監査基準報告書 505 周知文書第2号
監査人のウェブサイトを用いた電子的媒体又は経路による確認 に係る周知文書
2 0 2 0 年 1 2 月 2 5 日
改正 2 0 2 2 年 1 0 月 1 3 日
日本公認会計士協会
監査・保証基準委員会
(周知文書:第9号)
《Ⅰ.はじめに》
近年、財務諸表監査に当たって、電子的媒体又は経路によって債権・債務の残高に
ついて確認を実施する実務が増えてきており、我が国においても、監査人が自らのウ
ェブサイトを基礎とした電子的確認システムを整備し、確認手続を電子的媒体又は経
路によって行う方式が開発されている。特に、各監査法人固有のウェブサイトを基礎
とした電子的確認システムだけでなく、複数の監査人が共同でウェブサイトを基礎と
した電子的確認システムを運営することにより確認手続が行われる実務も見受けら
れる。
本周知文書は、こうした動向に対応して、会員の実務の参考に資するために、電子
的媒体又は経路による確認に関して監査上留意すべき事項を提供するものである。ま
た、一般に公正妥当と認められる監査の基準を構成するものではなく、会員が遵守す
べき基準等にも該当しない。2020 年 12 月 25 日時点の最新情報に基づいている。
なお、電子的確認については、本会より公表された監査基準報告書 505 実務ガイダ
ンス第3号「電子的媒体又は経路による確認に係る実務ガイダンス」(2010 年5月 18
日)において、電子的確認の方式、リスク等、体系的な調査研究が提供されており、
本周知文書を利用するに当たって参考となる。
《Ⅱ.電子的確認について》
1.電子的確認とは
電子的確認とは、監査人の実施する確認手続において、監査人、被監査会社又は
第三者が整備及び運用する電子的確認システムを使用して、電子的媒体により又は
電子的経路を通じて確認依頼又は回答入手を行うことをいう。
監査基準報告書 505 実務ガイダンス第3号においては、例えば、確認依頼を紙媒
体によって実施し、電子的媒体により又は電子的経路を通じて電子的に回答を入手
するもの等、様々な電子的確認の方式が示されている。電子的確認の利用には、監
- 1 -
査人及び企業の双方にとって以下の図に示すような利点が見られる。
このような利点を有する電子的確認であるが、特に近時の新型コロナウイルス感
染症拡大の下で感染防止のためリモートワークが求められる状況においては、電子
的回答の入手のみならず確認依頼についても電子的媒体により又は電子的経路を
通じて行う方式が時宜に適うものとなっており、我が国においても、近年、監査人
が単独又は共同でこのような電子的確認システムを開発し、使用している事例が見
受けられる。
2.本周知文書において取り扱う電子的確認
本周知文書では、監査人の実施する確認手続において、監査人のウェブサイトを
基礎として整備及び運用する電子的確認システムを使用し、電子的媒体により又は
電子的経路を通じて確認依頼及び回答入手の双方を行う方式(監査人のウェブサイ
トによる確認)を取り扱う。なお、監査人のウェブサイトによる確認には、複数の
監査人が、共同で整備及び運用する、又は使用するウェブサイトを基礎とする電子
的確認システムを使用するものも含まれる。
3.監査人のウェブサイトによる確認とは
監査人のウェブサイトによる確認とは、監査人が構築・運用するウェブサイトの
仕組みにおいて、固有の URL に確認回答者が確認回答データを掲載し、監査人が当
該固有の URL にアクセスして確認回答データを入手する仕組みをいう。監査人のウ
ェブサイトによる確認方式を例示すると以下のとおりである。
- 2 -
(1) 監査人は、所定のウェブサイトにアクセスし、確認対象項目・確認回答者情報、
被監査会社の担当者のメールアドレスをウェブサイト上で登録する(なお、被監
査会社が登録することもある。)。
(2) 監査人は、登録時に生成された確認用 ID を被監査会社の担当者に通知する。
(3) 被監査会社の担当者はウェブサイトにアクセスし、監査人から通知された確認
用 ID を入力し、監査人の登録内容を承認する。
(4) 監査人は、ウェブサイトにアクセスし、被監査会社の担当者承認済の確認対象
項目について確認回答者に確認を依頼する。
(5) ウェブサイトから確認回答者に回答用 ID を記載した確認回答依頼が紙媒体に
より送付される、又は電子的媒体により電子的経路を通じて送信される。なお、
