監査基準報告書 500 実務指針第1号
イメージ文書により入手する監査証拠に関する実務指針
監基報 500 実1
2 0 2 2 年 1 月 2 6 日
改正 2 0 2 2 年 1 0 月 1 3 日
日 本 公 認 会 計 士 協 会
監査・保証基準委員会
(実務指針:第6号)
項番号
適用指針
Ⅰ 本実務指針の適用範囲
1.適用範囲 ...................................................................... 1
2.背景 .......................................................................... 6
3.定義 .......................................................................... 12
Ⅱ 監査の前提条件 .................................................................. 13
Ⅲ イメージ文書に係るリスクの識別と評価
1.リスクの識別と評価 ............................................................ 17
2.イメージ文書の特徴とリスク
(1) イメージ文書の特徴と作成プロセス等の理解 .................................... 24
(2) イメージ文書の特徴を踏まえたリスクへの対応の必要性 .......................... 28
(3) イメージ文書に係るリスクの分類 .............................................. 30
(4) 令和3年度(2021 年度)税制改正による監査への影響 ............................ 32
3.内部統制の理解
(1) 関連する監査基準報告書の要求事項 ............................................ 33
(2) 監査人が理解する内部統制 .................................................... 35
Ⅳ イメージ文書に係るリスクに対応する手続
1.評価したリスクへの対応 ........................................................ 42
2.運用評価手続
(1) 運用評価手続についての留意事項 .............................................. 49
(2) 内部統制の無効化リスクを含む不正リスクの検討 ................................ 55
3.監査証拠として利用する情報の信頼性を検討する手続(イメージ文書の信頼性を確かめるた
めの直接的なテスト) ............................................................ 59
(1) 被監査会社が作成したイメージ文書の真正性を確かめるための手続 ................ 63
(2) 被監査会社が外部から入手したイメージ文書の真正性を確かめるための手続 ........ 66
Ⅴ 適用
付録1 電子帳簿保存法と本実務指針の適用範囲の関係
i
2024/8
付録2 スキャナ保存制度を含む電子帳簿保存法の概要
付録3 イメージ文書と原本
付録4 イメージ文書の特徴とリスク
付録5 イメージ文書の特性から生じるリスクに対応するための内部統制の例示
監基報 500 実1
ii
監基報 500 実1
《適用指針》 《Ⅰ 本実務指針の適用範囲》
《1.適用範囲》
1.本実務指針は、公認会計士又は監査法人(以下「監査人」という。)の監査の過程で入手する監
査証拠が、イメージ文書(第 12 項(5)参照)で提供される場合に係る実務上の指針を取りまとめ
たものである。
2.監査人は、観察や質問等によって得る情報に加えて、書面又は電磁的記録(以下「電子データ」
という。)により監査証拠を入手するが、本実務指針の適用範囲は、電子データのうち、書面の取
引証憑と同等の記載内容を保っている PDF 等のイメージ文書とする。電子データであっても、EDI
(Electronic Data Interchange)取引等によって情報システムで生成される一覧型のシステム取
引データは、イメージ文書とは異なる監査上のリスクを考慮する必要があり、従前からの監査手
続により対応が図られていることから、本実務指針の対象としていない。
また、イメージ文書には、取引情報の授受を一貫して電子データで行う電子取引において作成
されるイメージ文書と、取引情報の授受を書面で行った上でその書面を電子的に保存するために
作成されるイメージ文書があり、本実務指針はこの両方を対象としている。
さらに、原本である書面を電子化する場合には、企業が関連する法令等に従って電子化する場
合と、監査の過程で監査人が依頼したことで電子化される場合があり、本実務指針はこの両方を
対象としている。
3.本実務指針においてこれらの様々なイメージ文書を対象とするのは、監査人が電子化されたイ
メージ文書を監査証拠として取り扱う局面が増加しているためである。こうした状況を踏まえ、
本実務指針は、イメージ文書により入手する監査証拠に対して、適切な監査上の対応を図るため
の指針を取りまとめている。
- 1 -
【図表】本実務指針の対象と適用範囲
図中の枠内が本実務指針の対象である。
監基報 500 実1
監査証拠
質問等に よって得 る情報
書面
電子 データ
システム取引データ (EDI 取引データを 含む)
イメージ 文書
電子取引において作成 されるイメージ文書
書面をスキャナ等で 電子化したイメージ 文書
企業が法令等に従 って電子化
監査の過程で監査 人が依頼したこと で電子化
なお、企業が関連する法令等に従って取引記録等を電子化する場合、本実務指針の適用に当たっ
て特に影響が大きいと考えられる「電子計算機を使用して作成する国税関係帳簿書類の保存方法等
の特例に関する法律」(以下「電子帳簿保存法」という。)の要請事項と本実務指針の適用範囲の関係
を適切に理解することが重要と考えられる。この点については、付録1の「電子帳簿保存法と本実務
指針の適用範囲の関係」を参照されたい。また、付録2ではスキャナ保存制度を含む電子帳簿保存法
の概要をまとめている。さらに、イメージ文書が作成されることが想定される主な場合とその原本
との関係を付録3に図示している。
4.本実務指針の適用に際して関連する監査基準報告書は、主に以下のとおりである。
・ 監査基準報告書 200「財務諸表監査における総括的な目的」
・ 監査基準報告書 210「監査業務の契約条件の合意」
・ 監査基準報告書 315「重要な虚偽表示リスクの識別と評価」
・ 監査基準報告書 330「評価したリスクに対応する監査人の手続」
・ 監査基準報告書 500「監査証拠」
・ 監査基準報告書 580「経営者確認書」
本実務指針は監査証拠の一つであるイメージ文書を対象とするものであるから、上記の中で、
監査基準報告書 500 が特に関連性の高いものとなる。
5.本実務指針は、前述した監査基準報告書に記載された要求事項を遵守するに当たり、当該要求
事項及び適用指針と併せて適用するための指針を示すものであり、新たな要求事項は設けていな
い。
- 2 -
監基報 500 実1
《2.背景》
6.新型コロナウイルス感染症の蔓延下において、企業だけでなく監査人にもリモートワークでの
対応が求められ、被監査会社が監査人へ提出するために書面を PDF に変換するケースが増加して
いる。今後のポストコロナにおいても、経済構造の転換・好循環が実現されるという観点から、企
業のデジタルトランスフォーメーションや働き方改革に向けた動きが加速するとともに、管理部
門を含むリモートワークが定着していくことが予想される。
7.従前より、保管運用コストの削減や、紛失リスクの低減及び検索の利便性の観点から、取引記録
等を紙のままで保存することを義務付ける多数の法令に対して、企業における電子保存を容認す
るための法改正が進められてきた。
2005 年に施行された「民間事業者等が行う書面の保存等における情報通信の技術の利用に関す
る法律」(以下「e-文書通則法」という。)と「民間事業者等が行う書面の保存等における情報通信
の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」(以下「e-文書整備法」
という。e-文書通則法と総称して「e-文書法」という。)を始め、電子帳簿保存法及びその施行規
則(以下「電子帳簿保存法施行規則」という。)の幾度もの改正、デジタル社会形成基本法の制定
とデジタル庁の設置、さらには、2023 年 10 月に予定される適格請求書等保存方式の導入といった
法改正によって、企業における取引記録等の電子化が今後ますます促進されることに疑いの余地
はない。
8.特に、2022 年1月 1 日付けで施行される改正後の電子帳簿保存法では、国税関係書類に係るス
キャナ保存制度について、事前承認制度の廃止、タイムスタンプ要件の緩和、適正事務処理要件
の廃止及び検索要件の緩和といった抜本的な改正が行われている。これらの改正によって、多く
の企業で取引記録等の電子化が進み、紙の原本を廃棄する動きが加速することが予想される。
また、改正後は一定の経過措置が講じられているものの電子取引についてデータを出力した書
面の保存措置が廃止され、電子データによる保存だけが認められることになる。これにより、従前
は書面で保存されていた監査証拠が電子媒体のみで保存され、書面での保存が減少することが見
込まれる。
本改正によって、企業における取引情報の電子化が進められ、企業活動の効率化が図られると
ともに、監査においても電子形式の情報の利活用による監査業務の効率化が期待される。また、こ
の動きは、働き方改革の機運や今般の新型コロナウイルスの感染拡大に対応したリモートワーク
の実施を促進することになると考えられる。
9.監査人は、このような社会環境の動向を理解した上で、企業内外の記録や取引等に関して、書面
による監査証拠のみならず、電子データによる監査証拠に対応した監査手続を実施していくこと
が重要になっている。電子帳簿等保存制度を採用する企業における取引記録等の電子化に当たっ
ては、相互牽制等を要求する適正事務処理要件が廃止されているものの、電磁的記録の正確性、
網羅性、検索可能性等を担保した保管体制の整備が求められており、電子データの真正性を確保
するための内部統制についても、適切に整備及び運用されることが重要である。
また、電子取引において、取引情報として保存された電子データがイメージ文書である場合、受
領又は交付されたイメージ文書とその複製について外観上見分けがつかない可能性があるため、
企業は情報の真正性確保のために、イメージ文書の受領又は交付、その保管に関する内部統制を
- 3 -
監基報 500 実1
適切に整備及び運用することが重要である。
さらに、監査人の要請により被監査会社が PDF 変換を行う場合、当該変換作業に関して、情報
の真正性確保のための対応を被監査会社に対して促すことが重要であると考えられる。
10.このような状況に鑑み、本実務指針は、監査人が監査証拠を電子データの一種であるイメージ
文書で入手する場合に関して実務上の指針を提供することを目的としている。
