監査基準報告書 500 研究文書第1号
電子的監査証拠に係る研究文書
2 0 1 3 年 7 月 3 0 日
改正 2 0 2 1 年 1 2 月 2 8 日
最終改正 2 0 2 2 年 1 0 月 1 3 日
日 本 公 認 会 計 士 協 会
監査・保証基準委員会
(研究文書:第3号)
目 次
Ⅰ はじめに ............................................................... 1
Ⅱ 電子的監査証拠の定義と証拠力その他の特性 ............................... 1
1.電子的監査証拠とは ................................................... 1
2.電子的監査証拠と書面の証拠の違い ..................................... 2
3.電子的監査証拠の原本性について ....................................... 4
4.暗号化された電子的記録データの監査証拠性 ............................. 5
5.電子的監査証拠に関する監査調書の作成 ................................. 5
Ⅲ 電子的監査証拠入手に関する留意点 ....................................... 6
1.監査証拠の入手に当たっての留意点 ..................................... 6
(1) 電子データを入手するための技術的な環境 ............................. 6
(2) 実施する監査手続の種類への影響 ..................................... 7
(3) 監査手続の実施時期への影響 ......................................... 7
(4) 電子データの入手方法に関する企業との合意 ........................... 8
2.監査証拠の評価に関する留意点 ......................................... 9
(1) 監査証拠の信頼性 ................................................... 9
(2) EDI取引の場合等 ................................................ 10
(3) 電子的監査証拠の特性に基づく留意点 ................................ 11
Ⅳ 監査アプローチと監査証拠に関する留意点 ................................ 12
1.監査の信頼性と効率性の向上 .......................................... 12
2.企業及び企業環境の理解のための情報の活用 ............................ 14
3.精査・継続的監査 .................................................... 16
(1) 監査証拠の変化 .................................................... 16
(2) 精査 .............................................................. 16
(3) 精査によるメリット ................................................ 17
- i -
(4) 継続的監査(continuous audit)について ............................ 19
(5) 不正の観点におけるCAATの活用 .................................. 20
(6) 統計的サンプリング及び分析的手続におけるCAAT .................. 22
4.電子的監査証拠の保存環境による検討 .................................. 23
(1) 企業による保存 .................................................... 23
(2) 企業による電子的監査証拠の廃棄 .................................... 24
(3) 外部委託又はASPを利用している場合 .............................. 25
Ⅴ 監査調書作成上の留意点 ................................................ 25
1.監査証拠として利用したデータを企業が保存していないケース ............ 25
2.監査調書として保存したデータに、個々の内容を検討していないデータが含ま
れるケース ............................................................ 26
3.電子的監査証拠に関する監査調書への記載項目 .......................... 27
Ⅵ 課題と提言 ............................................................ 29
- ii -
Ⅰ はじめに
ITが発達し、企業全般の業務がITによって処理されるようになっている今日、
監査人が監査の対象とする会計記録も書面で存在していたものが失われ電子データ
となっている比率が高まってきている。特定の企業間で発注から納品・請求・支払ま
でのやり取りを電子化するといった取引は以前より行われているが、近年では、一般
消費者を対象とする企業でも売上げ、仕入れといった業務範囲では書面が全く存在し
ていないという業務も増えてきている。典型的な例としては、鉄道会社(ICカード
を通じた決済など)、クレジットカード会社、インターネット銀行、携帯電話会社、
ソフトウェアのダウンロード販売の企業、通信販売の会社などがこれに該当する。こ
うした業種の中には、国民のインフラともいえる規模の企業もあるが、売上高数十億
円といった規模の企業も存在している。また、売上げの一部がオンラインショップで
の販売になっている場合、売上げや出荷に関する証憑等は、電子化されていることが
多いため、会計記録がペーパーレスという環境は、かなり拡大しているといえよう。
こうした企業環境の中で、監査人は、電子的監査証拠を積極的に活用することで、
効率的により強い監査証拠を入手することができるようになっている。例えば、電子
データに対してCAAT(Computer-assisted audit techniques)を利用することで、
監査人は、書面の監査証拠に対し手作業で行う監査に比べて監査対象範囲の拡大と同
時により短時間で効率的な監査を実施することができる。監査計画段階でも、企業か
ら入手した電子データを分析することで、監査計画の質の向上と作業の効率化を図る
ことができる。
そこで、IT委員会1では、電子的監査証拠を入手する場面、利用する場面、監査
アプローチ自体の変化、監査調書として保存する場面において、主として監査基準報
告書 230「監査調書」及び同 500「監査証拠」の規定を基にして、電子的監査証拠に
ついての具体的な取扱いに関わる論点を抜き出し、留意点を取りまとめた。
本研究文書では、Ⅱ章において電子的監査証拠の定義や特性について整理を行い、
その上で、Ⅲ章以下で具体的な留意点を取りまとめている。本研究文書を参考にしつ
つ、電子的監査証拠の取扱いに関する監査実務が成熟していくことを期待したい。
本研究文書は、一般に公正妥当と認められる監査の基準を構成するものではなく、
会員が遵守すべき基準等にも該当しない。また、2021 年 12 月 28 日時点の最新情報
に基づいている。
Ⅱ 電子的監査証拠の定義と証拠力その他の特性
1.電子的監査証拠とは
電子的監査証拠とは、企業において電子的に作成、転送、処理、記録、保存され
た情報から監査人が入手し、意見表明の基礎となる個々の結論を導くために利用す
1 本研究文書の前身であるIT委員会研究報告第 43 号「電子的監査証拠~入手・利用・保存等に係る現状 の留意点と展望~」は、2013 年7月にIT委員会から公表している。
- 1 -
る情報である。監査証拠とは、財務諸表の基礎となる会計記録に含まれる情報及び
その他の情報である。この定義での会計記録とは、企業が作成した取引や会計事象
の記録とその裏付けとなる記録であるとされる。例えば、取引を認識した記録(起
票)とその裏付けとなる記録(例えば、小切手、電信送金票、請求書、契約書等)