監査人による確認回答依頼が紙媒体によって行われない場合には、監査人の確認
手続の実施について被監査会社が了解していることを、電子的経路を通じて確認
回答者に伝えるための対応策が考えられる(監基報 505 ガ3Ⅱ7.(1)①、②)。
(6) 確認回答者は、登録された被監査会社に係る確認回答データをウェブサイト上
に掲載する。
(7) 監査人はウェブサイトにアクセスし、確認回答データを電子ファイルの形式で
入手する。
4.監査基準報告書 505 実務ガイダンス第3号に挙げられている「第三者のウェブサ
イト」による方式との対比
監査基準報告書 505 実務ガイダンス第3号においては、「第三者のウェブサイト」
- 3 -
による方式を紹介している。「第三者のウェブサイト」による方式は、確認回答者
が指定した第三者サービスプロバイダが用意したウェブサイトの仕組みにおいて、
固有の URL に確認回答者が確認回答データを掲載するものであり、海外を中心に、
金融機関が第三者サービスプロバイダに委託して、確認回答を行っている事例が見
られる。監査人のウェブサイトによる方式は、監査基準報告書 505 実務ガイダンス
第3号における「第三者のウェブサイト」による方式と類似点も多いが、以下の点
において相違がある。
(1) 第三者のウェブサイトによる方式の場合、既にウェブサイトに登録済の確認回
答者に対して監査人が確認依頼を実施することが一般的である。監査人のウェブ
サイトによる方式の場合は、確認手続の都度、監査人が確認回答者を個別に登録
し、確認依頼を実施することがある。第三者のウェブサイトによる方式の場合も、
監査人のウェブサイトによる方式の場合も、登録済みの確認回答者以外の者が回
答を行うリスクは一定程度存在する。しかしながら、第三者のウェブサイトでは、
第三者と確認回答者が合意の上で固定的な URL を継続的に使用するのに対して、
監査人のウェブサイトによる方式では、確認回答者は固定的ではなく、確認手続
の都度異なり、確認回答者のメールアドレス等の情報を被監査会社から入手して
都度登録する。そのため、監査人のウェブサイトによる方式は相対的に確認回答
者のなりすましや事後否認といった電子的確認に伴うリスク(監基報 505 ガ3Ⅱ
3参照)は高いとも考えられる。
(2) 第三者のウェブサイトによる方式は、確認回答者が指定した第三者サービスプ
ロバイダが用意したウェブサイトの仕組みを用いているが、監査人のウェブサイ
トによる方式は、監査人のウェブサイトを基礎とした電子的確認システムを整備
及び運用している。そのため、第三者のウェブサイトによる方式に比べ、電子的
確認システムの理解や情報の信頼性についての検証が比較的容易であることが
多い。
- 4 -
《Ⅲ.留意事項》
1.監査基準報告書 505「確認」を踏まえた電子的手法による確認の実施
監査基準報告書 505 においては、「監査人は、確認依頼への回答の信頼性につい
て疑義を抱く場合、疑義を解消するため、追加の監査証拠を入手しなければならな
い。」とされており(第9項)、「全ての回答には、入手を妨害されたり、改竄又は不
正に係る何らかのリスクがあり、当該リスクは、回答が紙媒体、電子媒体又はその
他の媒体によるかに関係なく存在している。」とされている(A11 項)。
確認手続に伴う回答の信頼性、改竄又は不正等のリスクは、紙媒体を用いた郵送
による場合及び電子的手法による確認を問わず存在するが、電子的手法による確認
を実施する場合、紙媒体による場合と当該リスクの内容又は程度が異なることに留
意して、これらのリスクを許容可能な低い水準にまで軽減できているかどうか、評
価考慮することが求められる。
2.監査人のウェブサイトによる確認に伴うリスク
監査人のウェブサイトによる確認に伴うリスクは、基本的には、監査基準報告書
505 実務ガイダンス第3号に示された確認依頼への回答が電子的に行われることに
伴う、確認回答者のなりすましや事後否認等のリスクであり、以下の四つのリスク
から構成される。
(1) 回答が適切な情報源から得られていないリスク
(2) 確認回答者が回答権限をもっていないリスク
(3) 情報伝達の完全性(インテグリティ)が確保されないリスク
(4) 確認回答者が回答内容を否認するリスク
- 5 -
このうち、(4) 確認回答者が回答内容を否認するリスクとは、確認回答者が回答