なお、本実務指針においては、電子帳簿等保存制度を参考とすることが多いが、企業の電子帳簿
等保存制度への準拠や適合の状況に関する監査人の対応について直接に取り扱うものではない。
11.スキャナ保存制度に関して、これまで自主規制・業務本部平成 27 年審理通達第3号「平成 27 年
度税制改正における国税関係書類に係るスキャナ保存制度見直しに伴う監査人の留意事項」及び
IT委員会研究報告第 50 号「スキャナ保存制度への対応と監査上の留意点」を公表し、適正事務
処理要件等の内部統制の整備・運用状況、不正リスク、イメージ文書の証明力を監査人が考慮し
て対応し、被監査会社と原本の保存の必要性について協議することが適切であるとしてきた。
書面からイメージ文書への媒体の変換や電子取引に係るイメージ文書の保存には、種々のリス
クが想定されるが、前述したような電子データの利用に関する社会環境の変化を勘案すると、監
査人が被監査会社とイメージ文書の真正性確保に関する内部統制の整備及び運用の重要性につい
て認識を共有した上で、重要な虚偽表示リスクの程度に応じてイメージ文書を監査証拠として利
用することが合理的と判断できる状況が増加していると考えられる。
したがって、本実務指針では、被監査会社におけるイメージ文書の作成、受領及び保管に関する
内部統制の整備及び運用状況に応じた監査人の評価、並びに不正リスクへの対応についても言及
している。なお、イメージ文書に係る内部統制の整備及び運用状況によっては、監査人は、イメー
ジ文書の信頼性を確かめるための直接的なテストの実施が重要となるため、本実務指針では、当
該直接的なテスト(監査証拠として利用する情報の信頼性を検討する手続)についての指針も併
せて提供している。
《3.定義》
12.本実務指針における用語の定義は、以下のとおりとする。
(1) 書面とは、書面、書類、文書、謄本、抄本、正本、副本、複本その他文字、図形等人の知覚に
よって認識することができる情報が記載された紙その他の有体物をいう(e-文書通則法第二条
参照)。
(2) 電磁的記録とは、電子的方式、磁気的方式その他人の知覚によっては認識することができな
い方式(以下「電磁的方式」という。)で作られる記録であって、電子計算機による情報処理の
用に供されるものをいう(e-文書通則法第二条参照)。本実務指針においては、電子データと表
記する。
(3) 電子取引とは、取引情報(取引に関して受領し、又は交付する注文書、契約書、送り状、領収
書、見積書その他これらに準ずる書類に通常記載される事項)の授受を電磁的方式により行う
取引をいう(電子帳簿保存法第二条参照)。
(4) システム取引データとは、電子データの一種であり、会計システム、その他企業が使用する
業務システム、EDI 等取引システム等情報システムから出力される一覧型のデータをいう。ファ
- 4 -
監基報 500 実1
イル形式としては、システムからそのまま出力されるデータ以外に表計算ソフトや CSV 形式で
出力されたものも含む。
(5) イメージ文書とは、情報システムの使用により可読性のある電子データであり、書面の取引
証憑と同等の記載内容を保っているデータをいう。ファイル形式としては、PDF ファイルや他の
画像ファイル(BMP、TIFF、JPEG、PNG 等)を想定している。
(6) 原本とは、イメージ文書に変換する前の元になったものであり、書面又は情報システムから
出力された可読性のある電子データをいう。本実務指針は、監査の過程で監査人が監査証拠と
して入手する可能性のあるイメージ文書を取り扱っているため、原本という用語をイメージ文
書と対比する目的でこのように定義している。なお、本実務指針では、イメージ文書の作成を前
提としていない書面等についての原本を定義することを目的としていないため、他の法令等に
おける定義とは異なる場合がある。
本実務指針における原本とイメージ文書の関係を付録3に図示している。
《Ⅱ 監査の前提条件》
13.監査基準報告書 210 では、監査人は、監査の前提条件が満たされているかどうかを明確にする
ことが求められる(監基報 210 第2項(1)参照。なお、監査の前提条件の定義については第3項を
参照)。
監査人は、重要な虚偽表示のない財務諸表を作成するために経営者が必要と判断する内部統制
の整備及び運用について経営者が責任を有することを認識し理解していること、又、監査人が監
査の目的に関連して経営者に追加的に依頼する情報を監査人に提供すること、に関して経営者の
合意を得ることが求められている(監基報 210 第4項(2)②及び③イ参照)。
14.監査人は、前項の規定に従い、PDF 等のイメージ文書の情報が企業の財務諸表の作成に関する記
録や証憑書類等に含まれる場合も、イメージ文書の作成、受領及び保管に関する内部統制の整備
及び運用は、経営者が責任を有することに留意する。また、監査人は、イメージ文書の元になった
原本が被監査会社の管理下に存在し、それが監査の目的に関連する情報であり、監査人が監査証
拠として必要と判断する場合には、経営者に対し当該原本の提供を求めることがあることに留意
する。
15.監査基準報告書 580 の規定に従い、監査人に提供される情報及び取引の網羅性を確かめるため
に、監査人は、「監査契約書において合意したとおり、経営者が財務諸表の作成に関連すると認識
している又は監査に関連して監査人が依頼した全ての情報及び情報を入手する機会を監査人に提
供した旨」を記載した経営者確認書の提出を経営者に要請することになる(監基報 580 第 10 項(1)
参照)。
また、監査人は、財務諸表又は財務諸表における特定のアサーションに関連する他の監査証拠
を裏付けるため、財務諸表に関して追加的な確認事項について経営者確認書を入手する必要があ
ると判断する場合がある(監基報 580 第 12 項及び A9 項参照)。
16.前項の規定において、監査人に提供される情報には PDF 等のイメージ文書とその原本も含まれ
る。また、イメージ文書の情報が企業の財務諸表の作成に関する記録や証憑書類等に含まれる場
合において、監査人が必要と判断した場合には、前項の追加的な確認事項として、イメージ文書
- 5 -
監基報 500 実1
の作成、受領及び保管に関連する内部統制の整備及び運用状況に関する確認事項やイメージ文書
の原本の提供に関する確認事項などについての陳述を経営者確認書に含めることがある。
《Ⅲ イメージ文書に係るリスクの識別と評価》
《1.リスクの識別と評価》
17.監査証拠の証明力は、情報源及び種類により影響を受け、入手する状況により異なる(監基報
500 の A5 項)ことから、監査基準報告書 500 第6項では、「監査人は、監査手続を立案し実施する
場合には、監査証拠として利用する情報(外部情報源から入手する情報を含む。)の適合性と信頼
性を考慮しなければならない」とされている。
また、監査基準報告書 500 の A31 項では、例外はあるものの、一般的には、原本によって提供
された監査証拠は、コピーやファックス、フィルム化、デジタル化その他の方法で電子媒体に変換
された文書によって提供された監査証拠よりも、証明力が強く、原本以外の文書の信頼性は、その
作成と管理に関する内部統制に依存することがあるとされている。
18.書面をスキャナ等で電子化したイメージ文書は、監査基準報告書 500 の A31 項でいう「電子媒
体に変換された文書」に該当するため、例外はあるものの、一般的には、書面の原本よりも監査証
拠の証明力が弱いことになる。また、当該イメージ文書の信頼性ひいては監査証拠の証明力は、
その作成及び保存手続に関する内部統制の有効性に依存することになる。
一方、取引情報の授受を一貫して電子データで行う電子取引において受領又は交付したイメー
ジ文書は、原本の複製ではあるが、被監査会社の取引先から受領したイメージ文書の場合、被監査
会社の支配下で変換されたものに比べて、強い証明力を有する監査証拠として取り扱うことが可
能と考えられる場合がある。この場合における証明力は、主にイメージ文書の受領又は交付とそ
の保存手続に関する内部統制の有効性に依存することになる。
19.監査基準報告書 200 の A20 項において、監査人は、「監査証拠として利用する情報の信頼性を検
討することが要求される」が、「記録や証憑書類の真正性に疑いを抱く理由がある場合を除いて、
通常、記録や証憑書類を真正なものとして受け入れることができる」とされている。そのため、例
えば、イメージ文書の受領又は交付とその保存手続に関する内部統制が有効であり、記録や証憑
書類の真正性に疑いを抱く理由がない場合には、通常、イメージ文書を真正なものとして受け入
れることができると考えられる。
20.第 17 項から第 19 項を踏まえ、監査人は、電子取引において受領又は交付したイメージ文書が
複製であることのみを理由に監査証拠として十分かつ適切ではないと判断する、又は、情報の信
頼性を何ら検討せずにイメージ文書が複製元の原本と全く同一の記載内容であると判断する、と
いった先入観を持たず、入手したイメージ文書が有する証明力並びに監査証拠としての十分性及
び適切性を適切に評価して対応することに留意する。
電子取引の進展した社会環境においては、取引に係る情報が当初から書面ではなく電子データ
で作成されることが多く、電子データとして作成又は複製されたイメージ文書をその証明力と関
連する重要な虚偽表示リスクの程度に応じて監査証拠として受け入れて使用する場合がある。
21.これらの点を踏まえ、監査人は、監査証拠がイメージ文書であることに伴う証明力の程度と、対
応する監査リスク(重要な虚偽表示リスク及び発見リスク)の程度を考慮し、監査証拠の十分性
- 6 -
監基報 500 実1
及び適切性の観点から必要と判断する場合に、追加の監査証拠を入手するための手続を実施する
ことに留意する(監基報 330 第 25 項並びに監基報 500 第5項及び A6 項参照)。
追加の監査証拠を入手するための手続を実施する場合にも、被監査会社に原本が保存されてい
れば当該原本に記載されている情報を確かめることも考えられるが、例えば電子取引であれば取
引先等の外部から送付された電子メールなどの送信記録を確かめるといった被監査会社から入手
可能な監査証拠の入手を検討し、さらに証明力が強い監査証拠が必要と判断する場合には取引先
等に直接確認を実施するといった監査リスクに応じた対応を検討することが考えられる。
22.監査人は、企業が作成した情報を利用する場合には、当該情報が監査人の目的に照らして十分
に信頼性を有しているかどうかを評価しなければならないとされている(監基報 500 第8項参照)。
企業が作成した情報をイメージ文書で入手して利用する場合においても、証明力の強い監査証
拠を入手するためには、監査手続に利用する企業が作成した情報の正確性及び網羅性が十分であ
る必要があり(監基報 500 の A49 項参照)、加えて、イメージ文書の作成に係るリスクを識別し評
価することが重要である。
23.イメージ文書に係るリスクの識別と評価に当たり、監査人は、職業的懐疑心を保持することに
より、企業のスキャナ保存や電子取引の利用状況が不正リスク要因の存在を示しているかどうか
を検討し(監基報 240 第 11 項、第 F11-2 項及び第 23 項参照)、イメージ文書の改竄による内部統
制の無効化など不正による重要な虚偽表示リスクを考慮する(監基報 240 第 24 項参照)。
《2.イメージ文書の特徴とリスク》
《(1) イメージ文書の特徴と作成プロセス等の理解》
24.監査証拠として利用する情報を被監査会社が作成したイメージ文書で入手する場合、通常、監