や、総勘定元帳、補助元帳、仕訳帳、仕訳帳に記帳されない財務諸表に対するその
他の修正、及び原価配分・計算・調整・開示を裏付けるワークシートやスプレッド
シートなどの記録が含まれる(監基報 500 第4項参照)。監査証拠は、こうした会
計情報のほかに監査人が視察により得た情報、質問により得た回答内容など、企業
が作成した会計記録以外の情報も網羅したものである。しかし、監査証拠は、監査
人が意見表明の基礎となる個々の結論を導くために利用する情報であるから、企業
にある全ての会計記録が監査証拠となるわけではない。したがって、仮に監査人が
総勘定元帳1冊をまるごとコピーしたものを入手することがあっても、それ自体で
は監査証拠であるとはいえない。電子的監査証拠の場合、大量の情報を監査人が入
手することが可能となるため、単なる会計記録と監査証拠を明確に区分するという
観点は、書面の監査証拠を前提としていた時代よりも重視されることとなる。
現行の監査基準報告書の中には、「電子的監査証拠」という用語は存在しないが、
「電子的証憑」「電子的な取引ファイル」「電子的記録」「電子的手段」といった用
語は使用されており、企業におけるITの利用状況を前提とすると、あえて、「電
子的監査証拠」を定義するまでもないという取扱いなのではないかと推測される。
本研究文書においては、企業が作成した会計記録その他の情報のうち、電子的媒体
で記録・保存されているものを「電子データ」という表現で記述し、このうち監査
人が監査証拠としたものを「電子的監査証拠」と表現することとする。
2.電子的監査証拠と書面の証拠の違い
監査証拠とは、「監査人が意見表明の基礎となる個々の結論を導くために利用す
る情報をいう。監査証拠は、財務諸表の基礎となる会計記録に含まれる情報及びそ
の他の情報からなる。」(監基報 500 第4項参照)とされている。監査人が入手する
監査証拠は、文書や質問に対する回答を書き取った調書といった形式に依拠するも
のではなく、そこから読み取れる、認識できる「情報」であると考えられる。そし
て、監査人は、「監査手続を立案し実施する場合には、監査証拠として利用する情
報の適合性と信頼性を検討考慮しなければならない。」(監基報 500 第6項参照)と
されているが、この情報の適合性と信頼性の検討考慮のプロセスの違いが旧来の書
面を前提とした監査証拠と電子的監査証拠での相違点であると考えられる。
さらに、「企業内部で作成される監査証拠の証明力は、情報の作成と管理に関す
る内部統制等、関連する内部統制が有効な場合には、より強くなる。」(監基報 500
の A31 項参照)が、書面の場合、作成日がいつであるか、承認印が捺印されている
か否かなど記録や文書を入手すると同時にこれらの作成に係る内部統制の有効性
- 2 -
の一部が把握できる。これに対して、電子的監査証拠においては、その情報を作成
した情報システムを含む企業のIT全般統制、情報処理統制を別途検証しておかな
ければ、その作成に係る内部統制の有効性の検討ができない。
こうした特性の違いにより、電子的監査証拠を入手すること、監査証拠として活
用することについて、技術的問題から監査人が消極的になりがちであった時代もあ
ったと思われる。しかし、現在では、IT全般統制、情報処理統制の検証が監査業
務の中で実施されているので、電子的監査証拠の作成に係る内部統制の有効性につ
いて別途の検証が必要なわけではない。むしろ大量の情報を入手してテストしたり、
加工したりすることが短時間に正確に実施できる点で、電子的監査証拠を入手する
ことで強い証拠を入手することができるようになっている。この点も書面の監査証
拠と電子的監査証拠の重要な相違点である。
カナダ勅許会計士協会(現 カナダ勅許職業会計士協会)『電子的監査証拠』では、
電子的監査証拠と伝統的な監査証拠についての対比を行っている2。監査人は、書
面の証拠と電子的監査証拠の特質の違いを意識しながら監査手続を実施していく
必要があろう。
伝統的な監査証拠
電子的監査証拠
源 泉 基点の立証は容易である。
基点の立証は、電子情報を確かめる
ことによってだけでは困難である。
認証と否認防止を考慮するコントロ
ールとセキュリティ技術を使って決
定される。
変 更 紙文書の変更は容易に検知さ
電子情報を確かめるだけで変更を検
れる。
知するのは不可能でないにしても困
難である。
情報のインテグリティは信頼できる
コントロールとセキュリティ技術に
依存する。
2 The Canadian Institute of Chartered Accountants (CICA), Electronic Audit Evidence (CICA, 2003).
カナダ勅許会計士協会、日本公認会計士協会訳『電子的監査証拠』(第一法規株式会社、2007 年) 16‐19 ページ。
- 3 -
承 認 紙文書は紙面に承認の証拠を
電子情報を確かめるだけで承認を確
示している。
認するのは困難である。
情報の認証を考慮するコントロール
とセキュリティ技術を使って、決定
される。
完全性 取引のすべての関連事項は通
取引の関連事項はしばしば別々の記
常一つの文書に含められてい
録又はデータの中に含まれている。
る。
読取り 機器は必要ない。
さまざまな技術や機器がしばしば必
要である。
フォー
文書に組み込まれている。
データと別になっており、変更可能
マット
である。
可用性と
監査における制約は通常存在
データの監査証跡は監査時には使用
アクセス
しない。
容易性
できないかもしれず、データにアク
セスすることはより難しいかもしれ
ない。
署 名 紙文書に署名し、署名をレビュ
信頼できる電子的署名を発行し、そ
ーするのは単純な問題である。
れをレビューするため、適切な技術
(カナダ勅許会計士協会、日本公認会計士協会訳、前掲注1、19 ページ)
が必要とされる。
3.電子的監査証拠の原本性について
監査基準報告書 500 の A31 項では、「原本によって提供された監査証拠は、コピ
ーやファックス、フィルム化、デジタル化その他の方法で電子媒体に変換された文
書によって提供された監査証拠よりも、証明力が強い。原本以外の文書の信頼性は、
その作成と管理に関する内部統制に依存することがある。」とされている。例えば、
企業から最初からコピーで提供された契約書の信頼性よりも、監査人が契約書の原
本を閲覧した上で監査人自身がコピーした契約書のコピーの信頼性の方が高いと
いう具合である。しかし、作成の最初の段階から電子データとして存在している電
子的監査証拠については、電子データについての情報のインテグリティを確保する
手段が講じられている場合には、原本とコピーを厳密に区分する必然性が低下して
いる側面がある。書面における原本性や真正性を確保する手段である署名捺印や印
鑑証明書に対して、電子的監査証拠については、電子署名とタイムスタンプという
技術が存在している。書面への署名については筆跡を似せる、印鑑を不正利用する
といった行為の結果として改竄や成りすましが可能となる。さらに、その書面をコ
ピーした場合、不正が行われたもの(例えば、署名や捺印は他の書面からの切り貼
- 4 -
りを行った上でコピーをする。)である危険が高くなり、コピーを監査人の目前で
行うといった統制も必要になる。しかし、電子署名やタイムスタンプごとファイル
をコピーした場合、原本からの改変が行われていれば電子署名の検証で明らかにな
るため、電子的監査証拠については原本とコピーの証拠力の差異はないと考えるこ
ともできる。
ここで電子署名とは、秘密鍵暗号技法と公開鍵暗号技法を組み合わせて、電子文
書が署名者本人により作成され、改変等が行われていないことを確かめる技術であ
る。タイムスタンプとは、電子署名と同様の技法を利用して、タイムスタンプとし
て付された時点でその電子文書が存在し、その後改変されていないことを証明する
仕組みである。公開鍵暗号の解読にはスーパーコンピュータを利用しても膨大な年
数が必要であるとされており、電子署名を偽造するといった犯罪は現状では経済
的・技術的に極めて不合理であるため、あり得ないと考えられている。そのため、
電子データの原本性や真正性を確保する適切な手段が取られている場合、原本とコ
ピーとを区分する必然性がなくなるという側面があるといえる。
4.暗号化された電子的記録データの監査証拠性
会計記録には電子取引における取引先から受領した暗号化された電子的記録デ
ータをも含むのであろうか。暗号化されたデータは、復号という手続を経なければ
プリントアウトしても見読可能にはならない。Ⅱ2で述べたように監査証拠とは、
「監査人が意見表明の基礎となる個々の結論を導くために利用する情報をいう。監
査証拠は、財務諸表の基礎となる会計記録に含まれる情報及びその他の情報からな
る。」とされているが、その情報とは、復号したデータなのか、復号前の暗号化さ
れているデータをも含むのであろうか。
企業内の業務処理システムのデータファイルが全て暗号化されて保存され、利用
時に復号されるようなITアプリケーションで運用されている場合、単にプリント
アウトしたときに見読可能であることを要件とすると会計記録とすべきものがな
くなってしまうおそれもある。暗号化したり、復号するプロセスが企業のITによ
る情報システムにビルトインされ、ほぼ自動的に実行されるようなものであれば、
暗号化されている磁気ディスク等のデータが会計記録を構成するデータと考える
ことになり、復号された後の見読可能な情報も含め監査証拠と考えてよいのではな
かろうか。復号されて生成されたとされるデータが本当に暗号化されたデータから
生成されたものであるかについて疑念が生じる場合には、その復号化のプロセスに
ついて検証の必要性があることになろう。
5.電子的監査証拠に関する監査調書の作成
電子的監査証拠に関する監査調書の作成に関する議論としては、例えば、監査の
作業中に入手した電子データのうちどこまでを監査調書に残す対象とし、監査調書
- 5 -
として保存するかという問題があると考えられる。電子的監査証拠は、大量に入手
可能であるが、それは同時に、監査調書が電子的に作成されているのか、監査調書
が書面を中心とする場合に一部を電子データのまま保存するのかといった問題に
も関係する。
このほかにも現時点では、監査人は、監査基準報告書及び関連する監査の実務指
針の記述の中における電子的監査証拠に関する記載に関して、実務の局面でどのよ