を行った後に回答への関与又は内容について否認した場合に反証を提示できない
リスクをいうと考えられる。なお、これらのリスクの内容及び程度は監査人のウェ
ブサイトを基礎とした電子的確認システムの態様に応じて変化することに留意す
る。
3.監査人のウェブサイトによる確認に伴うリスクへの対応の例示
前述したような監査人のウェブサイトによる確認に伴うリスクを踏まえ、これら
を軽減するために想定される手法として、例えば、以下の手法が考えられる。
以下の各手法については、単独では十分にリスクを軽減できないことがあり、そ
の幾つかを組み合わせて実施することが必要かどうか、また個人へ確認する場合に
は適切な対応とならない可能性もあることなど、その状況に応じて慎重な判断が求
められる場合がある。また、固有リスクの程度によっては組み合わせて実施しても、
監査リスクを許容可能な低い水準に抑えることができないことがある。そのため、
状況に応じて慎重な判断が求められることがあることに留意する。また、監査チー
ムごとに実施するよりも、監査事務所レベルで実施した方が効率的な対応も含まれ
ている。
なお、以下の手法の中には、(例1)(例5)(例6)等、被監査会社及び確認回
答者の協力を得ることが重要なものがあることに留意する。
- 6 -
(例1)確認回答における複数者の関与
回答が適切な情報源から得られていないリスクや確認回答者が回答権限をも
っていないリスクに対応するために、確認回答者を複数名とし、回答担当者の回
答をその上席者又は経理担当者を経て回答するように確認回答の経路を設定す
ることが効果的である場合がある。
また、監査人が確認回答を入手した後に、回答者のみならずその上席者等に対
しても確認回答入手についての報告を電子メール等で送信し、確認回答先から確
認回答が行われた旨を上席者等に伝達することも、こうしたリスクに対応する上
で効果的である場合がある。
このような確認回答における複数者の関与は、確認回答者に適切な内容の回答
- 7 -
を行うように牽制を与える上で重要であると考えられる。
なお、確認回答において、上席者等の関与を求める場合に、監査人は、その職
責等、確認回答先における職務上の位置付けを把握し、関与の適切性について評
価することが適切である。また、回答を入手した際には、あらかじめ設定された
上席者等を経た回答であるかどうか、確かめることも重要と考えられる。
(例2)確認回答先への電話確認
監査人は、回答が適切な情報源から得られていないリスク及び確認回答者が回
答権限をもっていないリスクに対応するために、確認依頼に当たって、確認回答
者が実在し、適切な回答権限を有しているかについて、また、確認状が適切な宛
先に送付されているかどうかについて確かめるため、確認状の送付前に、宛先の
一部又は全部の妥当性をテストすることがあるとされており(監基報 505 の A6
項)、例えば、確認回答者に電話により確かめることが想定される。
なお、確認回答者のメールアドレスがグループアドレスとなっている場合は、
回答者個人が特定されないこととなり、回答が適切な情報源から得られていない
リスク及び確認回答者が回答権限をもっていないリスクはより高まることとな
るため、グループアドレスを使用する確認回答者が誰なのか特定するとともに、
確認回答先の組織において適切な回答権限を有していることについて確かめる
ことを考慮することがある。ただし、確認回答者である会社から被監査会社等に
対して、電子残高確認回答用に専用アドレスを設定している旨について正式に通
知があった場合のように、個人のアドレスを回答者として登録するよりもグルー
プアドレスの方が、信頼性が高いこともある。
また、確認回答者が電子メールで回答する場合、監査人は、確認回答者が実際
に回答を送信したかどうかを、確認回答者に電話により確かめることがあるとさ
れている(監基報 505 の A14 項)。
なお、過年度に電話確認を実施した確認回答者に再度確認回答を求める場合や、
例えば、金融機関に対して監査人のウェブサイトの運営管理者が事前に協議を行
い、確認回答者の属性、回答方法及び回答者のメールアドレス等について協議し
ており、回答が適切な情報源から得られていないリスク及び確認回答者が回答権
限をもっていないリスクが許容可能な低い水準にあると判断される場合には、電