査人は、イメージ文書の特徴とイメージ文書がどのようなプロセスを経て作成されているのか等
に関する理解に基づきリスクの程度を評価する。スキャナ等により作成されるイメージ文書は、
電子データであるという特性から、書面とは異なる特徴を有する。そのため、監査人の入手する
監査証拠が書面から電子媒体であるイメージ文書に形を変えた場合に、被監査会社における重要
な虚偽表示リスクの発生及びそれに対応した内部統制の変化に留意するため、イメージ文書の特
徴と作成プロセス等を監査人が理解することは重要である。
25.イメージ文書には一般的に次のような特徴がある。
(1) 原本の存在
通常、イメージ文書には書面による原本又は情報システムから出力された電子データによる
原本が存在する。
(2) 原本からの作成と複製の容易性
イメージ文書は、その原本が書面か電子データであるかを問わず、スキャナ、スマートフォン
やデジタルカメラ等の機器、又は文書作成ソフト、表計算ソフト等のオフィスソフトを使用して
容易に作成することが可能であり、何度でもイメージ文書を作成することができる。さらにイメ
ージ文書からの複製も容易である。
(3) 電子機器等への依存
イメージ文書は、書面と同様に視認性の高い外観を伴っているという特徴があるが、イメージ
- 7 -
監基報 500 実1
文書を視認するための電子機器などのハードウェアとオペレーティングシステムなどのソフト
ウェアに依存する。そのため、ハードウェアの劣化、ソフトウェアのサポート終了、ファイルの
破損等により大きな影響を受ける。
(4) 使用性が高い
イメージ文書は、使用性(ユーザービリティ)が高い。無償の閲覧・編集ソフトで閲覧及び編
集が可能であるとともに、検索も容易である。また、データ項目を取り出してデータベース等に
移植することで、より高度な検索や活用が可能となる。
26.付録4「イメージ文書の特徴とリスク」に、イメージ文書の特徴に関する詳細が示されている。
27.イメージ文書の特徴を踏まえ、監査人は、被監査会社がどのように原本を入手又は作成してい
るか、どのようにイメージ文書を作成、受領し保管しているのかに関するプロセス並びにイメー
ジ文書に係る重要な虚偽表示リスクに対して被監査会社が整備及び運用している内部統制を理解
することが重要である。
《(2) イメージ文書の特徴を踏まえたリスクへの対応の必要性》
28.監査人は、イメージ文書の特徴とその作成、受領及び保管に関する内部統制の理解を踏まえた
上で、書面とは異なるイメージ文書の性質に伴う発見リスクの程度を評価する。この評価に際し
ては、第 17 項のとおり監査基準報告書 500 第6項及び A31 項を考慮することになる。また、監査
人は、第 21 項のとおり、監査基準報告書 330 第 25 項並びに監査基準報告書 500 第5項及び A6 項
を考慮し、必要と判断する場合に追加の監査証拠を入手するための手続を実施することに留意する。
29.監査人は、イメージ文書に係るリスクについて、経営者、監査役等及び内部監査部門とのコミュ
ニケーションを通じて共有し、企業のリスクへの対応を促すことが有益であると考えられる。
《(3) イメージ文書に係るリスクの分類》
30.イメージ文書に係るリスクは、データファイルそのものが有するリスク、ファイル作成、受領及
び保管プロセスにおけるリスクの二つに分類できる。データファイルそのものが有するリスクは、
適切な保全が行われていない場合に生じる可能性が高いリスクである。ファイル作成、受領及び
保管プロセスにおけるリスクは、イメージ文書の利用が企業の業務プロセスに含まれている場合
等に生じる可能性があるリスクである。
(1) データファイルそのものが有するリスクとして、例えば以下が考えられる。
・ 複製等による情報漏洩
・ 改竄やすり替えなどの不正行為の痕跡が残らない可能性
・ 作成や編集履歴、作成者や編集者情報が残らない可能性
・ ハードウェアの劣化やソフトウェアのサポート終了、ファイル破損等により閲覧が困難と
なる状況の発生
(2) ファイル作成、受領及び保管プロセスにおけるリスクの識別に当たっては、例えば以下を考
慮する。
・ イメージ文書に変換する前の媒体が書面であるか電子データであるか
・ イメージ文書の変換前、変換過程、変換後のいずれの局面におけるリスクであるか
- 8 -
監基報 500 実1
・ イメージ文書の作成が企業の内部と外部のどちらで行われたか
・ 企業が外部から入手したイメージ文書をどのように受領し保管しているか
・ イメージ文書管理システム等の利用を含むイメージ文書の管理方法、及び保管されたイメ
ージ文書のセキュリティ対策がどのように実施されているか
・ イメージ文書の複製を利用した経費の二重計上や収益の架空計上等に関するリスクを低減
する内部統制を有効に整備することが可能かどうか
どのようなリスクを監査上のリスクとして識別するのかは監査業務により異なる。識別したリ
スクは、いずれも企業によるイメージ文書の作成、受領及び保管に関する内部統制(IT全般統制
を含む。)により対応されるものであるため、内部統制の理解が重要である。
31.付録4「イメージ文書の特徴とリスク」にイメージ文書に係るリスクの詳細が示されている。
《(4) 令和3年度(2021 年度)税制改正による監査への影響》
32.令和3年度(2021 年度)税制改正により、国税関係書類の電子的な保存のための要件が緩和さ
れており、イメージ文書の保存に関して以下に留意する。
(1) 適正事務処理要件が廃止され、スキャナ保存後直ちに書面による原本を廃棄することが可能
であり、原本の保管コスト等の観点から、スキャナ保存対応を行う企業が増加することが想定
される。
(2) 電子取引により入手したイメージ文書について、印刷されたものではなく電子データ自体を
保存することが義務付けられた。そのため、イメージ文書による保存が増加することが想定さ
れる。これに伴って、イメージ文書が、企業が法令に従って作成しているものであるか、監査人
の依頼により電子化されたものであるかについて、外観上は判別できなくなることがある。
(3) 財務報告に係る内部統制の整備及び運用が不十分な場合、書面による原本が廃棄されること
によって、イメージ文書の真正性を確かめられなくなる可能性がある。また、会計記録に関する
原本の廃棄は、監査における内部統制の検証プロセス、リスク評価手続及び実証手続に影響を
及ぼすことがある。
《3.内部統制の理解》
《(1) 関連する監査基準報告書の要求事項》
33.監査基準報告書 500 第6項及び A31 項を踏まえると、一般的には、企業にもともと存在してい
る書面の原本が、書面のまま監査証拠として提供された場合は、企業により書面から電子媒体に
変換されたイメージ文書が監査証拠として提供された場合よりも、証明力が強く、書面以外で提
供された監査証拠の信頼性は、その作成、受領及び保管に関する内部統制に依存することがある。
また、企業が取引先等の外部からイメージ文書で入手した電子データがそのまま監査証拠として
提供された場合の証明力と信頼性についても、その受領と保管に関する内部統制に依存すること
がある。監査基準報告書 315 第 24 項(1)及び第 25 項(1)では、監査人は、リスク評価手続として
「重要な取引種類、勘定残高又は注記事項に関する企業の情報処理活動の理解」、及び「統制活動
のうちアサーション・レベルの重要な虚偽表示リスクに対応する」一定の内部統制の識別及び評
価により統制活動の理解を実施しなければならないとされている。また、監査基準報告書 315 の
- 9 -
監基報 500 実1
A136 項を踏まえると、監査証拠として利用する情報を PDF 等のイメージ文書で入手するに当たっ
ては、情報の信頼性を評価するために、被監査会社によるイメージ文書の作成及び取引先等外部
からのイメージ文書の受領並びにそれらの保管についてのプロセスに係る内部統制を理解するこ
とが重要である。
34.監査人は、関連する内部統制を理解する際に、監査基準報告書 315 第 25 項(4)に従い、内部統
制のデザインを評価し、これらが業務に適用されているかどうかについて、企業の担当者への質
問とその他の手続を実施して評価する。
《(2) 監査人が理解する内部統制》
《① 統制活動》
35.イメージ文書に係るリスクは、データファイルそのものが有するリスク、ファイル作成、受領及
び保管プロセスにおけるリスクの二つに分類できる。いずれのリスクも、従業員等による不正又
は誤謬をもたらし、その結果、資産の保全を困難とし、また、財務数値を誤り企業の説明責任を全
うできなくなるおそれを生じさせることから、経営者は、これらのリスクを低減する適切な内部
統制を整備及び運用する責任を有する。
36.重要な虚偽表示リスクに対応する統制活動として、経営者がイメージ文書の作成、受領及び保
管に関する内部統制(IT全般統制を含む。)を整備及び運用することが考えられるため、監査人
は、第 35 項に記載の二つのリスクそれぞれに対して経営者が整備及び運用している内部統制を理
解することが考えられる。なお、付録5「イメージ文書の特性から生じるリスクに対応するため
の内部統制の例示」に、監査人による理解の対象となる内部統制の例を示している。
37.監査人は、経営者が整備及び運用しているイメージ文書の作成、受領及び保管に関する内部統
制(IT全般統制を含む。)を理解するに当たっては、例えば以下の観点から理解することが考え
られる。ただし、内部統制は、個々の被監査会社の実情に応じて整備及び運用されるものである
ため、以下の観点は、飽くまで例示であり、これらが該当しない場合があり、また網羅的に示すも
のでもない。
(1) データファイルそのものが有するリスクに着目した観点
・ イメージ文書管理システムの開発は、適切な開発管理体制の下で行われたか、又は市販の
イメージ文書管理システムを利用する場合には、適切に取得及び導入が行われる体制が構築
されているか。
・ 関連システムの管理責任者を定めるとともに、アクセス権の管理やバックアップの実施な
どの項目が管理運用規程として明文化され、周知されているか。
・ サーバー又はネットワーク等の環境の安定性を確保するための仕組み・体制が構築されて
いるか。
・ イメージ文書を閲覧、編集、移植できなくなった際の対応策を定めているか。
・ 複製による漏洩を防止又は発見するための仕組み・体制が構築されているか。
・ 改竄やすり替えなどの不正行為を防止又は発見するための仕組み・体制が構築されている
か。
・ イメージ文書を作成又は編集した実施者及び履歴の管理をどのように行っているか。
- 10 -
監基報 500 実1
(2) ファイル作成、受領及び保管プロセスにおけるリスクに着目した観点
・ イメージ文書作成前の媒体の改竄、編集等を防止又は発見するための仕組み・体制が構築
されているか。
・ 見読性を確保してイメージ文書を作成するためのルールが定められ周知されているか。
・ イメージ文書の作成過程での操作誤りやデータの差し替え、改竄を防止又は発見するため
の仕組み・体制が構築されているか。
・ イメージ文書作成後の書面の保管及び廃棄のルールが定められ、周知されているか。
・ 取引先等の外部から受領したイメージ文書が、正当な取引先の適切な権限を有している者
から送付されたものであるかどうかを確かめるための仕組み・体制が構築されているか。
・ 取引先等の外部から受領したイメージ文書について、その保管の過程での操作誤りやデー
タの差し替え、改竄を防止又は発見するための仕組み・体制が構築されているか。
・ イメージ文書の複製を使用した資産の流用等の不正を防止又は発見する仕組み・体制が構