うな対応をするべきかについて紙媒体における対応に比べれば十分な経験を積ん
でいるとはいえない。次章以下では、こうした観点から電子的監査証拠に関する具
体的な実務上の留意点について触れていくものである。
Ⅲ 電子的監査証拠入手に関する留意点
監査人が監査の過程で入手しようとするデータが電子データのみとなった場合、そ
の入手方法、タイミング等に従来と異なる影響が生じることがある。本章では、こう
した問題について検討する。
1.監査証拠の入手に当たっての留意点
(1) 電子データを入手するための技術的な環境
監査人は、監査の過程において入手すべき情報が、どのような形態で存在して
いるかについて検討する。入手すべき情報が電子データの場合、それが入手可能
かどうか、また利用が可能かどうか検討する。電子データについては、通常は、
あらかじめ企業のシステム構成やデータフロー、データの内容を把握しておき、
その情報に基づいて監査手続の種類及び時期を検討することになる。これに関し
て監査基準報告書 500 の A12 項において以下のように記載されている。
A12.実施する監査手続の種類及び時期は、ある会計データとその他の情報が電
子媒体のみであるか、又はある時点若しくはある期間においてのみ利用可能で
あるかどうかによって影響を受ける。例えば、注文書及び請求書のような原始
文書は、企業が電子商取引を利用している場合には、電子媒体でのみ存在して
いることがあり、また、企業が保存や照合を容易にするために画像処理システ
ムを使用している場合には、画像読取り後に破棄されていることもある。
対象となる情報が電子データのみで存在している場合に、それを監査証拠とし
て利用するには、まず当該電子データを監査人が入手するための技術的な環境が
必要となる。代表的な方法は以下のとおりである。
・ 電子データをダウンロードして監査人のPC上で使用する。
企業にデータの準備を依頼し、それを監査人のPC上にダウンロードする方
法である。特殊なデータの場合、監査人のPCに閲覧用のITアプリケーショ
ンをインストールすることもある。
・ ネットワーク経由でデータを閲覧する。
- 6 -
監査人又は企業のPCを企業の情報システムにネットワーク接続して電子
データを閲覧する。必要な場合には電子データをダウンロードして加工するこ
ともある。
会計記録その他の情報が電子データで存在している場合には、上記のような環
境において監査を実施した方が情報を紙媒体で入手する場合よりも効率的に監
査を実施できると考えられるため、できるだけ電子データのまま入手して、監査
手続を実施すべきであろう。しかしながら、電子データを利用する環境が整わな
い場合には、電子データを紙媒体の形式に変換して利用することも考えられる。
例えば、企業に電子的な原始文書のプリントアウトを依頼し、それを監査で利用
する方法である。この場合には、プリントアウトのプロセスに関する内部統制を
評価することにより、その証明力について判断することになる。例えば、ITア
プリケーション上に保持されている売掛債権の請求に関するデータをプリント
アウトするケースにおいて、あらかじめITアプリケーションに用意されている
プリントアウト機能を利用している場合と、担当者が一旦 Excel ファイルにダウ
ンロードしてからプリントアウトして利用している場合とでは、データの内容が
変更されるリスクが異なり、プロセスの内部統制評価のポイントも変わってくる
と考えられる。いずれにしても、このような点を新たに評価する必要があること
や、プリントアウトの経済性も考慮すると、紙媒体に変換するよりも、電子デー
タのまま監査を実施できるように環境を整えることを検討すべきであろう。
(2) 実施する監査手続の種類への影響
監査手続を実施する対象が電子データである場合、実施する監査手続自体が紙
媒体の場合と異なることがあり得る。例えば、従来は紙媒体であった手形が電子
的な形式になった場合、監査人が実物を直接閲覧する手続である実査は実施不可
能であり、電子的な手形の仕組みを提供している企業に確認手続を実施するなど、
他の手続によることになるであろう。実査によって得られる証明力と確認によっ
て得られる証明力は異なると考えられるため、監査手続を計画する際に留意が必
要となる。
(3) 監査手続の実施時期への影響
監査基準報告書 500 の A13 項において、以下のように電子情報、すなわち、電
子データの入手タイミングに制限がある場合に監査人として取るべき対応につい
て記載されている。
A13.ある種の電子情報は、ファイルが上書き保存されバックアップ・ファイル
がない場合には、所定の期間が経過した後では再現することができない。した
がって、監査人は、企業のデータ保存方針によっては、監査のために情報の保
- 7 -
存を要請するか、又は情報が利用可能なときに監査手続を実施する必要がある。
上記 A13 項のほかにも、以下のように電子データ又は紙媒体の情報を利用でき
るのが一定期間又は一定時点に限られる場合、監査手続の実施時期に影響を与え
ることが想定される。
・ ストック的なデータが残らない、すなわち、一定時点のスナップショット3が
ないITアプリケーションの場合
・ 企業が原始文書を電子化した後で破棄している場合
これらの場合には、監査手続を実施できる時期に合わせて監査人が手続を実施
することが一つの対応方法として考えられる。こうした監査手続の実施は、監査
人側に追加的な人員が必要になることもある。
また、企業に、監査人が手続を実施する時期まで電子データを保存しておくよ
う依頼することも別の対応方法として考えられるが、企業において追加的な手順
が必要となり、場合によっては情報システムの改定が必要になることも想定され
る。
監査人としては、どのような対応を取るかについて企業と十分に協議し、事前
に合意しておくことが重要である。
(4) 電子データの入手方法に関する企業との合意
監査人は、効果的かつ効率的な監査を実施する観点から、電子データの入手方
法について企業とともに事前によく検討し、あらかじめ合意しておくことが必要
である。一般的には、電子データを利用することにより精度が高く効率的な手続
が実施できるため、電子データによる入手を検討することが考えられる。一方で、
電子データを入手する場合には、データの正確性や網羅性などについて追加的に
検証する手続が必要になる場合がある点に留意する。
監査人が何らかのデータ処理アプリケーションを使用している場合、企業で使
用しているITアプリケーションから出力されるデータのフォーマットは、当該
ITアプリケーションが必要とするフォーマットと異なることが多い。このよう
なケースにおいて、フォーマットの変換作業をどちらが実施するかも検討する必
要がある。監査人が直接変換作業を実施する方がより高いデータの信頼性、すな
わち正確性や網羅性を確保できる。一方で、監査に要する時間を削減する観点で
は、データ処理の専門家ではない監査人が実施するよりも、企業にあらかじめデ
ータの変換を依頼することが効率的であろう。ただしこの場合には、データの信
3 データベースの全データ又は更新データを定期的に保存しておき、更新後も一定時点のデータ内容を確 認できる仕組みをいう。プログラムやファイル構成の保存についても用いられる場合があるが、本研究文 書では、データの保存を指している。
- 8 -
頼性の確保について別途検討する必要がある。双方の観点を効果的に満足させる
ため、企業のシステム上に変換ロジックやデータ抽出用アプリケーションを組み
込んでおくことも考えられる。
電子データを入手する場合には、データ内容を理解し、それに基づいて適切に
依頼する必要がある。企業と合意の上でその入手範囲を文書によって特定するこ
とが望ましい。
2.監査証拠の評価に関する留意点
監査基準報告書 500 の A12 項において、以下のように監査証拠として利用し得る
情報が電子データのみかどうかで、監査手続の種類及び時期に影響を与える旨が記
載されている。
A12.実施する監査手続の種類及び時期は、ある会計データとその他の情報が電子
媒体のみであるか、又はある時点若しくはある期間においてのみ利用可能である
かどうかによって影響を受ける。例えば、注文書及び請求書のような原始文書は、
企業が電子商取引を利用している場合には、電子媒体でのみ存在していることが
あり、また、企業が保存や照合を容易にするために画像処理システムを使用して
いる場合には、画像読取り後に破棄されていることもある。
(1) 監査証拠の信頼性
電子的監査証拠を監査に利用する場合に、監査人が留意すべき点は、監査証拠
としての信頼性である。また、紙文書が原本として存在するかしないかで、その
信頼性の検証手続も異なってくる。監査手続の開始前に、まず監査証拠として利
用可能かどうかを十分に検討する必要がある。
電子データとして入力する際には紙文書が存在したが、入力後に紙文書が破棄
された場合はどうであろうか。紙文書の保存コストの低減を目的として、紙文書
を電子的にスキャニングし、正確性の確認後、紙文書は破棄するという行動を取
ることも想定しておく必要がある。紙文書が破棄された時点で、監査証拠として
の原本はスキャン後の電子データとみなさざるを得ない。
電子帳簿保存法において、決算関係書類、帳簿、3万円以上の契約書・領収書
を除いて、その他の書類についてはスキャナを利用して作成された電磁的記録に
よる保存(以下「スキャナ保存」という。)が、一定の要件の下で認められてい
る。
当該要件は、①読取り装置、②信頼性の確保、③可視性の確保の3要件である
が、監査証拠として電子帳簿保存法に基づきスキャナ保存された各種書類の電子
データを原本として取り扱う場合には、各要件の監査対象年度における適合性を、
整備及び運用状況のテストを通じて評価する必要があることに留意する。
ハード面を除いた具体的な検証項目は以下のとおりである。
- 9 -
・ 電子署名
・ タイムスタンプ
・ バージョン管理(訂正・削除の事実及び内容の確認)
・ スキャニングした書類と帳簿との関連性の確保
監査上は、上記に加えて監査対象年度を通じて監査証拠の信頼性を担保するた
め、スキャナ保存を実現している情報システムのIT全般統制の有効性評価も必
要となることに留意する。
電子帳簿保存法の承認を受け、電磁的記録を備付け及び保存している企業にお
いては、上記電子帳簿保存法の要件を満たしていることが期待できる。しかし、