話確認や後述するドメインの適切性の検討及び IP アドレスに関する不正検知機
能等による照合を省略することができることがあると考えられる。
(例3)確認回答先に関する追加手続
監査人は、回答が適切な情報源から得られていないリスク及び確認回答者が回
答権限をもっていないリスクに対応するために、確認回答者が実在し、回答者と
して適切であるかどうかについて、例えば、以下を行うことにより確かめること
- 8 -
が考えられる。
・ 被監査会社の担当者と確認回答者との間のコミュニケーション履歴の閲覧
(被監査会社の入手した確認回答者の名刺の閲覧を含む。)
・ 確認回答者氏名について、取引等に関連して被監査会社が確認先から入手し
た文書等に当該氏名が記載されているかどうかの検討
また、確認回答入手後、情報の信頼性に関する疑義が生じた場合、残高のみに
関して確認回答を入手している場合には、例えば、追加回答として回答内容を裏
付ける内訳文書の送信を、監査人のウェブサイト又はそれ以外の経路を通じて求
めることがあることに留意する。
(例4)ドメインの適切性の検討
回答が適切な情報源から得られていないリスク及び確認回答者が回答権限を
もっていないリスクに対応するために、確認回答者のメールアドレスのドメイン
の適切性の検討を行うことがある。
ドメインの適切性の検討として、例えば、回答者の公式ウェブサイトに問合せ
先メールアドレスなどが掲示されている場合には、そのドメインとの整合性を確
かめる。
また、確認回答者のメールアドレスについてドメイン検索を行うことにより、
メールアドレスのドメインの登録状況から回答者の所属する組織の実在性を確
かめる方法が想定される。
メールアドレスのドメインの登録状況については、例えば、いわゆる Whois
(https://whois.jprs.jp/)による検索によって、レジストリ(登録管理組織)
へのメールアドレスの登録の有無及び組織名、ドメイン管理担当者情報等が確認
できる。特に、「co.jp」のドメインは、日本で何かしらの法人格がなければ取得
できないドメインで、一つの企業・組織につき一つだけしか取得することができ
ないとされるものであり、ドメイン登録時に法人登記情報との照合が行われてい
るため、登録された法人は実在しており、ドメイン使用者は法人に所属している
と考えることができる。
そのため、確認回答者ごとに、実際に回答したユーザーのメールアドレスにつ
いて、メールアドレスのドメインが適切かどうかについて確かめることは有益で
あると考えられる。なお、「co.jp」ドメイン以外のドメインについては、必ずし
もこのように登録管理組織によって組織の実在性を確かめた上でドメインが登
録されていないことがあることに留意する。
ドメイン検索の結果、ドメインが登録管理組織に登録されているが、確認回答
者が適切な情報源ではないリスク又は確認回答者が回答権限をもっていないリ
スクが許容可能な低い水準にないと考えられる場合には、ドメイン検索に加えて、
確認回答先への電話による確認、ドメイン管理担当者への電子メール等による照
- 9 -
会等の実施を考慮することがある。
(例5)電子署名の活用
回答が適切な情報源から得られていないリスク、確認回答者が回答権限をもっ
ていないリスク、及び確認回答者が回答内容を否認するリスクに対応するために、
確認回答者からの回答に電子署名の添付を求めることにより、回答者の所属する
組織の実在性を確かめる方法が想定される。
ここにいう電子署名とは、電子署名及び認証業務に関する法律に定められるよ
うな、電磁的に記録された情報について作成者を示す目的で行う暗号化等の措置
で、改変があれば検証可能な方法により行うものをいい、電子署名が本人のもの
であることを確認する電子証明書が認証業務事業者によって発行されているも
のを想定している。このような電子署名が電子的経路を経て入手した確認回答者
からの回答に付されている場合、監査人は、確認回答者からの回答が作成者本人
の意思によるものであること、電子署名の付された電子的な文書が改竄されてい
ないことを確かめることができるため、有益であると考えられる。
なお、立会人型の電子署名においては、署名のプロパティ又は作成者及び認証
業務事業者間の合意契約締結書等に情報の作成者の電子メールアドレス情報が
表示されることがある。
この場合には、確認回答依頼を電子的経路で実施する際に用いた確認回答者の