築されているか。
・ サイバー攻撃による被害を未然に防止する仕組み・体制が構築されているか、また、仮に
攻撃を受けた場合の復旧の仕組み・体制が構築されているか。
・ イメージ文書の漏洩、破壊等を防止する仕組み・体制が構築されているか。
・ クラウドストレージを利用する場合、データセンターが海外に所在することによるカント
リーリスクをどのように評価し、対応しているか。
・ システム障害などに対応するための仕組み・体制が構築されているか。
・ イメージ文書の作成及び保管が外部の受託会社に委託されている場合、当該受託会社の業
務をどのように利用しているか。
38.監査人が監査証拠として利用する情報をイメージ文書で被監査会社から入手する場合、イメー
ジ文書の作成の起点として、被監査会社がその業務プロセスにおいてイメージ文書を作成して保
存しているケース、監査人の要請により被監査会社がイメージ文書の作成を行うケース及び被監
査会社が取引先等の外部からイメージ文書を入手しているケースが考えられる。この各々のケー
スでは、イメージ文書の作成の起点が異なることから、内部統制の理解を行う上で留意する事項
も異なる場合がある。なお、イメージ文書の作成の起点とは、作成の発意者を意味し、原本をイメ
ージ文書として電子的に表示、転送、保存する一連のプロセスが、誰の意思を発端として行われ
ているかを示している。
39.そのため、監査人が被監査会社の内部統制を理解するに当たっては、例えば、以下のようなイメ
ージ文書の作成の起点に着目することも有用である。
(1) 被監査会社がその業務プロセスにおいて書面の証憑から PDF 等のイメージ文書を作成して保
存しているケース
被監査会社では、従前より書面の証憑からイメージ文書を作成し、証跡としてサーバーに保管
したり、作成したイメージ文書のデータをシェアードサービス会社に送って情報システムに入
力又は照合を行ったりしている場合がある。また、電子帳簿保存法の改正を契機として、被監査
会社が取引記録等を書面のまま保存することに代えて、そのイメージ文書をサーバー等に保存
することも考えられる。
- 11 -
監基報 500 実1
これらの場合、新たにイメージ文書の作成プロセスに係る内部統制を整備及び運用すること
が考えられる。そのため、監査人は当該被監査会社の内部統制を理解する。
(2) 監査人の要請により被監査会社がイメージ文書の作成を行うケース
監査人が、被監査会社に保管されている書面又はイメージ文書以外の電子媒体の情報から監
査証拠の源泉を特定し提供を依頼する場合には、被監査会社が、監査人の指定した原本から PDF
等のイメージ文書を作成することがある。被監査会社が監査人の要請によりイメージ文書を作
成する場合、例えば、被監査会社の作成者以外の者が、監査人に提供したイメージ文書とイメー
ジ文書の元になった書面又は PDF 以外の電子媒体との不一致が生じていないことを確かめる、
被監査会社が、イメージ文書の作成者とそれを添付した電子メールの送信者の職務を分離する、
又は電子メールの送信時の宛先にイメージ文書の作成者以外の者を含める、といった対応を実
施している場合には、これを理解し依拠できることがあるが、当該作業は業務プロセスとしてル
ール化されておらず、イメージ文書の作成プロセスに係る内部統制も存在していないことが多
いと考えられる。
このような場合、監査人は、イメージ文書の作成前と作成後のそれぞれの段階で、故意又は不
注意によりイメージ文書の不適切な作成が行われる可能性があることに留意し、内部統制に依
拠せずその信頼性を確かめるための直接的なテストを実施するかどうかを検討する(監基報 330
の A4 項(2)参照)。
(3) 被監査会社が取引先等外部から PDF 等のイメージ文書を受領しているケース
被監査会社では、従前より電子契約サービスを利用して電子契約書を作成したり、取引先等か
ら取引書類をイメージ文書で受領したりしている場合がある。また、電子帳簿保存法の改正を契
機として、被監査会社が取引先等からの取引記録等を書面に代えてイメージ文書により受領す
る場合が考えられる。
これらの場合、電子契約サービスシステムや取引先など被監査会社の外部でイメージ文書の
作成が行われ、被監査会社は、従来の書面による企業間のやり取りをイメージ文書で行うことに
なるため、被監査会社がイメージ文書を受領することの可否を判断するプロセスとともに、受領
したイメージ文書の真正性を確かめるための内部統制を整備及び運用することが考えられる。
そのため、監査人は、被監査会社において、取引先等からイメージ文書を受領する場合、取引先
や取引金額、取引年月日などの情報を関連する他の記録と照合したり、電子署名やタイムスタン
プを確かめたりするなどの検討が行われているかどうか理解することが考えられる。
《② モニタリング(監視活動)》
40.経営者は、イメージ文書の作成、受領及び保管プロセスに関する内部統制が意図したとおりに
運用されているか、状況の変化に対して適切な修正が行われているか、及び内部統制の不備が識
別された場合に必要な是正措置が適時・適切に実施されているかどうかを確かめるため、モニタ
リングを実施する。この活動には、日常的なモニタリングが含まれる。また、内部監査部門による
内部監査や外部機関による情報システム監査が実施されることも考えられるため、監査人は、被
監査会社のモニタリング体制について理解する。
- 12 -
監基報 500 実1
《③ 不正リスクへの対応》
41.故意によるイメージ文書の改竄は、イメージ文書の作成プロセスにおいては、イメージ文書の
作成前、作成過程及び作成後、また、イメージ文書の受領プロセスにおいては、サーバー等への保
管前と保管後のそれぞれの段階で行われる可能性があることに留意し、被監査会社がどのように
改竄を防止又は発見するように対応しているのかについて理解する。
《Ⅳ イメージ文書に係るリスクに対応する手続》
《1.評価したリスクへの対応》
42.監査基準報告書 330 第5項では、監査人は、評価したアサーション・レベルの重要な虚偽表示
リスクに応じて、実施するリスク対応手続の種類、時期及び範囲を立案し実施することが求めら
れている。リスク対応手続の立案に当たっては、評価した重要な虚偽表示リスクの程度が高いほ
ど、より確かな心証が得られる監査証拠を入手することとされており(監基報 330 第6項(2)参
照)、より適合性が高く、より証明力が強く、又はより多くの監査証拠を入手することがあるとさ
れている(監基報 330 の A18 項参照)。
そのため、監査人は「Ⅲ イメージ文書に係るリスクの識別と評価」に基づき、評価したリスク
の程度に応じた柔軟性のある対応を実施することに留意する。
43.監査人は、入手したイメージ文書について、前項のとおり監査人が重要な虚偽表示リスクの程
度が高いと評価し、より確かな心証が得られる監査証拠を入手する場合には、監査証拠の量を増
やすことや、より適合性が高く、より証明力の強い監査証拠を入手することがある。
44.監査人は、重要な虚偽表示リスクの程度に応じて証明力が強い監査証拠を利用する場合、また、
監査証拠として利用するイメージ文書の信頼性に関して疑義を抱く場合には、例えば、イメージ
文書の原本があれば原本を確かめることも考えられるが、その他の手続を組み合わせて実施する
ことも考えられる。
45.監査人が監査証拠として利用する情報をイメージ文書で入手するに当たり、イメージ文書の作
成、受領及び保管に関する被監査会社の内部統制に依拠する場合には、当該内部統制の運用状況
が有効であるかどうかを判断するための監査証拠を入手することが必要であり(監基報 330 第6
項(1)②参照)、運用状況の有効性に関して、十分かつ適切な監査証拠を入手する運用評価手続を
立案し実施することが求められている(監基報 330 第7項参照)。
また、監査基準報告書 330 第8項では、監査人は、運用評価手続の立案と実施に当たって、有効
に運用されている内部統制への依拠の程度が高いほど、より確かな心証が得られる監査証拠を入
手しなければならないとされている。
46.監査人は、イメージ文書の作成、受領及び保管に関する内部統制の運用評価手続を実施するこ
とによって、当該情報の正確性及び網羅性についての監査証拠を入手することもあるが、追加的
な監査手続が必要であると判断することもあるとされている(監基報 500 の A50 項参照)。
47.イメージ文書の正確性及び網羅性についての監査証拠を入手するための監査手続が、当該イメ
ージ文書を利用した監査手続と不可分である場合には、イメージ文書の正確性及び網羅性につい
ての監査証拠は、当該イメージ文書を利用した監査手続の実施と同時に入手されることがあると
考えられる(監基報 500 の A50 項参照)。
- 13 -
48.監査人は、イメージ文書の作成、受領及び保管に関する内部統制の不備がある場合、内部統制に
依拠せず当該イメージ文書の信頼性に関する直接的なテストの種類、時期及び範囲を決定する場
合がある(監基報 330 の A4 項(2)参照)。この場合、第 59 項以降に示した直接的なテストを実施
することになるが、第 42 項から第 44 項の内容を勘案して実施する手続の種類、時期及び範囲を
監基報 500 実1
決定する。
《2.運用評価手続》
《(1) 運用評価手続についての留意事項》
49.監査人は、リスク評価手続において被監査会社のイメージ文書の作成、受領及び保管プロセス
に関する内部統制のデザイン及びこれらが業務に適用されているかどうかを評価し、内部統制が
有効に運用されていると想定する場合、必要に応じて内部統制の運用状況の有効性に関して、運
用評価手続の実施を検討する(監基報 330 第7項(1)参照)。
50.監査人は、第 45 項のとおり内部統制への依拠の程度が高いほど、より確かな心証が得られる監
査証拠を入手する。その他の留意事項については、監査基準報告書 330 第9項から第 16 項を参照
する。
51.内部統制の運用状況の有効性に関する評価は、次の二つの観点から実施することになる点に留
意する。
(1) イメージ文書の作成、受領及び保管についてのプロセスは、会計記録を処理する業務プロセ
スに組み込まれることになるため、当該プロセスに関する内部統制の運用状況の有効性は、業
務プロセスにおける内部統制の運用状況の有効性に影響を与える。
(2) イメージ文書の作成、受領及び保管についてのプロセスは、監査人が利用することになる監
査証拠の生成・保存過程であるため、当該プロセスに関する内部統制の運用状況の有効性は、監
査証拠の質(証明力)に影響を与える。
52.前項を踏まえると、監査人は、例えば業務プロセスにおける内部統制の運用状況の有効性を評
価する際には重要性がないと判断した場合であっても、監査証拠の質(証明力)への影響の観点
で内部統制の運用状況の有効性を評価する必要があると判断する場合があることに留意する。
53.イメージ文書の作成、受領及び保管プロセスに関する内部統制の運用状況の有効性を評価する
際には、PDF 等のイメージ文書に係る重要な虚偽表示リスクに適切に対応する手続を立案するこ
とに留意する。
54.前項に関連して、具体的には、例えば付録4の「【図表】イメージ文書への変換前の媒体ごとの
変換プロセスにおけるリスク一覧」に示されたリスクに対応する運用評価手続を実施することが
考えられる。なお、運用評価手続の際に以下のような再実施を行うことも考えられる。
(1) イメージ文書の作成・保管プロセスに関する運用評価手続を実施する場合、その原本が保管