スキャナ保存を実施していながら、同法の承認を受けない企業が存在することも
想定する必要がある。例えば、紙文書の破棄はしないが、保存コストを考慮し、
スキャニング後は都市部の本社保存から地方の工場等、他の遠隔地保存を検討す
る企業の存在である。
その場合には、IT委員会研究報告第 30 号「e-文書法への対応と監査上の留
意点」を参照の上、以下の手続を取る必要がある。
① スキャナ保存手続の理解
② スキャナ保存に関わる統制活動の理解・検証
③ イメージ文書に関する実証手続
すなわち、スキャナ保存に関する企業の内部統制を評価した上で、依拠できる
と判断された場合にのみ、電子データは監査証拠としての信頼性を有するといえ
るのであり、依拠できない場合には、監査証拠入手の際に文書としての原本の提
示を企業に求めることになる。
外部委託業者を利用したスキャニングが実施されている、又は外部委託を検討
している場合には、当該外部委託業者が電子帳簿保存法に基づく要件を満たして
いる事業者かどうかを企業が調査しているかを、監査人として検討することが考
えられる。
(2) EDI取引の場合等
次に、紙文書が存在せず、取引の開始から電子データのみしか存在しないED
I取引の場合を考察する。
取引先から受信した注文データや、取引先に送信した発注データが取引記録の
原始データとなることは容易に判断し得るが、請求書にスポットを当てた場合に、
監査証拠としての原本が何になるかは、一定時点で設定される締処理において、
どのような手続がなされるかで異なってくる。
つまり、締日において取引として確定したデータを基に請求データが生成され
- 10 -
るが、当該データを基に、紙文書としての請求書がアウトプットされるか、請求
データも電子的に送受信されるかで異なってくる。
監査証拠として取引データを利用する場合と、請求データも電子的に送受信さ
れている場合の請求データを利用する場合には、EDI取引を実現している自動
化された情報処理統制(取引先とのインターフェースにおける正確性と網羅性、
受信データの完全性、処理ロジックの正確性、マスタメンテナンスの適切性等)
のみでなく、監査対象年度を通じて情報処理統制が有効に機能していることを担
保するため、IT全般統制(アクセス・コントロール、システム変更、データ保
全・データ修正の適切性を含むシステム運用)の整備、運用状況の有効性を評価
する必要がある。
納品書等取引データはEDI取引で処理されているが、監査証拠として紙文書
の請求書を利用する場合には、一貫してアプリケーション・システムにより処理
されている場合と比較し、アウトプットの正確性、網羅性が保証される必要があ
ることから、自動化された情報処理統制としての正確性、網羅性の検証に加え、
人手が介在する処理に対して正確性を担保するといった手作業による情報処理
統制も併せて評価対象とする必要があることに留意する。
(3) 電子的監査証拠の特性に基づく留意点
電子的監査証拠は、その特性から固有の留意点が存在する。監査基準報告書 500
でも以下の記載がなされている。
A49.監査人が証明力の強い監査証拠を入手するためには、監査手続に利用する
企業が作成した情報の正確性及び網羅性が十分である必要がある。例えば、標
準価格を販売数量の記録に適用して実施する収益に対する監査手続の有効性
は、当該標準価格情報と販売数量データの正確性に依存する。同様に、監査人
が、ある一定の属性(例えば、承認の有無)に関して、ある母集団(例えば、
支払取引)をテストしようとする場合、テスト対象の項目を抽出した母集団が
網羅的でない場合には、テスト結果は証明力が弱いものとなる。
A50.情報の正確性及び網羅性についての監査証拠を入手するための監査手続が
当該情報を利用した監査手続と不可分である場合、情報の正確性及び網羅性に
ついての監査証拠は、当該情報を利用した監査手続の実施と同時に入手される
ことがある。その他の状況では、監査人は、情報の作成と管理に関する内部統
制の運用評価手続を実施することによって、当該情報の正確性及び網羅性につ
いての監査証拠を入手することもある。しかしながら、ある状況では、監査人
は追加的な監査手続が必要であると判断することもある。
- 11 -
企業の情報システムによって作成された情報を監査人が監査手続に利用する
場合、監査人は、情報の正確性及び網羅性に関する監査証拠を入手する必要があ
る。例えば、その際に入手した監査証拠のデータの源泉の検討、入手した監査証
拠のデータの網羅性と整合性に関する検討を行うこともある。
電子データとして入手するケースもあれば、アウトプット帳票として入手する
ケースもあると考えられるが、いずれの場合でも正確性及び網羅性は確保されな
ければならない。
A50 項の「その他の状況では」以下に記述されているように、ある帳票が内部
統制上利用されている場合には、当該内部統制の運用評価手続の評価結果が有効
であれば、当該帳票を監査証拠として利用することによる特段の手続は必要とし
ない。
しかしながら、A50 項の末尾記載の「ある状況」のように、内部統制に依拠で
きない場合又は期末実証手続のみに利用する帳票の場合等情報処理統制の評価
対象となっていない場合には、監査人自らが追加的に当該帳票の正確性及び網羅
性について検証する必要がある。
次に、A49 項でいう「情報の正確性及び網羅性が十分である」とはどのような
手続によって担保されると考えればよいかという問題がある。入手データが一定
時点のある勘定科目の全データであれば、試算表と突合することで網羅性の検証
は容易に可能であるが、一部のデータである場合には、どこまで検証手続を実施
すればよいであろうか。
正確性の検証については、サンプル1件(複数処理パターンがある場合は各パ
ターンにつき1件)について検証を実施すれば問題ないといえるので、対応は比
較的容易であるが、網羅性の検証についてが問題となる。
例えば、滞留棚卸資産のリストについて考えると、非滞留分が含まれていない
場合には当然試算表との突合はできない。
その場合には、当該監査における滞留棚卸資産についてのリスクの大きさによ
って、網羅性の検証の程度を決定することが必要となる。以下ではリスクの大き
い順に、検証手続の事例を記載している。実際の手続実施にはITの専門家の関
与を検討することも必要となるであろう。
① 全社データを入手し試算表と突合する。その上で滞留リストのロジックで再
抽出したものと入手リストとを突合する。
② 一部の拠点につき、棚卸資産データを全て入手し、ロジック検証を実施する。
他拠点についても同一のロジックであることを確認し、全社的に網羅的に滞留
リストが出力されているとの心証を得る。
③ 一部の拠点の一部の在庫区分について、棚卸資産データを全て入手し、②と
同様の手続を実施し、全社的に網羅的に滞留リストが出力されているとの心証
を得る。
- 12 -
Ⅳ 監査アプローチと監査証拠に関する留意点
監査の環境が電子データ中心となると、監査アプローチの変化によって、より証明
力の強い監査証拠が入手できるようになるとともに、監査の効率化を図ることができ
る。一方で、監査証拠となる電子データの保存環境に関する課題が生じることもある。
本章では、こうした問題を検討する。
1.監査の信頼性と効率性の向上
監査の実施においては経済性の考慮も求められることになり、そのため監査の信
頼性と効率性のバランスを取る必要が生じてくる。監査証拠が電子的監査証拠とな
る場合、この変化に対応して、信頼性の中で効率性を向上する必要が生じる。例え
ば、CAATを考慮した場合、監査の効率化の面と深度ある監査の実施の面がある
ことは前述のとおりであり、推進することが望まれるが、Ⅲ2「(3) 電子的監査証
拠の特性に基づく留意点」で述べたように、電子的監査証拠はその特性から固有の
留意点が存在していることから、慎重な検討が必要となる。
次項の「企業及び企業環境の理解のための情報の活用」と関連するが、分析的手
続(分析的実証手続を含む。)においても、電子データで情報を入手することは、
監査の信頼性と効率性の両立を図ることができるため、活用の範囲は広い範囲とな
るとともに、監査証拠としても重要な位置付けになると考えられる。
このような点を踏まえると、効果的かつ効率的な監査を実施するため、電子的監
査証拠を意識して監査計画を策定する意義は大きく、監査基準報告書 300「監査計
画」でも、「監査業務を適切に管理し、その結果、効果的かつ効率的な方法で監査
を実施すること」(第2項参照)が求められており、監査証拠が電子的監査証拠と
なる場合でも、変化に合わせた監査計画上の対応が必要となる。
2.監査計画には、監査業務に対する監査の基本的な方針の策定と詳細な監査計
画の作成が含まれる。適切な監査計画は、監査を実施する上で様々な利点があ
り、例えば、以下の事項が可能となる。(A1項からA3項参照)
・ 監査の重要な領域に対して監査人が適切な注意を払うこと
・ 潜在的な問題を適時に識別し解決すること
・ 監査業務を適切に管理し、その結果、効果的かつ効率的な方法で監査を実
施すること
・ リスクに対応するために、適切な能力及び適性を有する監査チームメンバ
ーを選任し、作業を適切に割り当てること
・ 監査チームメンバーに対する指示、監督及び監査調書の査閲を適切に行う
こと
・ 必要に応じて、構成単位の監査人の作業や専門家の業務と連携すること
監査証拠が電子的監査証拠となる場合には、監査計画へも影響を与える可能性が
ある。例えば、先に述べた入手のプロセスの変化は実務的には大きな影響を与える
- 13 -
ことになり、現状の監査チームメンバーで対応できない場合には、ITの専門家を
加えるなどの対応も検討する必要がある。
監査計画における考慮事項として、監査基準報告書 300 の付録「監査の基本的な
方針を策定する際の考慮事項」でも、「監査手続の実施におけるITの影響(例え
ば、データやコンピュータ利用監査技法(CAAT)の利用可能性)」、「企業の従
業員の対応可能性やデータの利用可能性」が記載されており、電子的監査証拠につ
いて意識されている。ただし、データ自体の信頼性の前提が崩れると、CAATや
分析的手続自体の意味がなくなるため、企業のコントロール状況、言葉を換えると
情報の信頼性のメカニズムが確立されているかを十分に検討する必要がある。なお、
監査計画は状況が変化する場合など、必要に応じて修正が求められるが、期中での
