2019年4月5日付で、日本公認会計士協会IT委員会から現行のIT委員会研究報告第42号「IT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」に関するQ&A」の改訂にかかる公開草案が公表されました。

https://jicpa.or.jp/specialized_field/20190405gcw.html

20190409

財務報告における情報システムに関する評価については、2011年12月に公表されたIT委員会実務指針第6号と、当該実務指針に対応したQ&A集であるIT委員会研究報告第42号を参考に行われていました。

今回、クラウドサービスなどのIT環境の変化に対応してQ&A(IT委員会研究報告第42号)の見直しが行われました。

今回の改訂で従来のQ&Aとは構成順序が大幅に変更されているためか、新旧対照表が公開されていません(公表されている比較表は項目ごとの関連性のみを示しています)。
そこで、主要な変更箇所について抜粋しておきます。

(新規追加項目)
Q1 ITを利用した情報システムに対する内部統制はどのように分類されるのでしょうか。また、業務処理統制についてIT実6号ではどのように分類しているのでしょうか。

Q2 ITを利用した情報システムでのITのリスクとはどのようなものでしょうか?

Q1,Q2では、他の委員会報告等で示されていた事項について、あらためて概括的なまとめが記載されています。
当研究報告を利用するにあたって前提となる知識ですので、冒頭の総論として再整理しているのは利用者にとっても有益でしょう。

(新規追加項目)
Q8 パッケージ・ソフトウェアのカスタマイズとは何でしょうか。また、「パッケージ・ソフトウェアをカスタマイズせずに利用する場合」とはどのような場合でしょうか。

A8
企業が各社の業務に応じて選択したパッケージ・ソフトウェアを導入しても、パッケージ・ソフトウェアの標準機能だけでは実現不可能な業務ニーズがある場合には、パッケージ・ソフトウェアを改造(カスタマイズ)したり、追加開発(アドオン)を伴って導入することになります。当該カスタマイズとは、ソフトウェア機能自体(全体)の評価に影響を及ぼす重要な仕様変更となるようなシステム変更・追加開発を指します。また、パッケージ・ソフトウェアをカスタマイズせずに利用する場合とは、データの登録・変更・削除、及び締切・自動計算等の変更を伴う重大なカスタマイズがない場合をいいます。(以降略)

旧委員会報告ではパッケージのカスタマイズの有無が評価上の重要な論点になっていましたが、カスタマイズ自体の定義が明確になっていなかったため、当該QAが追加されています。

近年増加しているクラウドシステムに関しても項目ごとに補筆されています。例えばQ22に次のようか記述が追加されています。

Q22 市販の簡易なパッケージ・ソフトウェアを利用して会計帳簿を作成している場合の留意点にはどのようなものがあるでしょうか。

A22
(一部略)
4.クラウド会計システムを利用している場合
会計システムのソフトウェアを購入するのではなく、ベンダーがクラウド環境下に設置したソフトウェアをネットワーク経由で利用するようなサービスを使うことがあります。このようなクラウド会計システムを利用する際、自社保有とパブリッククラウドの違いとそれによるリスクを考慮せずに、市販の簡易なパッケージ・ソフトウェアとして評価を行うことがないよう、パブリッククラウド利用のリスクについて検討することは重要です。例えば、会計システムの管理者権限を社外のベンダーが保有する場合には、不適切なアクセスのリスクに対する内部統制について如何に把握するかが課題になります。また、データのバックアップ体制等についてもベンダーとの契約内容で十分にリスク対応されているかを検討する必要ことになります。
上記のような事項についてもクラウド業者に往査して十分な情報を得ることはパブリッククラウドの他の利用者への守秘義務の関係で制限が加わることも多くあります。そのためクラウドに係るリスクへの対応としては、クラウド会計システムに係る、監査・保証実務委員会実務指針第86 号「受託業務に係る内部統制の保証報告書」(以下「監保実86 号」という。)に基づき発行された保証報告書等を取得することが考えられます。

本公開草案に対する意見募集期限は2019年5月6日までになっており、新しいIT委員会研究報告の公表に伴い、従来のIT委員会研究報告第42号は廃止される予定です。