されていれば、イメージ文書の作成時において、故意又は不注意によりイメージ文書と書面の
不一致が生じていないことを確かめる。
(2) イメージ文書の受領・保管プロセスに関する運用評価手続を実施する場合には、サーバー等
に保管されているイメージ文書と取引先等から入手したイメージ文書の不一致が生じていない
ことを確かめる。
- 14 -
監基報 500 実1
《(2) 内部統制の無効化リスクを含む不正リスクの検討》
55.監査人は、運用評価手続の結果、内部統制が有効に運用されていると評価した場合であっても、
内部統制に対する無効化リスクを考慮することは依然として必要であり、内部統制の無効化リス
クを含む不正リスクの程度に応じて、例えば書面による原本や取引先等外部から入手したイメー
ジ文書の送信記録を確かめる等の追加手続が求められていることに留意する(監基報 240 第 29 項
及び監基報 330 第5項参照)。
56.新たにイメージ文書の作成プロセスを導入する企業は、一般的には大量に書面が発生する業務
において、その保管コストの削減や業務の質の向上を意図していることが多いと考えられる。こ
のような状況において、金額が多額で発生頻度が低い取引に係る契約書等を含め、全ての書面を
廃棄しイメージ文書のみを保存している場合、監査人は、内部統制の無効化リスクを含む不正リ
スクに留意する。
例えば、不動産の売買契約書のように、その所有が長期にわたり、取引相手との法的関係も長期
にわたる取引に係る書面の場合、一定期間経過後に取引当時の契約書を確かめる必要があること
が想定される。さらに、データファイルそのものが有するリスクに鑑み、通常は書面の保管方法に
ついて慎重な検討が行われるものと考えられる。また、金額が多額で発生の頻度が低い取引が、経
営者層のトップダウンによって、内部統制が機能しづらい局面で実行されることもあり得る。こ
のような状況下で、イメージ文書のみが保存されている場合、監査人は、内部統制の無効化など不
正リスクに留意する。
57.一般的に金額が多額の取引であれば、対外的に契約書等を提示する場合や被監査会社の内部監
査部門等がモニタリングを行う場合に備えて、その書面を廃棄せず、一定期間は書面とイメージ
文書の両方を保管することが考えられる。そのようなルールが整備されているにもかかわらず、
イメージ文書のみを保存し書面を廃棄している場合、イメージ文書の作成以前に改竄が行われる
リスクを想定して監査手続を実施することが考えられる。
58.被監査会社が取引先等の外部からイメージ文書を入手しているケースでは、取引先等から送付
された電子メールなどのイメージ文書の送信記録(送信日時、送信者、添付ファイルの有無等)を
確かめるほか、イメージ文書のプロパティ情報、電子署名又はタイムスタンプ等から、イメージ
文書の作成者、作成日時、更新日時などを確かめることが考えられる。その結果、通常のプロセス
を経て保管された場合には想定されない情報が発見された場合には、監査人は、内部統制の無効
化など不正リスクに留意する(タイムスタンプや電子署名の仕組み等については、テクノロジー
委員会研究文書第7号「デジタルトラストの基礎知識と電子署名等のトラストサービスの利用に
係る研究文書」参照)。
《3.監査証拠として利用する情報の信頼性を検討する手続(イメージ文書の信頼性を確かめるた
めの直接的なテスト)》
59.監査人は、第 42 項のとおり、「評価した重要な虚偽表示リスクの程度が高いほど、より確かな
心証が得られる監査証拠を入手すること」に留意する。また、第 43 項のとおり、監査人が必要と
判断した場合には、監査証拠の量を増やすことや、より適合性が高く、より証拠力の強い監査証
拠を入手することがある。
- 15 -
監基報 500 実1
60.イメージ文書の信頼性を確かめる場合においても、監査人は、原本による監査証拠は電子媒体
に変換された監査証拠よりも証明力が強いとされていること(監基報 500 の A31 項参照)だけで
はなく、企業から独立した情報源から入手した場合には監査証拠の証明力がより強くなるとされ
ていること(監基報 500 の A31 項参照)、また、複数の情報源から入手した監査証拠に矛盾がな
い場合又は異なる種類の監査証拠が相互に矛盾しない場合には、通常、個々に検討された監査証
拠に比べ、より確かな心証が得られるとされていること(監基報 500 の A8 項参照)などにも留意
する。
これらの点に関して、監査人は、第 20 項及び第 21 項に示したように、重要な虚偽表示リスク
及び発見リスクの程度を考慮し、入手した監査証拠の証明力が十分かつ適切であるかどうかにつ
いて評価する。また、第 19 項のとおり、イメージ文書の受領又は交付とその保存手続に関する内
部統制が有効であり、記録や証憑書類の真正性に疑いを抱く理由がない場合には、通常、イメージ
文書を真正なものとして受け入れることができることに留意する。
61.監査人は、重要な虚偽表示リスクの程度に応じて証明力が強い監査証拠を必要とする場合、又
は「Ⅲイメージ文書に係るリスクの識別と評価 2.イメージ文書の特徴とリスク」において示
したイメージ文書に係るリスクや、企業の内部統制の有効性等を踏まえ、監査証拠として利用す
る PDF 等のイメージ文書の信頼性に関して疑義を抱く場合には、例えば、第 63 項以降に示した当
該監査証拠の証明力を確かめるための手続を実施することが考えられる。
62.また、監査人は、「Ⅲイメージ文書に係るリスクの識別と評価 2.イメージ文書の特徴とリス
ク」において示した、改竄やすり替えなどの不正行為の痕跡が残らないというデータファイルそ
のものが有するリスク等を踏まえ、被監査会社からイメージ文書が提供される際に改竄やすり替
えなどが行われるリスクの程度も考慮して、監査証拠の証明力を確かめる手続を実施することの
要否を検討する。特に、被監査会社が監査人の要請によりイメージ文書を作成している場合、第
39 項のとおり、イメージ文書の作成プロセスに係る内部統制が存在しないことが多いと考えられ
るため、監査人は、被監査会社がどのように作成誤りを防止又は発見するように対応しているの
かに関する理解を踏まえた上で検討を行う。
《(1) 被監査会社が作成したイメージ文書の真正性を確かめるための手続》
63.監査人は、被監査会社が紙媒体、電子媒体又はその他の媒体による企業内外の記録や文書を PDF
等のイメージ文書に変換したものを監査証拠として利用する場合には、原本があればイメージ文
書とその原本の不一致が生じていないことを確かめることが考えられる。
64.第 32 項のとおり、スキャナ保存に関しては、令和3年度(2021 年度)税制改正により、スキャ
ナ保存後直ちに書面の原本を廃棄することが可能になった。そのため、監査人は、監査上必要と
判断する一定金額以上の契約書など、重要な監査証拠となり得る記録や書面の原本の取扱いに関
して被監査会社と事前に十分に協議し、例えば以下のような対応を検討することが考えられる。
・ 被監査会社が原本を廃棄する前に、監査人が原本を確かめる。また、必要に応じて廃棄予定の
原本を監査人が入手する。
・ 監査人による立会の下で PDF 等に変換されたイメージ文書を入手する。
・ 被監査会社が原本を廃棄しており、監査人が原本を確かめられない場合には、以下のような対
- 16 -
監基報 500 実1
応を検討する。
- 他の監査手続で入手した監査証拠と矛盾が生じていないか確かめる。
- 被監査会社において、取引先等の外部のシステムにアクセスして原本又はイメージ文書を
システムから直接再出力できる場合には、監査人による立会の下で再出力を依頼する。
- イメージ文書の原本を取引先等の外部が発行した場合、原本の発行者に対して、イメージ文
書に記載された内容に関する直接確認を行う。
65.被監査会社が電子取引で交付したイメージ文書を電子媒体のみで保存している場合、イメージ
文書のみが保存されていることになるが、当該イメージ文書の真正性を確かめるための手続とし
て、例えば以下のような対応を検討することが考えられる。
・ 他の監査手続で入手した監査証拠と矛盾が生じていないか確かめる。
・ 監査人が直接サーバー等から取得したイメージ文書との不一致が生じていないことを確かめる。
・ 取引先等の外部に直接確認を行う。
《(2) 被監査会社が外部から入手したイメージ文書の真正性を確かめるための手続》
66.監査人は、被監査会社が取引先等の外部から入手した PDF 等のイメージ文書を監査証拠として
利用する場合には、例えば以下の手続を実施して、十分かつ適切な監査証拠を入手しているかど
うかを評価することが考えられる。
・ 被監査会社の責任者等に対して追加の質問を実施し、入手した特定のイメージ文書に関する
従前からの媒体の変更の有無、入手経路の変更の有無、受領時にその真正性を確かめた方法や
イメージ文書の保管方法等を確かめる。
・ 他の監査手続で入手した監査証拠と矛盾が生じていないか確かめる。
・ 被監査会社がイメージ文書を受領した際の電子メールなどの送信記録(送信日時、送信者、添
付ファイルの有無等)を確かめるとともに、添付されたイメージ文書と監査人が入手したイメ
ージ文書との不一致が生じていないことを確かめる。
・ PDF 等のイメージ文書のプロパティ情報から、イメージ文書の作成者、作成日時、更新日時な
どを確かめる。
・ 電子署名が付されている場合、送信者側の適切な署名者による電子署名が付されているか確
かめる。
・ タイムスタンプが付されているものは、その生成時点から改変が行われていないかどうかに
関してタイムスタンプを確かめる。
・ 取引先等の外部に対して、イメージ文書に記載された内容に関する直接確認を行う。
《Ⅴ 適用》
・ 本実務指針は、2022 年1月1日以後に開始する事業年度に係る監査及び同日以降に開始する
中間会計期間に係る中間監査から適用する。ただし、それより前の決算に係る監査から実施す
ることを妨げない。
以 上
- 17 -
・ 本実務指針(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映している。
- 監査基準報告書(序)「監査基準報告書及び関連する公表物の体系及び用語」(2022 年7月
21 日改正)
監基報 500 実1
- 18 -
監基報 500 実1
対象
対象外
対象外
〇
〇
《付録1 電子帳簿保存法と本実務指針の適用範囲の関係》
電子化の起点(作
電子化の
電子帳簿保存法の
電磁的記録の
電磁的記録の
成の起点)
実施者
対応条文と対象書類等
作成・保存方法
形態
電子文書保存
第4条第1項
(自己が最初から一貫してシス
システム
・国税関係帳簿
テム等を使用して作成したもの
取引データ
を保存)
第4条第2項
電子文書保存
システム
・決算関係書類
(自己が最初から一貫してシス
取引データ
・取引関係書類
テム等を使用して作成したもの
イメージ
(発行控えデータ)
を保存)
文書
被監査会社
又は
外部取引先
の要請
第4条第3項
被監査会社
・取引関係書類
又は
(受領した書類、
外部取引先
発行控えの紙)
第5条
・国税関係帳簿
・決算関係書類
・取引関係書類
(発行控えデータ)
スキャナ保存
( 紙 を 変 換 し て 電 子 化 し て 保
イメージ
文書
存)
COM 保存
(自己が最初から一貫してシス
マイクロ
テム等を使用して作成したもの
フィルム
対象外
をマイクロフィルムに保存)
第7条
電子取引
・取引関係書類
(法的な原本である電子データ
(受領したデータ)
を保存)
電子帳簿保存法は
該当なし
監査人の要請
被監査会社
・国税関係帳簿
紙を変換して電子化