ITアプリケーションにおけるプログラムの修正等が影響を与える可能性がある。
このため、リスク評価の観点は当然であるが、入手されるデータへの影響も十分勘
案する必要がある。
監査証拠に占める電子的監査証拠の割合が増加する中で、監査の信頼性と効率性
のバランスを取ることは、今まで述べてきたように、電子化によるリスクを認識す
るとともに、電子化のメリットも認識し、例えば、CAATによる再計算や精査に
よる今までよりも深度のある、また効率的な監査の実施を目指すことでもあるとい
える。監査における対象項目から手作業とCAATの適用方法の相違例を記載する
と以下の表となる。CAATの適用は、手作業では実施が難しい範囲の拡大(網羅
性)が可能となる。例えば、販売数量に基づく売上高の分析的実証手続など、対象
範囲の拡大が必ずしも作業の増加につながらず、逆に効率的に実施できるケースも
ある。また、企業の業績評価や監視活動の電子データの情報を利用することによっ
て、効率化を行うことができる可能性もある。
対象項目
手作業
コンピュータ利用監査技法
減価償却 減価償却費の
減価償却費計算の再実施
オーバーオールテスト
仕 訳 期末時点で行われた仕訳入力及び
CAATによる監査対象期間
修正を対象とした仕訳テスト
の全仕訳を対象とした仕訳テ
(CAAT)
スト
監査証拠に占める電子的監査証拠の割合の増加は、リスクの増大だけではなく、
むしろ効率化の施策ともなり得るものであり、監査人は積極的にこの変化を捉えて
いくことが求められているのである。
2.企業及び企業環境の理解のための情報の活用
近年、企業において、例えば、KPI(key performance indicator)のような
- 14 -
指標を設定して、そのKPIによる業績の測定を実施するケースが増加してきてい
る。業績の測定においてITを利用しているケースは一般的であるが、この情報を
監査人が活用することは、企業及び企業環境の理解に有用となる。監査基準報告書
315「重要な虚偽表示リスクの識別と評価」の中で、「Ⅲ3.(3)③ 企業の業績を
評価するために経営者が使用する測定指標」として、企業内部で作成された情報を
中心として、以下の記載がなされている。
A67.経営者及び企業内外の者は、通常、重要とみなした指標を測定して検討す
る。経営者が業績を評価して行動を取るために一定の主要指標(一般に入手可
能な場合もあれば、そうでない場合もある。)に依拠していることが、経営者
への質問により明らかになる場合がある。この場合、監査人は、企業が経営管
理のために使用している情報を検討することによって、関連する業績の測定指
標(社内的なものもあれば、対外的なものもある。)を識別する場合がある。
また、質問により、経営者が業績を測定し又は検討していないことが明らかに
なった場合には、虚偽表示が発見されず修正されないリスクが高まることがあ
る。
例えば、小売業や飲食業における客単価、製造業における製品別の粗利率や機械
の稼働率、ソフトウェア業における従業員一人当たりの売上高や付加価値額などが
具体的な指標として挙げられる。また、最近は連結ベースの経営管理として、財務
数値のみならずKPIなどの指標を利用しているケースも増加している。また、内
部での作成情報のみならず、アナリストや格付機関の報告書のような外部情報も、
競合企業との業績比較などで有用である。
指標などの数値が持つ意味であるが、企業の業績の測定につながるものであるた
め、財務諸表に関連する、特に、質的に重要な勘定科目に影響するものに関連する
ことが多く、虚偽表示リスクの識別と評価において有用となる。さらに、KPIな
どの指標を設定する場合は、結果の評価のみならず、プロセスの評価によって打つ
べき手を検討するためにも使用されることが多く、企業が原因を判断して是正措置
を取るかを注意深く検討するとともに、取ることができない場合は潜在的なリスク
につながる可能性があることを示している。監査基準報告書 315 でも、この点に関
して以下の記載がある。
A68.業績を評価するために使用される主要な指標には、以下のような事項を含む。
・ 主要な業績指標(財務及び非財務)、主要比率、趨勢及び業務運営上の統計
数値
・ 業績の期間比較分析
・ 予算、予測、差異分析、セグメント情報及び事業部又は他の組織レベルで
の業績報告
・ 従業員の業績評価とインセンティブ報酬に関する方針
- 15 -
・ 競合企業との業績比較
監査計画段階においても、監査基準報告書 315 により計画するリスク評価手続の
種類、時期及び範囲を含んだ詳細な計画が求められている。入手される情報は監査
の進捗に応じて更新されたものとなるため、必要に応じてリスク対応手続を含む監
査計画の修正が行われる。
企業内部で作成された情報において、細かいセグメントでの情報となると、どこ
にどのようなデータがあるか、どこにデータが多いのかなど企業が保有する情報に
ついて把握することが求められる。事業単位やビジネスユニットなど、監査におい
てどの対象範囲で情報を入手することが適切かを検討することが必要となる。外部
で公表されている情報の一つとして、EDINET による有価証券報告書などの情報が
あるが、XBRL によって作成されているため、利用が容易となっている。また、国
等による統計情報などもCSV形式など加工がしやすい形式で提供されるケース
も多い。同業他社との比較などでは、このような外部情報を活用することが監査の
効率化に役立つと思われる。
3.精査・継続的監査
(1) 監査証拠の変化
監査証拠は、「監査人が意見表明の基礎となる個々の結論を導くために利用す
る情報」(監基報 500 第4項参照)である。この監査証拠について、対象の媒体
は今までは紙媒体が中心となっていたが、近年電子媒体であるケースが増加して
きている。この結果、今までの伝統的な監査では通常は実施が不可能な精査がC
AATの手法によって実現できることになる。また、例えば、分析的手続におい
て、より多くの証拠を集めたり、関連データとの整合性を検討したりするなど、
より深度ある監査を実施することが可能となる。
(2) 精査
監査人が利用可能な、監査手続の対象項目の抽出方法として、監査基準報告書
500 では、以下のものが挙げられている(A52 項参照)。
① 精査(100%の検討)
② 特定項目抽出による試査
③ 監査サンプリングによる試査
ここで、①精査は A53 項において、以下の記載がなされている。
A53.監査人は、取引種類又は勘定残高を構成している項目の母集団全体(又
は当該母集団における階層)を検討することが最も適切であると判断するこ
とがある。精査は、内部統制の運用評価手続には通常適用しない。しかしな
がら、詳細テストにおいては、用いられることがある。精査は、例えば、以
- 16 -
下のいずれかの場合に適切であることがある。
・ 母集団が少数の金額的に大きい項目から構成されている場合
・ 特別な検討を必要とするリスクが存在する場合で、他の方法では十分か
つ適切な監査証拠を入手することができない場合
・ 情報システムによって自動的に行われる反復的な性質の計算等、精査が
費用対効果の高い方法である場合
A53 項でいう「情報システムによって自動的に行われる反復的な性質の計算等」
とは、例えば、ネットショッピングやコンビニエンスストアにおいて多品種・大
量の商品が反復的に売買されるケースが想定される。このようなケースにおいて、
詳細テストとして「単価×数量」が正しく計算されているかを監査人が手作業で
検証する場合は、抽出した件数に比例した時間がかかる。これに対して、CAA
Tの利用であれば、使用するPC等の性能にもよるが、「単価×数量」が正しく
計算されているかを検証するための監査プログラムの設定を行えば、監査人が別
の作業を行っている間に、自動的に検証作業が行われることになるため、精査が
費用対効果の高いものとなる。
ただし、CAAT利用の前提として、対象となる情報は紙ではなく電子データ
として存在してなければならない。
(3) 精査によるメリット
監査サンプリングは、母集団の均質性を前提として、統計的サンプリングによ
って抽出したサンプルから母集団全体に関する結論を導き出す方法であり、母集
団の均質性を確認するために、対象となる内部統制の整備、運用状況を評価する。
ただし、サンプリングリスクによって、誤った結論が導かれるリスクが常に存在
する。このため、母集団全体を対象として全てを抽出するという精査は、サンプ
リングリスクの排除にもつながり、監査の実施面からも意味が見いだされる。こ
れは、監査証拠の証拠力という観点からは、より強い証拠の入手と考えることが
できる。
反面、監査コストという経済性の観点からは、サンプリングと比較すると、母
集団が少数であるケースを除いて、多大な労力がかかり、合理性がないとされる。
また、ノンサンプリングリスクである不適切な監査手続や監査証拠の誤った解釈
は、サンプリングであれ、精査であれ、同様に正しい結果が導き出すことができ
ない。しかし、CAATの利用は、通常、費用対効果に優れている方法であり、
入手された情報の範囲という前提であるが、精査が実現できることになる。入手
された情報の範囲という前提というのは、会計データの中に正しく会計事実が表
されていなければ、精査を実施したとしても正しい結論を導き出すことができな
いことである。このため精査を実施する場合でも内部統制の評価自体は必要であ
- 17 -
り、精査を行うことによる安易な内部統制の評価の省略は認められない。
なお、サンプリングによる試査においては、母集団から一部の項目を抽出して
母集団全体の一定の特性を評価するのが目的であるが、CAATで母集団全体を
入手しているケースでは、母集団自体の分析を行うことも可能となる。例えば、
ベンフォードの法則4のような会計帳簿の数値の先頭の数字が1の出現頻度が1
番高く、次いで2、3・・・のような順になることを利用して、実際の会計仕訳
のデータを分析し、更に母集団自体の分析を行うことが可能となる。このように
直接的な母集団自体の分析は、試査では不可能であったことを可能としており、
母集団について虚偽表示がないかどうかを検討する手段として重要であると考
えられる。
【図表1】仕訳データに基づくベンフォードの法則によるグラフ
実際の大量仕訳データに基づいたベンフォードの法則によるグラフであり、左