電子メールアドレスと照合することにより、確認依頼時に想定した適切な情報源
から回答が得られているかどうかを確かめることができる。
(例6)法務省商業登記に基づく電子認証制度の活用
回答が適切な情報源から得られていないリスク及び確認回答者が回答権限を
もっていないリスクに対応するために、確認回答者からの回答に登記所が発行す
る会社・法人の電子証明書(http://www.moj.go.jp/MINJI/minji06_00028.html)
の添付を求めることにより、回答者の所属する組織の実在性を確かめる方法が想
定される。
情報の作成者の本人性の確認を目的とする電子署名制度とは異なり、この認証
制度は、印鑑証明書(紙媒体)に代えた電子媒体による法人登記が行われている
ことを証明する手法であり、理論上は、企業間の電子商取引への適用も可能であ
る。ただし、現行では、国・地方公共団体等に対する多くのオンラインによる申
請・届出の手続において,利用されるにとどまっており、企業間取引への展開は
あまり行われていない。また、申請のためには、利用者(確認回答先)が登記所
において当初手続を行う必要があり、また、監査人が電子証明書を見読するため
には専用のソフトウェアをインストールする必要がある等、所定の対応が必要と
なることに留意する。
- 10 -
(例7)IP アドレスの不正検知機能の活用
回答が適切な情報源から得られていないリスク及び確認回答者が回答権限を
もっていないリスクに対応するために、監査人のウェブサイトによる電子的確認
システムにおいて、被監査会社の使用する IP アドレスと、回答者ユーザーの IP
アドレスを照合することにより、同一の IP アドレスを使用していないかどうか、
すなわち、確認回答者が被監査会社と同一ではないか、確かめることが考えられ
る。
この対応においては、電子的な技術を活用して、被監査会社と同一の可能性の
ある確認回答者を網羅的に検知することができる。また、被監査会社に対して、
確認回答者へのなりすましを牽制することができる。
ただし、この対応を行う場合には、あらかじめ、被監査会社の IP アドレスを
入手するとともに、確認回答の電子システムに IP アドレスの照合機能を組み込
んでおくことが必要となる。また、上記の検知機能は、被監査会社のネットワー
ク以外から(例えば個人のメールアドレスから)、確認回答者として監査人のウ
ェブサイトにアクセスした場合には検出対象とならないため、なりすましリスク
の軽減は限定的であり、ドメインの適切性の検討等の対応と組合せて実施するこ
とが考えられる。
(例8)監査人のウェブサイトの信頼性の確認
電子的に行われた確認回答の改変を検出するのが容易でなく、送受信時に不適
切な介入や改竄といった不正行為が行われていた時にそれらが検出されず情報
伝達の完全性(インテグリティ)が確保されないリスクが存在する。こうしたリ
スクを必要な程度まで軽減できているかどうかは、監査人のウェブサイトの仕組
みに依存するため、監査人は、それぞれの状況に応じた適切な対応を検討する。
例えば、監査人のウェブサイトに組み込まれた内部統制のデザインが状況に適合
しているかどうかを運営管理者が継続的に評価する、又は所定の処理からの逸脱
が生じた場合にはその是正対応を行うことが考えられる。また、監査人のウェブ
サイトを複数の監査人が共同で使用している場合には、独立した第三者による受
託業務に係る内部統制の検証報告書を利用することも考えられる。
(例9)確認回答者からの宣誓等の入手
確認回答者が正当な回答権限を有する者であるかどうかを確かめることが容
易ではなく、確認回答者が回答内容を事後に否認した時にこれに対する反証が提
示できないリスクが存在する。このようなリスクを一定程度軽減するために、監
査人のウェブサイトにおける確認回答の内容に、確認回答者が確認先において回
答権限を有している旨、確認回答が正確である旨及び当回答は紙媒体等の形式に
- 11 -
よる他の回答に優先する旨を記載するように、監査人のウェブサイトに機能を組
み込むことが考えられる。
以 上
・ 本周知文書(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映し
ている。
- 監査基準報告書(序)「監査基準報告書及び関連する公表物の体系及び用語」
(2022 年7月 21 日改正)
- 12 -