意見に及ぼす影響について検討することが望
ましい場合もある。
(2) 第三者サービスプロバイダの機能について未検証の場合
確認回答者が、第三者サービスプロバイダを通じた電子的確認依頼状に対してのみ回
答し、監査人が第三者サービスプロバイダを経由するプロセスに依拠する場合には、監
査人は監査証拠としての信頼性を評価するために、確認回答者から第三者サービスプロ
- 18 -
バイダに確認対象項目の回答用データとして送信された情報の信頼性に対する内部統
制と、確認対象項目の回答用データの処理、回答の準備や作成及び監査人への送信の過
程で適用される内部統制について、十分な情報提供を受けることが重要になる。すなわ
ち、第三者サービスプロバイダにおける回答プロセス(確認回答者から確認対象項目の
回答用データを入手し、監査人に対して回答を発信するまでのプロセス)に関する内部
統制に対する独立した第三者による検証報告書は、監査人が当該プロセスに関する電子
的及び手作業の内部統制の整備及び運用状況を評価する上で役立つこととなる。
このような第三者サービスプロバイダにおける回答プロセスに関する内部統制に対
する独立した第三者による検証報告書が入手できないなどの場合には、監査人は、監査
意見に及ぼす影響について検討することが望まれる。
4.電子的回答システムの検証の推奨
確認回答者が、電子的回答システムを自ら運営しておらず、第三者サービスプロバイダ
を利用する場合には、監査人は回答の信頼性を評価するために、確認回答者から第三者サ
ービスプロバイダに確認対象項目の回答用データとして送信された情報の信頼性に対す
る内部統制と、確認対象項目の回答用データの処理、回答の準備や作成及び監査人への送
信の過程で適用される内部統制について、十分な情報提供を受けることが必要となる場合
がある。このため、電子的回答システムについては、第三者サービスプロバイダの内部統
制の整備及び運用状況について、監査人自らが検証するか、独立した第三者による検証報
告書を利用することが望ましい。
5.電子的回答の仕組みの業界一元化
監査人が、電子的回答を入手する過程において、監査の対象となる企業、銀行等の金融
機関、監査法人等が複数関与することになる。銀行等の金融機関ごとに電子的回答の仕組
みを構築した場合には、電子的回答のプロセス、方式及びフォーマットなどが、銀行等の
金融機関ごとに異なる可能性があり、監査の対象となる企業や監査法人等からみた場合に
は、煩雑となる可能性がある。このため、銀行等の金融機関ごとに電子的回答の仕組みを
構築することよりも、業界で一元化された仕組みを構築することにより、銀行等の金融機
関、監査の対象となる企業や監査法人等は、一元化された仕組みで業務を遂行することが
でき、また社会的コストの低減等にも貢献すると考えられる。
6.電子的回答と監査証拠の証明力
監査証拠の証明力は、情報源及び種類により影響を受け、入手される状況により異なる。
一般的に、監査証拠の証明力について次のような考え方がある。
・ 監査証拠は、企業から独立した情報源から入手した場合には、より証明力が強
い。
・ 監査人が直接入手した監査証拠は、間接的に、又は推論に基づいて入手する監
査証拠よりも、証明力が強い。
- 19 -
すなわち、監査証拠として監査人が確認回答者から直接受領する回答は、一般的には企
業が内部的に生成した証拠よりも証明力が強いといえる。
しかしながら、電子的回答については、信頼し得るPKIとタイムスタンプのような情
報技術を組み合わせることにより、確認回答者が作成したものであることが技術的に立証
されるならば、監査人が直接的に入手する回答と被監査会社から間接的に入手した回答と
は、監査証拠の証明力に差異は生じないことが想定される。したがって、情報技術の進展
によって両者の監査証拠の証明力は、同等とみなし得る可能性がある。
以 上
・ 本実務ガイダンス(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映し
ている。
- 監査基準報告書(序)「監査基準報告書及び関連する公表物の体系及び用語」(2022 年
7月 21 日改正)
- 20 -