が予想(理論値)、右が実際値を示している。予想と実際の仕訳データとの間に
大きな乖離は見られないことが分かる。
予 想 と 実 際 の 出 現 割 合
予想
実際
1
2
3
4
5 一番左の数値
6
7
8
9
4 ベンフォードの法則は、自然界のデータは、データが大量でランダムな数で構成されている場合に、最 初の桁(数値の一番左の桁)が使用される頻度を統計データで検証した結果、全てが 1/9 ではなく、1が 最も高い頻度で現れ、次いで2、3・・・のような順になることを示すものである。ランダムなデータで ある必要があることから、電話番号のような規則性があるものには使用できない。不正な会計データとし て、例えば、意図的に多くの少額な不正データを作成し、会計データとした場合、ベンフォードの法則に 近似していないことから不正発見の端緒となる可能性が生じる。
- 18 -
【図表2】乱数に基づくベンフォードの法則によるグラフ
乱数により作成した大量のデータに基づいたベンフォードの法則によるグラ
フであり、左が予想(理論値)、右が実際値を示している。予想に対して実際の
乱数による仕訳データとの間に大きな乖離が生じていることが分かる。これは乱
数により1から9までの数値が平均的に発生するためである。
予 想 と 実 際 の 出 現 割 合
予想
実際
1
2
3
4
5 一番左の数値
6
7
8
9
(4) 継続的監査(continuous audit)について
継続的監査(continuous audit)とは、企業が利用している情報システム自体
に監査の機能を組み込むことによって、常時監査を行うものである。この場合、
企業が利用している情報システム自体に監査の機能を用意してこの監査機能を
監査人が利用する方法と、監査人側が監査モジュールを用意して、企業が利用し
ている情報システムにこの監査モジュールを組み込む方法がある。汎用機を利用
している場合では、監査人側が用意した監査モジュールを組み込むケースが存在
したが、監査モジュールの組込みによって情報システムの障害が発生する可能性
があること、また、内部監査での利用のため、ERPなどのソフトウェアに監査
機能を有するケースが増加していることから、現在は情報システムに組み込まれ
た監査機能を利用するケースが大部分と考えられる。ただし、監査機能を有する
ソフトウェアは必ずしも多くない。
継続的監査では、例えば、監査人が設定した一定の条件に該当した場合、情報
システムに組み込まれた監査機能によってその条件に該当した取引や仕訳等を
記録し、この有無を監査人が確認することによって不正の有無などを検証するこ
- 19 -
とが可能となる。特殊な取引が発生した際にその取引を記録する、ある支店で一
定金額以上の取引が発生した際にその取引を記録する等が具体的な例であるが、
情報システムに組み込まれた監査機能では取引等が発生した時点で記録するた
め、正確性及び網羅性の観点からも有効な方法となる。
時間という観点からは、継続的監査が実施できない場合、事後的に記録された
データを基に検証するのに対し、継続的監査はリアルタイムに検証すると考える
ことができる。情報が早く入手できることは監査の実施においても、深度のある
監査につながる可能性があるとともに、効率化につながる可能性もある。また、
距離という観点からは、通信を利用して企業の外からモニタリングを実施するこ
とも可能となる。遠隔地における情報である場合は、監査効率の面からも有効と
なる。
このようにメリットが大きい反面、情報システムに組み込まれた監査機能に対
してプログラムの変更が行われていないか、監査機能で扱えるデータに制限が加
えられていないか、監査機能により抽出したデータが保護されているかなど、監
査機能を利用して問題がないかどうかを検討することに留意する必要がある。こ
のため、アクセスログを閲覧するなど、ITを活用することに対する別の監査上
の手続が必要となる。また、通信を利用して企業の外からモニタリングを実施す
る場合は、セキュリティが確保されることが必要となる。継続的監査において、
企業の情報システムを常時利用することから、企業のシステム部の協力が必要と
なるため、導入時には十分な打合せを行うことが望まれる。
(5) 不正の観点におけるCAATの活用
監査基準報告書 240「財務諸表監査における不正」第5項では、「監査人は、不
正によるか誤謬によるかを問わず、全体としての財務諸表に重要な虚偽表示がな
いことについて合理的な保証を得る責任がある。」とされている。しかし、監査
固有の限界のために、重要な虚偽表示が発見できないというリスクがあり、その
一つに上級経営者が関与する不正が挙げられている。これは、内部統制は経営者
が構築したものであり、経営者が内部統制を無効化するリスクが存在していると
いうことである。
監査基準報告書 240 第8項において、以下が要求されている。
8.監査人は、合理的な保証を得るために、経営者が内部統制を無効化するリ
スクを考慮するとともに、誤謬を発見するために有効な監査手続が不正を発
見するためには有効でない可能性があるということを認識し、監査の過程を
通じて職業的懐疑心を保持する責任がある。
また、ITに関連して、IT委員会実務指針第6号「ITを利用した情報シス
テムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応す
- 20 -
る監査人の手続について」(以下「IT実6号」という。)第 57 項では、情報シ
ステムを利用した不正への対応としてCAATに関して以下の記載がなされて
いる。
57.評価したアサーション・レベルの不正による重要な虚偽表示リスクに対応
する監査人の手続として、例えば、債権データや在庫データを抽出して特定
顧客先の明細や滞留状況の分析をするために、CAATを利用する場合があ
る。
また、経営者による内部統制の無効化に関係して不適切な仕訳入力やその
他の修正には、一定の識別できる特性をもっていることが多く、また特定の
勘定に含まれる場合があることから、CAATを利用することにより、不正
による重要な虚偽表示の兆候を発見することが可能になる場合がある。
CAATは膨大なデータから監査人が必要とするデータを比較的容易に
網羅的に抽出できる。ただし、サンプル母集団が少量の場合はCAAT以外
の手続を行った方が効率的な場合もある。
また、CAATで利用するデータが、監査人の手続の目的に合致している
ことを確かめる。監査人が利用を予定する情報が含まれていないデータであ
った場合や、抽出された日付の範囲が異なっている場合等には、有効な手続
を行うことができないので留意する。
CAATの利用により、対象とする母集団の全てを検索・抽出の対象とするこ
とが可能となるため、経営者による内部統制の無効化に関係したリスク対応手続
として、CAATを利用した実証手続は有効な一手段となる。例えば、通常の営
業日以外に入力された取引や仕訳の入力と承認が同一のIDを抽出してリスト
化する等の方法により、不正の有無を検討するための糸口につながる可能性があ
る。紙に出力された仕訳の閲覧では入力日や入力者・承認者までの記載はなされ
ていないことが多い。これに対して、電子データには、帳票に印字された情報以
外に、多くの情報が記録されており、CAATによってこの情報を活用すること
で、より深度のある監査を実施することができるのである。
また、帳票間の整合性の検証の手続も、不正対応の手続として有効であるが、
ここにおいてもCAATは有効な手段となる。電子ファイル間の突合において、
複数の部署で生成されているデータの関連性を確かめることで、データの操作が
行われていないという心証を得ることができるとともに、企業においてもデータ
操作が行いにくいという牽制効果にもつながると考えられる。
ただし、CAATは万能なものではなく、監査における手法として採用できる
ものが増えたと考えるべきである。CAATの活用は監査手続の有効性と効率性
を改善する一つの方法である。監査基準報告書 240 の付録2「不正による重要な
虚偽表示に関するリスク対応手続の例示」でも、「CAATを用いて手続を実施
する。例えば、データマイニングにより母集団から異常取引を抽出する。」など、
- 21 -
CAATに関する記載がいくつもなされている。
(6) 統計的サンプリング及び分析的手続におけるCAAT
補足として、以下、統計的サンプリング及び分析的手続におけるCAATにつ
いて記載する。
① 統計的サンプリングにおけるCAAT
CAATは精査を実施する手法と考えられることが多いが、統計的サンプリ
ングにおいても、有効な手法となる。統計的サンプリングは、①サンプル項目
の無作為抽出と②サンプリングリスクの測定を含めサンプルのテスト結果を
評価するに当たっての確率論の利用、という二つの特性をもったサンプリング
手法であるが、無作為抽出はCAATの活用によって乱数表を使った手作業よ
りも効率的に実施することが可能となる。また、確率論の利用についても、同
様にCAATの活用により効率性を図ることが可能となる。
特定項目抽出に関してもCAATの活用により一定金額以上の全ての項目
の抽出などを効率性に実施することが可能であり、CAATは広く応用するこ
とが可能である。
② 分析的手続へのCAATの活用
分析的手続とは、「財務データ相互間又は財務データと非財務データとの間
に存在すると推定される関係を分析・検討することによって、財務情報を評価
することをいう。分析的手続には、他の関連情報と矛盾する、又は監査人の推
定値と大きく乖離する変動や関係の必要な調査も含まれる。」(監査基準報告書
520「分析的手続」第3項参照)とされている。
分析的手続において、CAATの活用は有効であり、IT実6号第 56 項では、
CAATを利用した実証手続として、以下の記載がなされている。
56.監査人は、母集団の定義の妥当性の検討、母集団の網羅性の検討、特定の
性質に基づく母集団の分割、母集団からのサンプルの抽出等を、電子データ
を用いて実施することがある。
監査人は、CAATを利用した総勘定元帳、補助元帳等の再計算、集計の
再実施や電子ファイル間の突合を実施することがある。
分析的手続にCAATを利用することにより、効率的、効果的に手続を実
施できることがある。例えば、製品別の回転期間分析、拠点別の収益性分析、
顧客別売上高推移比較等が該当する。