・決算関係書類
・取引関係書類
システム
取引データ
イメージ
文書
イメージ
文書
対象外
〇
〇
(1) 国税関係帳簿書類とは、国税に関する法律の規定により備付け及び保存をしなければならないこととされている帳簿(以下「国税
関係帳簿」という。)と、国税に関する法律の規定により保存をしなければならないこととされている書類(以下「国税関係書類」
という。)をいう(電子帳簿保存法第二条参照)。
(2) 決算関係書類とは、国税関係書類のうち財務省令で定めるものであり、棚卸表、貸借対照表及び損益計算書並びに計算、整理又は
決算に関して作成されたその他の書類をいう(電子帳簿保存法施行規則第三条第四項参照)。
(3) 取引関係書類とは、決算関係書類以外で、取引の相手先から受け取った請求書等及び自己が作成したこれらの写し等の国税関係書
類をいう。
- 19 -
監基報 500 実1
《付録2 スキャナ保存制度を含む電子帳簿保存法の概要》
1.電子帳簿保存法等、関連する法規制に関する歴史的経緯
令和3年度(2021 年度)税制改正で電子帳簿保存法に関する大幅な適用要件の緩和措置が講じ
られたが、ここに至る経緯を振り返ることは今後の制度の在り方を想定する意味でも重要である
と考えられることから、1998 年の同法創設以降、会計及び税務実務に関連する法規制について 2022
年までの大きな改正の流れに絞って記載する。
(1) 1998 年 電子帳簿保存法創設
1997 年 12 月 20 日に当時の大蔵省が公表した税制改正大綱で「納税者の帳簿保存の負担軽減
を図るため」、「国税関係帳簿書類の電子データ保存制度等を創設する」目的で、電子データ等に
よる保存制度及び電子データ交換の手法を使用した取引(現在の電子取引の前身)に係る電子デ
ータの保存制度が創設された。この背景には、当時の税制調査会の議論において、コンピュータ
化に伴うペーパーレス社会の到来で行政、国民双方の事務負担軽減が必須、という社会的な要請
があったとされる12。
(2) 2001 年 証券取引法改正
スキャナ保存(PDF 化)に関するテクノロジーの進化に対し、スキャンした書類と原本との関
係等については制度が存在しなかったことなどから、「文書の電子化にあたって最低限確保すべ
き要件とは何か」という視点から、民間行政双方の視点で文書の電子化に関する標準化に向け、
2001 年1月に「高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)」が設置され3、そ
の後、各省庁でも様々な電子化が推進された。証券取引法の分野でも、電子開示システム(EDINET)
を用いた有価証券報告書等の開示の運用を制定し、6月から施行された。
(3) 2002 年 商法施行規則改正
旧商法では、株券、社債券等一部を除き、法律で保存が義務付けられている書類(例えば、貸
借対照表等の会計関係書類の他、定款、議事録等も含む。)の電子化(法規定上は、電磁化)が
標準化され、2002 年5月1日から施行された。なお、2006 年5月1日施行の会社法では、2002
1 総務省、申請手続に係る国民の負担軽減等に関する実態調査、添付資料 2 平成 9 年 2 月 10 日 閣議決定「申請負担軽減対策」、 https://www.soumu.go.jp/main_content/000154439.pdf、 (2021.8.28)、「簡素で効率的な行政、国民の主体性が生かされる行政及び質 の高い行政サービスを実現するため、情報通信技術の飛躍的な発展をも踏まえ、許認可や補助金等に係る申請、届出又は諸種の統計調 査等に際しての国民の負担の大幅な軽減を図る必要がある。このため、申請等に伴い手続の簡素化、電子化、ペーパーレス化、ネット ワーク化などを迅速かつ強力に推し進め、今世紀中に申請等に伴い国民の負担感を半減することを目標として本対策の実施に取り組 む」と定められた。 2 税制調査会「平成 10 年度の税制改正に関する答申」、1997 年 12 月 16 日、「適正公平な課税を実現するためには、帳簿書類(法人税な どの会計帳簿や決算関係書類等)の記録の確実性や永続性が確保される必要があります。そのため、これまでは、納税者がコンピュー タで会計処理を行い、会計記録を電子データで保存している場合であっても、紙の形で保存しなければならないこととしていました。 しかし、情報化が進展し、コンピュータで会計処理を行う納税者が増加するとともに、取引のペーパーレス化も急速に普及しつつある 中で、いつまでも帳簿書類について紙の形で保存することを求めることは、現実的でないばかりでなく、納税者に過度の負担を強いる ことにもなりかねません。こうした新しい時代の流れに対応し、納税者の帳簿書類の保存の負担軽減を図るために、記録段階からコン ピュータ処理によっている帳簿書類については、電子データ等により保存することを認めることが必要であると考えます。その際に は、コンピュータ処理は、痕跡を残さず記録の遡及訂正をすることが容易である、肉眼でみるためには出力装置が必要であるなどの特 性を有することから、適正公平な課税の確保に必要な条件整備を行うことが不可欠です。また、電子データ等による保存を容認するた めの環境整備として、EDI取引(取引情報のやり取りを電子データの交換により行う取引)に係る電子データの保存を義務づけるこ とが望ましいと考えます。」との考え方が示されている(下線は追加)。 3 2005 年 5 月 17 日、文書の電磁的保存等に関する検討委員会、「文書の電磁的保存等に関する検討委員会報告書-文書の電子化の促進 に向けて-」94 頁
- 20 -
監基報 500 実1
年の商法施行規則改正の考え方が踏襲されている4。
(4) 2005 年 電子文書法(e-文書法)施行及び電子帳簿保存法改正
ここまで見たとおり、各省庁が個別に電子データ等の保存等に関する制度を創設したものの、
主務官庁ごとの規制であったこと、また、電子による保存要件が厳しかったこと等から、実際の
運用上は紙と電子データ保存が併存された。そこで、「文書の保存を義務づけている約 250 の法
令の中から、免許証などの一部の例外を除き、まだ電磁的保存を容認していない法令を一括して
改正するとともに、文書の電磁的保存のあり方について包括的に検討を行い、全体として整合性
をとりながら文書の電子化を促進する規制改革を促進する政策プログラム5」として「e-文書法」
が制定され、2005 年4月1日より施行された。
「e-文書法」では、運用上の規律の前提として、当該データ等に関する①見読性、②網羅性、
③(データ変更履歴等の)完全性、④機密性、⑤検索可能性の担保が要件とされている。また、
「e-文書法」制定と並行して、これまで主務官庁単位で管轄された各規制も大幅に改訂され、電
子帳簿保存法では、スキャナ保存が制度化される等の改正がなされた。
これにより、電子帳簿保存法は、①電子帳簿保存、②スキャナ保存、③電子取引という現行の
3類型に整理されることとなった。なお、②のスキャナ保存は、決算関係書類、契約書及び3万
円以上の領収書等は対象外とされた。
(5) 2015 年 電子帳簿保存法改正
平成 17 年(2005 年)改正で制度化されたスキャナ保存に関し、保存範囲に関する金額基準が
撤廃され、全ての契約書及び領収書等がスキャナ保存の対象となり、電子署名も不要とされた。
ただし、紙による原本からスキャナ保存段階、又はそれ以降での改竄リスクを予防する意味で
「適正事務処理要件」を新たに課した。その内容は、①相互牽制、②定期的な検査、③再発防止
に関する規定の制定の3要件で、これらに基づく当該各事務を処理6する仕組みを構築すること
とされた。
(6) 2016 年 電子帳簿保存法改正
スキャナ保存に関し、スマートフォン等による一体型でない端末からの読み取りが可能とな
る一方で、領収書や請求書等について、その受領者や作成者が直接読み取る場合には、受領等の
後、その者が署名の上、3日以内にタイムスタンプを付すことが要件7とされた。
(7) 2019 年 電子帳簿保存法改正
税務署長による承認を受ける前に作成又は受領した重要書類(過去分重要書類)のスキャナ保
存が可能となった。
4 相澤哲=松本真=郡谷大輔=豊田祐子「電磁的方法、電磁的記録、設立、清算、持分会社、電子公告」商事、No.1770、4 頁(2006) 5 前掲注 3)2 頁 6 国税庁「国税関係帳簿書類の電子保存」平成 29 年 3 月 2 日、20 頁 7 前掲注 6)21 頁
- 21 -
監基報 500 実1
2.令和3年度(2021 年度)税制改正の内容
2020 年 12 月 10 日に公表された与党税制改正大綱では、新型コロナウイルス感染症拡大が続く
中、「今回の感染症では、わが国における行政サービスや民間分野のデジタル化の遅れなど、様々
な課題が浮き彫りになった。菅内閣においては、各省庁や自治体の縦割りを打破し、行政のデジタ
ル化を進め、今後5年で自治体のシステムの統一・標準化を行うこととしており、こうした改革に
あわせ、税制においても、国民の利便性や生産性向上の観点から、わが国社会のデジタルトランス
フォーメーション(DX)の取組みを強力に推進する8」との強い方向性が打ち出された。その一
環として、電子帳簿保存法についても、電子帳簿保存に関する手続の抜本的な見直し並びにスキ
ャナ保存に関する手続及び要件等の大幅な緩和9が施された。
その具体的な内容は、以下の図のとおりで、施行は何れも 2022 年1月1日以降の取引が対象と
なる。
区分
(1) 制度開始に際し、税務署長の事前承認の廃止
改正内容
(2) 優良(※1)な電子帳簿に関連して過少申告があった場合には、過少申
① 電子帳簿保存
告加算税を5%軽減
② スキャナ保存
(3) 最低限の要件(※2)を充足する場合には、紙保存の併用を不要とする
緩和措置
(1) 検索要件の緩和措置(取引年月日その他の日付、取引金額及び取引先に
限定)
(2) タイムスタンプの付与までの期間について、最長約2か月(※3)+概
ね7営業日以内(※4)
(3) 受領者等がスキャナで読み取る際の国税関係書類への自署の不要措置
(4) 適正事務処理要件(※5)の廃止
(5) スキャナ保存された電磁的記録に関連した不正があった場合の重加算税
の 10%の加重措置、すなわち適正事務処理要件等の廃止に伴う抑止力措置
(1) 検索要件の緩和措置(取引年月日その他の日付、取引金額及び取引先に
限定)(※6)
(2) タイムスタンプの付与期間について、最長約2か月(※3)と概ね7営
業日以内(※4)
③ 電子取引
(3) スキャナ保存された電磁的記録に関連した不正があった場合の重加算税
の 10%の加重措置、すなわち適正事務処理要件等の廃止に伴う抑止力措置
(4) 申告所得税及び法人税における電子取引の取引情報に係る電磁的記録に
ついて、その電磁的記録の出力書面等の保存をもってその電磁的記録の保
存に代えることができる措置は、廃止(すなわち、紙による保存は不可と
する措置)(※7)
(※1)「e-文書法」の要件のうち①見読性、②網羅性、③(データ変更履歴等の)完全性、④機密性、⑤検索可能性の担保の充足が必要
8 自由民主党、公明党「令和 3 年度税制改正大綱」令和 2 年 12 月 10 日、1 頁 9 前掲注 8)9 頁
- 22 -
監基報 500 実1
(※2)「e-文書法」の要件のうち①見読性、②網羅性、④機密性のみの充足が必要
(※3)「その業務の処理に係る通常の期間」のことを意味し、国税関係書類の作成又は受領からスキャナで読み取り可能となるまでの業
務処理サイクル及び電子取引の取引情報に係る電磁的記録の保存の要件であるタイムスタンプ付与のために必要な期間を最長2か月