また、例えば、有価証券の時価情報の検討において、外部のデータベースから
時価を電子データで入手し、再計算することによって、企業の計算の正確性を確
かめるなど、CAATの活用は監査の効率性を高めるとともに、今までは一部を
手作業で行っていたことを網羅的に検証することが可能になるなどの質的な向
- 22 -
上にもつながる。
4.電子的監査証拠の保存環境による検討
(1) 企業による保存
電子データが企業によって保存されている場合には、入手又は閲覧の可能性に
ついては基本的に問題は生じない。ただし、考慮すべき点としては、電子データ
を監査証拠とする場合に、画面による閲覧のみでその旨を監査調書に記載するこ
とで監査証拠となり得るかという問題がある。
監査基準報告書 500 では、閲覧(電子媒体含む。)について、以下の適用指針
が示されている。
A14.記録や文書の閲覧は、紙媒体、電子媒体又はその他の媒体による企業内
外の記録や文書を確かめる監査手続であり、また、実査は資産の現物を実際
に確かめる監査手続である。記録や文書の性質や情報源によって、さらに、
企業内部の記録や文書の場合にはそれらの作成に係る内部統制の有効性に
よって、監査人が記録や文書の閲覧により入手する監査証拠の証明力は異な
る。運用評価手続として実施する記録や文書の閲覧の例として、承認の有無
を確かめることがある。
例えば、内部統制評価に際し、端末画面の閲覧により評価した場合に、単にど
のような画面を閲覧したかの記載のみよりは、閲覧した画面のスクリーンショッ
ト5を入手することが、より証明力は強いといえるであろうが、どの時点におい
ても同一のオペレーションによって同内容の画面表示が可能な場合においては、
当該オペレーション内容を記述することで、一定の証明力は有すると考えられる。
内部統制監査におけるIT全般統制の評価に当たって、システム設定を評価す
る際に閲覧した画面であれば、閲覧後の設定変更の可能性があることから、証明
力と効率性を考えてもスクリーンショットを入手することも考えられる。
一方、実証手続におけるCAATデータの場合は、入手データの網羅性が検証
されていれば、入手データそのものを監査証拠として保存しなくとも、データ抽
出のためのソース(SQL6文、マクロ、JCL7等)を保存することで足り、電
子データそのものの保存は必ずしも必要とは考えられない。
5 スクリーンキャプチャと同意。コンピュータのディスプレイ画面全体やウィンドウに表示された内容を 静止画像のデータとして保存すること。 6 Structured Query Language。リレーショナル・データベースの照会言語の一つ。データの更新や検索な どの処理に用いられる。 7 Job Control Language。メインフレームでバッチ処理を行う際に、システムに対して実行する処理の名 前や使用する装置などを伝える言語。OSがこの記述を解読して、処理を実行に移す。
- 23 -
(2) 企業による電子的監査証拠の廃棄
監査基準報告書 500 では、以下の適用指針が示されている。
A12.実施する監査手続の種類及び時期は、ある会計データとその他の情報が
電子媒体のみであるか、又はある時点若しくはある期間においてのみ利用可
能であるかどうかによって影響を受ける。例えば、注文書及び請求書のよう
な原始文書は、企業が電子商取引を利用している場合には、電子媒体でのみ
存在していることがあり、また、企業が保存や照合を容易にするために画像
処理システムを使用している場合には、画像読取り後に破棄されていること
もある。
A13.ある種の電子情報は、ファイルが上書き保存されバックアップ・ファイ
ルがない場合には、所定の期間が経過した後では再現することができない。
したがって、監査人は、企業のデータ保存方針によっては、監査のために情
報の保存を要請するか、又は情報が利用可能なときに監査手続を実施する必
要がある。
データの発生量とデータ保存機器の導入コストとの関連から、監査対象年度の
電子データが監査終了以前に廃棄される場合も想定できる。または、紙媒体の証
憑類をスキャニングにより電子媒体化し、原始文書はその後破棄される場合も想
定できる。そのような場合に、監査人はどのように対処すべきであろうか。
まず、監査人としては、監査手続の実施時期において、監査上必要となる電子
データの保存を企業に求めることになる。その際の企業側の必要コストに応じて
監査手続の実施時期を事前に十分検討しておく必要がある。
また原始文書の取扱いについては、スキャニングによる電子媒体化の内部統制
が有効に整備運用されていることを十分評価する必要がある。その結果、内部統
制に依拠できると判断された場合を除いて、上記同様、監査手続の実施時期まで
原始文書の保存を企業に求めることになる。
さらに、電子データの場合には、廃棄はされなくとも上書きによって再現不可
能となることも想定する必要がある。
この場合も、上記同様、監査手続の実施時期を検討するか、一定時点の状況で
電子データのバックアップの保存を企業に求めるべきかどうかを検討する必要
がある。
(3) 外部委託又はASPを利用している場合
アプリケーション・システムの運用を外部委託している場合又はASP8提供
8 Application Service Provider。ビジネス用のアプリケーションソフトをインターネットを通じて顧客 にレンタルする事業者のこと。ユーザはWebブラウザなどを通じて、ASPの保有するサーバにインス
- 24 -
のアプリケーション・システムを利用している場合に、電子データは外部委託先
又はASPが保存していることが想定される。昨今事例が増えつつある、クラウ
ドコンピューティングにおいても、SaaS9の場合には同様の状況が想定され
る。
その場合に、端末から閲覧、更にはプリントアウトが可能なものについては、
監査上、随時入手が可能であるが、大量データの入手となると、企業が委託先と
の契約時点で取決めをしていないと、随時の閲覧行為に制約が課されることも考
えられる。
特定の委託元のデータダウンロードを実施することにより、他の委託元へのサ
ービスに影響を与える場合には、委託先からデータ提供を拒否される場合もある
ことが想定される。
企業がアプリケーション・システムの運用を外部委託している又はASPが提
供するアプリケーション・システムを利用している場合、監査人としては、監査
手続に制約が生じないよう、委託契約において、電子データの提供を可能とする
契約条項をあらかじめ入れることを企業に求めることになる。
Ⅴ 監査調書作成上の留意点
企業の環境が電子データ中心となると、監査調書の作成方法や記載項目に変化が生
じる可能性がある。本章では、こうした問題を検討する。
1.監査証拠として利用したデータを企業が保存していないケース
企業の中で利用されている電子データには、帳簿のような長期保存が行われるも
のばかりではない。そのため、企業での長期保存が行われない電子データに対する
監査人の対応を検討する必要がある。
「株式会社は、会計帳簿の閉鎖の時から 10 年間、その会計帳簿及びその事業に
関する重要な資料を保存しなければならない。」(会社法第 432 条第2項参照)とさ
れている。会計帳簿等が電子化された場合も同様であり、10 年間保存する義務は
会社が負っている。
電子データのうち、電子化された会計帳簿等すなわち電子帳簿等のデータを監査
人が監査の過程で入手し利用した場合、その情報は監査調書に監査証拠として記載
され、保存される。企業も法定上の会計帳簿等として保存している。
電子データのうち、電子帳簿等以外のデータを監査人が監査の過程で入手し利用
した場合にも、その情報は監査調書に監査証拠として記載され、保存される。当該
トールされたアプリケーションソフトを利用する。 9 Software as a Service。ビジネス用のアプリケーションソフトをインターネットを通じて顧客が利用す る点ではASPと同様。ASPとは異なり、複数のユーザでサーバやデータベースをシェアすることで、 ハードウェア/ソフトウェア費用や運用管理費用が抑えられたり、ユーザごとのカスタマイズを可能とし ていたり、他のアプリケーションとの連携を可能としている場合もある。通常クラウドコンピューティン グの一サービス形態を指す。
- 25 -
データは法定上の会計帳簿等として保存する義務がないため、企業が保存しないケ
ースが考えられる。一定期間ごとに上書きされる設定になっているログファイルや
一定時点での残高情報など、データを保存しておくことが技術的に困難なものもあ
る。
いずれの場合も、監査人は、企業から入手した電子データそのものは、監査証拠
ではないため、監査調書として保存しない。これは、例えば、監査の過程で利用し
た書面の総勘定元帳の全てを監査調書として保存するわけではないのと同様であ
る。ただし、データの保管に大きな負荷がないのであれば、監査調書としてではな
く、参考として保存しておくことも考えられる。例えば、翌年以降の監査において、
どのような資料から監査手続を実施したかが分かりやすくなるからである。
電子帳簿等以外の電子データの場合、企業に保存義務のないデータを監査人が監
査調書の一部として保存することになる。企業が当該データを保存しておらず、監
査期間終了後に監査の過程で利用した電子データの正確性などを問われた場合、ど
のように対応することになるのか。例えば、電子データからサンプルを抽出して手
続を実施した場合、元の電子データが保存されていないと後から抽出データを特定
することは困難になる。
このような抽出データについては、データソース、抽出方法、抽出を行った時点、
抽出したデータのID番号のほか、主要な項目のデータを監査調書に記載しておけ
ば足りると考えられる。元データを次年度以降に参照するために保管することもあ
るかもしれないが、後から抽出データを特定することを可能にするための目的で元
データを監査調書として保存する必要はないといえよう。
2.監査調書として保存したデータに、個々の内容を検討していないデータが含ま
れるケース
電子データを監査調書として保存した場合、保存したデータの中に、実際には
個々の内容を検討していないデータが含まれることがある。その部分に誤謬などが
含まれていた場合に監査人の責任が追及されるようなことはないであろうか。
例えば、売掛金の得意先別残高リストをデータで入手して監査手続を実施し、そ
のデータを監査調書として保管している場合に、監査期間終了後に判明した不正の
対象となっていた取引先がリスト中に含まれていたことが判明したとする。当該取
引先は、リストから抽出する際の条件から外れていたため監査手続上の検討の対象
になっていなかったが、抽出の対象となっていれば不正が判明したであろうと後か
ら結論付けられることがあるかもしれない。
このような観点からも、監査の過程で入手して利用した電子データについて、ど
のような目的・抽出条件でデータを入手し、それに対してどのような手続を実施し
たかを監査調書で明確に記載することが必要となる。監査の過程の中で、監査人が
企業のシステム全体をどのように理解したかを文書化し、データ入手の目的の基礎
- 26 -
を明らかにしておくことも重要であろう。電子データを監査調書の一部として保存
する場合、個々の内容を検討していないデータを監査調書として保存する度合いが
高まるため、一層の留意が必要と考えられる。
3.電子的監査証拠に関する監査調書への記載項目
監査調書を作成するに当たっては、①手続を実施した項目や対象を識別するため
の特性、②監査手続を実施した者及びその完了日、③査閲をした者、査閲日及び査
閲の対象を記録しなければならないが(監基報 230 第8項参照)、これは、どのよ
うな監査手続を実施したのかを事後的にも検証できることが必要であるためと考
えられる。監査基準報告書 230 の A12 項では、記載事項の具体例が列挙されている。
A12.手続を実施した項目又は対象を識別するための特性を記録することは、いく
つかの目的に役立つことになる。例えば、実施した作業内容を明らかにするこ
とや、例外的な事項又は整合性がとれない事項の検討を効率的に行うことがで
きるようになる。
手続を実施した項目又は対象を識別するための特性は、監査手続の種類とそ
の項目又は対象によって異なり、例えば以下のようなものとなる。
(1) 注文書に対し詳細テストを実施する場合は、選定した注文書の日付及び注
文番号
(2) ある母集団から一定金額を超えるすべての項目を選定又はレビューする手
続の場合は、手続の範囲及び対象とした母集団(例えば、仕訳帳にある 100
万円を超えるすべての仕訳)
(3) 系統的抽出法を実施する場合は、選定した母集団が記録されている資料、
開始点及びサンプリング間隔(例えば、出荷報告書の抽出において4月1日
から9月 30 日までの出荷記録から 12345 番の書類を開始点として 125 番間隔
で選択)
(4) 質問を実施する場合は、日付、対象者及び役職名
(5) 観察を実施する場合は、対象としたプロセス又は事象、関係者とそれぞれ
の責任、場所及び日時
電子的監査証拠を入手して監査手続を実施した場合における、手続を実施した項
目や対象を識別するための特性としては、以下のようなものが考えられよう。
- 27 -
・ 情報システムの概要とその中での監査手続の対象としてのファイルの名称
・ 当該ファイルのレコードレイアウトとそのレコードレイアウトの中で抽出対
象とした見出し項目(フィールド)
・ 抽出した取引データ(レコード)
・ 情報システムの概要とその中での監査手続の対象としてのファイルの名称
書面を対象とした監査においても注文書を突然に監査対象として取り上げる
のではなく、監査対象業務の中での業務の流れを把握して、その中で注文書が果
たす役割を検討した上で詳細テストの対象として選定しているはずである。した
がって、電子的監査証拠の監査を実施する上でも、取引データを含むファイルが
情報システムの中でどのような位置付けにあるのか、どのような流れで生成され
るものであるのかを検討した上で詳細テストの対象として選定する。そのため、
まず、情報システムの概要の把握が当該手続を記載した監査調書ないし別途作成
されている情報システムの概要を記載した監査調書でなされている必要がある。
その上で、ファイルの名称を監査調書に記載する。
・ 当該ファイルのレコードレイアウトとそのレコードレイアウトの中で抽出対象
とした見出し項目(フィールド)
それぞれのファイルには、記録項目が列挙されているので、それを把握した上
で、どの記録項目を選択して抽出の対象としたのかを記載する。例えば、注文書
データであれば、発注日、発注先コード、発注先名、発注品名コード、発注品名、
数量、単価、金額、納期、発注者コード、発注者名、承認者コード、承認者名な
どである。なお、発注書データにおいては、発注先コードがあっても発注先名は
ない、発注品名コードはあっても発注品名がないといったこともある。これらは、
取引先マスタ、品名マスタからデータを参照して画面に表示したり、書面にプリ
ントアウトしたりするような仕様になっている場合があるからである。この場合、
データを抽出する際に、こうしたマスタからの引用もある場合には、その事実と
マスタの概要にも触れることが望ましい。
・ 抽出した取引データ(レコード)
抽出した取引データの記述に関しては、電子的監査証拠の場合、10 万件抽出し
て設定した条件に合致するデータを検証するといったこともある。また、抽出し
た全件を他の電子的監査証拠と照合するといったことも実施し得る。したがって、
抽出したデータのプリントアウトを監査調書に綴り込むということ自体が不可
能である場合も考えられる。
こうした場合には、設定した条件に合致した絞り込み検証の対象となったデー
タを監査調書に記載すればよい。また、大量のデータ同士を照合した場合には、
- 28 -
照合結果として全件一致すればその旨の記述、又はその結果を示すスクリーンシ
ョットなどを監査調書に記載する。また、一部不一致のデータがあれば、その不
一致の理由の解明をするはずであり、不一致のデータとその解明の方法と結果を
記載することになろう。
なお、抽出対象となったデータは、企業側で数年以上の長期にわたって保存さ
れ続けるとは限らないため、監査手続に当たって入手したデータの全てを保存し
ておくことも保存方法の進展によっては将来的に可能になろう。これにより監査
証拠の形成プロセスの再現性を高めることとなり、監査調書の査閲においても次
年度以降の監査手続の実施においてもその理解度を高める効能などを期待でき
る可能性がある。ただし、入手したデータそのものは、監査人が意見表明の基礎
となる個々の結論を導くために利用する前段階の情報にすぎないものであって、
監査証拠ではない。こうした情報まで保存することは、企業の取引データを大量
に保持することとなり、そのセキュリティにも配慮する必要が出てくることにな
る。
Ⅵ 課題と提言
研究文書の最後に、今回の検討では取り上げなかったものの将来的な課題や提言と
なる事項について掲げておきたい。
企業担当者等への質問(特に長時間にわたるヒアリング)などでは、録音したり録
画したりすることで得られる音声データ、映像データが生じることになるが、これも
監査証拠となり得るものである。入手した電子データをそのまま監査調書の一部とし
て保存することが日常的になれば、写真など画像データに加えてこうした音声、映像
データも監査証拠の一部を形成するものとして監査調書に保存されるようになろう。
この結果、従来、インタビューは、質問者と書記役の2人の監査人が行うことが好ま
しいとされていた手法が1人でも実施しやすくなることで監査の効率化が図られる
ことになる。音声データのテキスト化の技術の進歩によっては、音声データに加え、
音声をテキストに変換したデータ(ないしその出力)も作成し、その全てを保存した
り、一部を取り出し整理して監査調書とすることができる。また、調書査閲者もこの
音声や映像ないし変換されたテキストの全部又は一部を利用することで、査閲時の要
点の把握や理解の度合いの向上に役立つようになることも期待できる。
こうした変化の延長線上に監査調書自体の電子化という課題がある。従来、手書き
が主体であった監査調書は、監査計画策定プロセスの強化などの流れの中でPCによ
って作成されることが増えてきている。監査調書が電子化されていると、そのデータ
ファイルを監査チーム内で共有することで、監査調書の査閲なども容易になるといっ
た効能が期待される。しかし、会計帳簿の電子化において、訂正や削除、追加入力の
証跡が残りにくいといった側面があるのと同様に、監査調書が監査報告書日以降の最
終的な整理を終えた後、既存の監査調書の修正又は新たな監査調書の追加が必要とさ
- 29 -
れないにもかかわらず訂正されたり、追加記入されるようなことがあれば、品質管理
上の問題、訴訟における証拠としての観点での問題などが生じないとはいえない。
また、書面がないペーパーレスであるがゆえの不正対応の問題も検討すべき課題で
あり、不正に対するITに関わる監査アプローチについて検討の必要があると思われ
る。書面が存在する環境での不正においては、証憑書類の偽造等の手数、社内での機
密保持の関係で金額の大きい取引数件で不正を行うような場合が多いと想定される。
しかし、ITにより書面が存在しなくなっている環境においては、不正取引のデータ
の件数を少なくする必然性はなくなり、少額で大量の不正取引データが作成されて不
正行為が行われる可能性も考えられる。また、プログラムミスなどによって、誤謬の
ある取引データが1件当たりは少額ではあっても大量に作成されることにより、総額
としては重要な虚偽表示リスクを生じることも考えられる。こうした場合、監査アプ
ローチや監査の手法の変更や工夫が必要になるのではないかと思われる。また、証憑
類をスキャンして画像データとしてPCに取り込むことで、精緻に偽造された書面の
証憑を利用した不正も増えるかもしれない。この場合、監査人が証憑の真贋を判定す
ることの困難性の増大、正当な注意の範囲についての問題が生じることも考えられる。
このようにIT特有の特性に応じて不正の手口の変化があるならば、監査アプローチ
の変化や監査ツールの開発も必要になろう。Ⅳ3(3)で触れた精査、(4)の継続的監査
などは、監査計画や監査ツールとして今後の普及があってもよいものかもしれない。
今後ともITの発展が見込まれるため、企業のIT環境の変化に応じて逐次必要な
研究や監査実務の向上を継続していくことになるものと考えられよう。
以 上
・ 本研究文書(2022 年 10 月 13 日改正)は、次の公表物の公表に伴う修正を反映し
ている。
- 監査基準報告書(序)「監査基準報告書及び関連する公表物の体系及び用語」(2022
年7月 21 日改正)
- 30 -