とみなす(電子帳簿保存法取扱通達(以下「電帳通達」という。)4-18 参照)。
(※4)「速やかに」を意味し、国税関係書類の作成又は受領後おおむね7営業日以内に入力している場合、又は、その業務の処理に係る
通常の期間を経過した後、おおむね7営業日以内に入力している場合(電帳通達 4-17 参照)。
(※5)①相互牽制、②定期的な検査、③再発防止に関する規定の制定の3要件
(※6)なお、基準期間の売上高が 1,000 万円以下の小規模事業者については、税務調査の際の質問検査権に基づく電磁的記録のダウン
ロードの求めに応じることができるようにしている場合には、検索要件の全てが不要となる措置
(※7)2年間の経過措置が講じられており、令和4年(2022 年)1月1日から令和5年(2023 年)12 月 31 日の間に行う電子取引につ
いては、引き続き紙による保存も認められる予定である。10
3.企業側の実務上の留意点
(1) 改正電子帳簿保存法施行日(2022 年1月1日)との関係
改正電子帳簿保存法の施行日が 2022 年1月1日とされていることから、「同日以後に行う電
子取引の取引情報については改正後の要件に従って保存を行う必要11」があり、同一課税期間、
具体的には、同一事業年度内の「電子取引の取引情報であっても、令和3年(2021 年)12 月 31
日までに行う電子取引と令和4年(2022 年)1月1日以後行う電子取引とではその取引情報の
保存要件が異なる12」ことから、同一事業年度で企業のデータ保存等に関する内部統制(IT全
般統制を含む。)が変更になることが想定される。
また、2021 年 12 月 31 日までに行った「電子取引の取引情報に係る電磁的記録については、
改正後の保存要件により保存することは認められ13」ないことから、「その電磁的記録について、
改正前の保存要件(記録項目が限定される等の措置が講じられる前の検索機能の確保の要件等)
を満たせないものについては、その電磁的記録を出力した書面等を保存して頂く必要14」がある
一方で、「同日以後に行う電子取引の取引情報に係る電磁的記録については、今回の改正が適用
され、電磁的記録を出力した書面等を保存する措置は廃止15」される(ただし、上記2.の(※
7)のとおり、2年間の経過措置が講じられている)。これにより、企業によっては 2022 年1月
1日を境に同一事業年度でデータ保存等に関する内部統制(IT全般統制を含む。)が変更にな
ることが想定される。
このように、企業実務上は企業のデータ保存等に関する内部統制(IT全般統制を含む。)の
変更等の検討を速やかに実施する必要があることには注意が必要である。
10 財務省「令和 4 年度税制改正の大綱」令和 3 年 12 月 24 日、75 頁, https://www.mof.go.jp/tax_policy/tax_reform/outline/fy2022/20211224taikou.pdf 11 国税庁「電子帳簿保存法一問一答【電子取引関係】」問9, https://www.nta.go.jp/law/joho- zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf 12 前掲注 11)下線は追加 13 国税庁「電子帳簿保存法一問一答【電子取引関係】」問 10, https://www.nta.go.jp/law/joho- zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf 14 前掲注 13) 15 前掲注 13)
- 23 -
監基報 500 実1
(2) 令和5年(2023 年)10 月1日施行消費税のインボイス制度導入との関係
消費税のインボイス制度とは、「仕入税額控除の要件として、原則、適格請求書発行事業者か
ら交付を受けた適格請求書の保存16」を要件とする制度である。ここでいう「適格請求書」とは、
交付が免除される特定の事業者以外の全ての事業者による次の事項が記載された書類(請求書、
納品書、領収書、レシート等)を意味する(新消費税法第 57 条の4第1項参照)17。
① 適格請求書発行事業者の氏名又は名称及び登録番号
② 課税資産の譲渡等を行った年月日
③ 課税資産の譲渡等に係る資産又は役務の内容(課税資産の譲渡等が軽減対象資産の譲渡等
である場合には、資産の内容及び軽減対象資産の譲渡等である旨)
④ 課税資産の譲渡等の税抜価額又は税込価額を税率ごとに区分して合計した金額及び適用税
率
⑤ 税率ごとに区分した消費税額等
⑥ 書類の交付を受ける事業者の氏名又は名称
ここで、電子帳簿保存法の電子取引に関する令和3年度(2021 年度)税制改正において、「申
告所得税及び法人税における電子取引の取引情報に係る電磁的記録について、その電磁的記録
の出力書面等の保存をもってその電磁的記録の保存に代えることができる措置は廃止(すなわ
ち、紙による保存は不可とする措置)」され(上記2.の図中の③(4)参照、ただし2年間の経
過措置が講じられている)、ここでいう「電子取引の取引情報に係る電磁的記録」が、「適格請求
書」、すなわち、請求書、納品書、領収書等に該当する場合には、事実上(実務的には)、消費税
法上も紙による保存はできないものとして取り扱わざるを得なくなる可能性がある点には注意
が必要である。これは、消費税法上、インボイス制度において、紙による保存は否定されていな
いが、電子帳簿保存法上は、申告所得税及び法人税において紙による保存は不可とする措置が講
じられたことから、企業実務においては、ダブルスタンダードによる煩雑な運用が避けられるこ
とが想定されるからである。こうした企業の経理実務における流れが変わることで、インボイス
制度導入に際しては、事実上の電子インボイス化18に向かって運用が加速することも視野に入る。
(3) 帳簿保存期間に関する留意事項
電子帳簿保存法は、「保存」、保存期間中の「訂正又は削除」、「入力」、「検索」という保存及び
保存されたデータそのものの取扱い、並びに災害等が発生した場合又はスキャナ保存後の書面
の原本の削除に関する規律であって、保存後のデータの法定保存期間後の取扱い(ここでは「デ
ータ消去」という。)に関する規律はない。そのため、電子帳簿保存法の適用を受けた書類等に
関しては、法人税法で定める保存期間、また、電子帳簿保存法とは関係のない会社法上の保存期
間でそれぞれ個別に判断していく必要がある。その際、重要なことは、データ消去を「誰が」「い
つ」「どのように」行うかに関し、不法コピー又は不法な持ち出し等の禁則とともに内部統制を
機能させることである。
16 国税庁軽減税率・インボイス制度対応室「消費税の仕入税額控除制度における適格請求書等保存方式に関する Q&A」平成 30 年6月 (令和 3 年 7 月改訂)、1 頁 17 前掲注 10) 18 電子インボイスについては、デジタルインボイス推進協議会のホームページ(https://www.eipa.jp/)等を参照されたい。
- 24 -
監基報 500 実1
ここで、法人税法上は、仕訳帳、総勘定元帳、棚卸表、貸借対照表、損益計算書等の帳簿類、
又は、注文書、契約書、送り状、領収書、見積書等取引に関して、相手方から受け取った書類等
は7年間の保存義務がある(法人税法施行規則(以下「法規」という。)第 54 条、第 56 条及び
第 59 条参照)。また、青色申告書の提出法人で事業年度の欠損金に係る帳簿書類の保存等は 10
年間とされている(法規第 26 条の3及び第 26 条の5参照)。一方、会社法は、これらの書類に
関し、10 年間の保存を義務付けている(会社法第 432 条及び第 435 条参照)。
- 25 -
《付録3 イメージ文書と原本》
以下の図表において、本実務指針における原本とイメージ文書の関係を表している。
監基報 500 実1
- 26 -
監基報 500 実1
《付録4 イメージ文書の特徴とリスク》
1.イメージ文書の特徴
一般的にイメージ文書には次のような特徴がある。
(1) 原本の存在
・ スキャナにより作成されるイメージ文書には、書面の領収書等の原本が存在する。
・ 情報システムから出力された可読性のある電子データを元に作成されたイメージ文書の場
合、出力後も情報システムに原本となるデータが保存されている。
(2) 原本からの作成と複製の容易性
・ イメージ文書に書面の原本が存在する場合は、原本を廃棄しない限り、繰り返しイメージ文
書を作成できる。
・ 情報システムから出力されるイメージ文書は、繰り返し出力できる。
・ オフィスソフトで作成された電子文書をイメージ文書に出力するのは、編集内容の確定を
目的とした場合が多いが、オフィスソフトは編集の自由度が高いため、出力されたイメージ文
書のバージョン管理が重要となる。
・ 一般的なセキュリティレベルのイメージ文書は、無制限に複製することができる。複製され
たイメージ文書は、品質が劣化しないため、複製元を特定するのが困難である。
・ イメージ文書を電子メールに添付する場合や、他のサーバー等にアップロード、若しくはダ
ウンロードする場合、元になったイメージ文書が削除されるわけではなく、複製されることに
なる。
(3) 電子機器等への依存
・ 書面のイメージ文書の作成には、スキャナ、スマートフォンやデジタルカメラ等の機器が必
要になる。
・ 電子文書からイメージ文書への変換については、特別なアプリケーションは必要なく、作成
が容易である。PDF 形式への変換の場合、文書作成ソフト、表計算ソフトなどのオフィスソフ
トから作成が可能である。また、モニター画面のスクリーンショットによる作成も容易である。
・ イメージ文書は視認性を重視したファイル形式(PDF,JPEG,PNG,TIFF 等)であるが、長期保
存された場合に互換性が失われる場合がある。
(4) 使用性が高い
・ イメージ文書は、使用性(ユーザービリティ)が高い。情報端末(PC、スマートフォン等)
やオペレーティングシステムを問わず、無償の閲覧・編集ソフトがあれば、ほとんどの情報端
末で閲覧・編集が可能である。
・ ファイル名又はキーワードで検索が可能である。
・ イメージ文書内に文字が含まれている場合、キーワードで検索可能な場合がある。
・ 移植性がある。データとして利用する場合、データ項目を取り出しデータベース等に移植す
ることが可能である。
・ イメージ文書自体へのセキュリティ設定が可能である。イメージ文書に対して、編集制限、
パスワード設定によるアクセス制限、電子署名、暗号化などのセキュリティ技術を利用するこ
とができる。
- 27 -
監基報 500 実1
2.イメージ文書が有するリスクの例示
イメージ文書が有するリスクのうち、データファイルそのものが有するリスクは、適切な保全
が行われていない場合に生じる可能性が高いリスクである。ファイル作成、受領及び保管プロセ
スにおけるリスクは、イメージ文書の利用が企業の業務プロセスに含まれている場合に生じる可
能性があるリスクである。
(1) データファイルそのものが有するリスク
・ 複製が容易であることから、短時間内かつ広範囲にわたる漏洩が起こる可能性がある。
・ イメージ文書の高機能編集ソフトの利用やコンピュータの時刻を調整することにより、改
竄やすり替えなどの痕跡が残らない可能性がある。
・ コンピュータのユーザー情報を変更することにより、イメージ文書の作成や編集履歴、作
成者や編集者情報が残らない可能性がある。
・ サーバー又はネットワーク等の環境が不安定になるとイメージ文書の閲覧若しくは編集が
困難になる可能性がある。
・ 長期保存の場合にデータフォーマットが旧式化し、文書データの互換性が喪失する可能性
がある。
・ イメージ文書にパスワードが設定されている場合、パスワードの喪失等により、閲覧、編
集、移植できない可能性がある。
(2) ファイル作成、受領及び保管プロセスにおけるリスク
イメージ文書には書面による原本又は情報システムにより作成された電子データによる原本
が存在し、原本からイメージ文書への変換が行われる。ファイル作成プロセスにおけるリスクの
識別に当たっては、原本の媒体ごとに変換プロセスに応じたリスクを識別することができる。
【図表】イメージ文書への変換前の媒体ごとの変換プロセスにおけるリスク一覧
変換前の媒体
リスク
書面
電子データ(※)
モニター画面
イメージ文書への
書面への加筆、押印、書
データの更新、編集によ
スクリーンショットの
変換前のリスク
類の切貼り、複写機を利
る内容の変更など
不適切な範囲指定など
用した改竄など
イメージ文書への
ページの落丁や一部差し換え、PDF 編集ツールや描写ツールを用いた内容(証
変換過程のリスク
憑内部の数字又は文字列等)の改竄など
イメージ文書への
原本の廃棄
元データの喪失又は消
表示内容の喪失又は表
変換後のリスク
去
示内容が再現不可能に
なること
※ 情報システムから出力されたレポートやオフィスソフトで作成された電子文書
ファイル受領プロセスにおけるリスクとして、正当な取引先から送付されたものではないイ
メージ文書を受領するリスク、正当な取引先ではあるものの正当な権限を有していない者から
イメージ文書を受領するリスク、何らかの理由により受領したイメージ文書を閲覧できないリ
スク、受領後にすり替えが行われるリスクなどが想定される。
- 28 -
監基報 500 実1
ファイル保管プロセスにおけるリスクについては、イメージ文書をサーバーなどに保管する
場合、次のようなリスクが想定される。
・ 企業外部からのサイバー攻撃によるイメージ文書の漏洩、改竄、破壊(消失)等の可能性が
ある。
・ 企業内部でのイメージ文書の漏洩(電子メール誤送付、操作ミス、USB メモリ置忘れなど)、
破壊(消失)等の可能性がある。
・ データセンターが国外にある場合、カントリーリスク(※)がある。
・ サーバー等のシステム障害などによりイメージ文書が消失する可能性がある。
※ 国外にデータセンターがある場合、センター内の機器及び内部のデータの取扱いについて
は、原則として所在国の法律やルールが適用される。法律やルールの内容によっては、データ
センターで保管していた機密情報が強制的に徴収されるような事態が生じる可能性もある。
また、上記のファイル作成、受領及び保管プロセス、又はファイル交付時のいずれの過程にお
いても、イメージ文書の複製を利用した経費の二重計上による資産の流用や収益の架空計上等
に関するリスクを想定できる。これは、例えば、書面の請求書等であれば原本に支払済印を押印
することにより再使用を防止できるのに対して、イメージ文書の場合、複製が容易であり、かつ
書面のような内部統制の証跡が残らないため、内部統制を有効に整備することが困難な場合が
あることにより生じるリスクである。
- 29 -
監基報 500 実1
《付録5 イメージ文書の特性から生じるリスクに対応するための内部統制の例示》
イメージ文書の特性から生じるリスクに対応するための内部統制のうち、監査人による理解の
対象となるものの例を以下に示す。
なお、以下はあくまで例示であり、経営者が整備及び運用する内部統制は、被監査会社の規模や
組織構造の複雑性、被監査会社が識別するリスクの程度により異なるため、一律にこれを示すこ
とはできない。よって、以下で例示している内部統制を漏れなく整備及び運用することが被監査
会社にとって必須ではなく、また、以下の内部統制を整備及び運用すれば十分であるというわけ
ではない点に留意する。
1.IT全般統制
監査人は、例えば以下が行われているかどうかについて理解する。
(1) イメージ文書管理システムの利用
文書化された適切な開発管理体制に基づいて、文書登録、保存、検索、バージョン管理、ライ
フサイクル管理等の機能を実装するイメージ文書管理システムを開発する、又は、適切な取得及
び導入手続を経て市販のイメージ文書管理システムを利用する。このシステムによりイメージ
文書の正確性、実在性、網羅性及び正当性が間接的に保証される。
(2) アクセス権の管理及びユーザー認証
イメージ文書の改竄、漏洩を防止するため、適切な権限を有する操作担当者及びイメージ文書
利用者のみが対象情報にアクセスできる状態を保持できるように、ユーザー別のID、パスワー
ド等の利用者登録、管理及び認証機能を設ける。また、付与されたIDの定期的な棚卸やパスワ
ードの変更管理が行われる。
(3) バックアップの実施
不慮の事故等に備えるため、イメージ文書に関わるデータ、ハードウェア、ソフトウェア等の
二重保管による保護措置を講じ、定期的に保管状況の点検を実施する。
(4) 情報セキュリティ対策の実施
コンピューターウィルスなどのマルウェアによる事故や情報漏洩等を防止するため、外部か
ら入手したソフトウェア、使用済記録媒体等は、マルウェアの検疫後に利用する。また、イメー
ジ文書管理に関わる情報システム上に、マルウェアによるシステムへの不正なアクセス及びデ
ータ等の不正な変更を自動的に発見する機能を設ける。
(5) 情報システムの運用管理
情報システムに関する責任及び運用方法を明確にするため、イメージ文書管理システムの管
理責任者を定めるとともに、以下の項目に関する管理運用規程を文書により定める。
① 文書の電子化プロセス(電子署名、タイムスタンプなど)
② 履歴情報の保存及び保管
③ アクセス権(ID及びパスワード)
④ データ保管室等への入退室
⑤ バックアップ
⑥ 情報セキュリティ対策
⑦ 開発や改訂などによるプログラム変更
- 30 -
監基報 500 実1
2.ITによる自動化された情報処理統制
監査人は、例えば以下が行われているかどうかについて理解する。
(1) 関連付け
当初の書面による原本について、連続番号による管理番号を付与しそのイメージ文書に連携
させる。さらに、関連会計帳簿と連携させることにより相互関連性を確保する。証憑たるイメー
ジ文書から仕訳帳、主要簿・補助簿、財務諸表への流れ、またその逆の流れにおいて、各帳票間
の連携が途切れないようにする。イメージ文書について、管理番号、伝票番号等、帳票間の連携
に必要な情報をイメージとは別の電子インデックスとして付加することが必要な場合がある。
(2) 電子署名
取引先等外部から入手するイメージ文書について、信頼性のある第三者機関により公開鍵証
明書の発行を受け、法令等の要請する期間を通して保証される電子署名が行われていることに
より、作成者の証明及び改竄等の事実の有無を内部統制上、検証できるようになる場合がある。
(3) タイムスタンプ
取引先等外部から入手するイメージ文書について、信頼性のある第三者機関の提供するタイ
ムスタンプが行われていることにより、作成時期の証明及び改竄等の事実の有無を内部統制上、
検証できるようになる場合がある。
(4) 履歴情報の保存
イメージ文書の保存及び更新が、いつ、誰によって、どのように実施されたかを後日特定でき
るように、データの保存及び更新時に当該日時並びに実施者及び実施内容を記録する履歴情報
の保存機能を設けることも考えられる。
(5) アクセス権の設定
イメージ文書の保存及び更新・削除を実施できる者を特定の担当者に限定することにより、イ
メージ文書の漏洩、改竄、破壊(消失)等のリスクが発生するポイントを限定できるようにする。
(6) 自動保存機能の設定
イメージ文書の保存先として所定の共有フォルダを選択し、書面をスキャンすると、選択した
所定の共有フォルダにイメージ文書が自動保存されるように設定することにより、手作業によ
り発生するイメージ文書の漏洩、改竄、破壊(消失)等の機会を発生させないようにする。
(7) 不正の防止又は検知機能
イメージ文書の複製を利用した不正などを防止又は検知するために、例えば、同一の申請内容
による経費精算を検知する機能、同一番号のイメージ文書を複数回発行することができない機
能、又は、イメージ文書に記載された取引情報を OCR で読み取り、取引先や取引金額、取引年月
日などの情報を関連する他の記録と照合し不正利用の疑いのあるイメージ文書を検知する機能
などを実装することにより、イメージ文書の不正利用の機会を発生させないようにする。
3.手作業による情報処理統制
監査人は、例えば以下が行われているかどうかについて理解する。
(1) 書面とイメージ文書の照合
ファイル作成手続における不正及び誤謬を防止又は発見するため、ファイル作成直後から書
面廃棄前の一定期間内に書面とスキャン後のイメージ文書との照合を行う。
- 31 -
監基報 500 実1
(2)イメージ文書作成後の書面の管理
書面からイメージ文書を作成する場合、作成後すぐに書面を廃棄することはせず、ルールで決
めた期間は書面とイメージ文書の両方を保管することが考えられる。このような場合、書面の廃
棄は、例えばある期間からある期間までの書面など廃棄対象の書面を明確に特定した上で事前
に管理者に申請し、承認を得た書面だけが廃棄可能であり、かつ、当該廃棄作業は特定の担当者
のみが実施可能とすることが考えられる。
(3) 保存されたイメージ文書の確認
証憑は書面であるかデータであるかを問わず、取引先や取引金額、取引年月日など必要な情報
を備えていることが必要である。そのため、スキャンやスクリーンショットなどによりイメージ
文書をデータで作成する場合には、不適切な範囲指定などにより必要な情報の抜け落ちがない
かを確認する。また、併せて原本の作成や受領の日付とイメージ文書が保存された日時との乖離
状況を確認する。
(4) 取引先等の外部から受領したイメージ文書の確認
取引先等からイメージ文書を受領する場合、取引先や取引金額、取引年月日などの情報を関連
する他の記録と照合したり、電子署名やタイムスタンプを確かめたりするなど、真正性や閲覧可
能性等を確かめるための検討を行う。
(5) イメージ文書の更新及び廃棄
一度保存されたイメージ文書の更新及び廃棄は、事前に申請し、承認を得たものだけが可能で
あり、かつ、当該作業は編集権限等のアクセス権を有する特定の担当者のみが実施可能とする。
(6) 履歴情報の確認
イメージ文書の保存、更新及び廃棄が、いつ、誰によって、どのように実施されたかを後日特
定できるように、データの保存、更新及び廃棄時に当該日時並びに実施者及び実施内容を記録す
る履歴情報の保存機能を設けている場合には、定期的にその履歴情報を責任者等が確認する。
4.その他全般的な事項
監査人は、例えば以下が行われているかどうかについて理解する。
(1) 職務の分離
書面を作成・受領する担当者とイメージ文書の作成・更新・廃棄を行う担当者の職務を分離す
ることが考えられる。
(2) ITリテラシー教育の継続的な実施
セキュリティリスクにつながるヒューマンエラーを軽減して、情報セキュリティ事故を未然
に防ぐために、情報を取り扱う担当者にセキュリティ意識を持たせ、運用ルールを守ることの重
要性を理解させている。
(3) 情報機器の管理方針
情報漏洩等を防止するため、シャットダウンや画面ロック、施錠管理など、出社時及びリモー
トワーク時の情報機器の取扱いを文書により定める。リモートワーク用に端末を貸与する場合
には、台帳等を整備し所在と利用者等を記録するなど、リモートワークを導入している場合に遠
隔地から業務処理を行うことを前提とした新たな情報機器の管理を行う。
以 上
- 32 -