クラウド会計が監査手続を変える理由

クラウド会計が変える監査のリスク評価

監基報315号の要求事項の変化

統制リスクの変化

実地適用例：中規模製造業での監査アプローチ

【設例：横浜精機株式会社】
売上高：850百万円、従業員120名、2023年からクラウドERP導入
従来の監査手続（クラウド導入前）:
調書記載：「出荷日、請求日、計上日の3点セットを確認」
調書記載：「経理部長による月次照合と残高確認を実施」
クラウドERP導入後の監査手続:
調書記載：「販売管理システム→ERP間の自動仕訳生成ロジックを確認。売上認識基準（出荷基準）の設定が監基報315号.A83の要求に準拠していることを確認」
調書記載：「銀行API経由の取引データとオンラインバンキング明細の一致を確認。不一致0件。例外処理ログレビューにより、承認されていない例外取引がないことを確認」
調書記載：「システム管理者権限（CFOのみ）、マスター変更権限（経理課長のみ）、データエクスポート権限（外部監査人および内部監査担当者のみ）の適切な分離を確認」
調書記載：「クラウドプロバイダーのSOC2レポート査閲。データの可用性とセキュリティ統制が監基報315号.A82の要求水準を満たすことを確認」
結論： システム統制への依拠度が従来監査より高くなるため、統制テストの範囲を拡大し、実証手続は効率化を図った。全体監査時間は15%削減できたが、IT統制の理解と評価に要する時間は倍増。

• 売上計上テスト：出荷伝票→請求書→仕訳の突合（50件）
• 現金管理テスト：銀行照合表の査閲（月次12回）
• システム統制テスト：API連携ログの検証（全件）
• データ完全性テスト：システム外との照合（月次）
• ユーザーアクセス権テスト：四半期レビュー
• バックアップとディザスタリカバリテスト：クラウドプロバイダーのRPO・RTO設定値と実際の復旧テスト結果を確認

実務チェックリスト

• クラウド会計システムの統制環境評価
• システム管理者権限の分離状況を文書化
• API連携先システムのセキュリティ設定を確認
• データバックアップとリストア手順をテスト
• 自動化された統制のテスト
• 例外レポート（システムが生成する異常値アラート）の運用状況
• 承認ワークフローの設定と実際の動作の一致確認
• 監基報315号.A72に基づく自動統制の依拠可能性評価
• データの完全性と正確性
• システム間データ連携の完全性テスト（月次照合）
• 手動入力が必要な取引の識別と統制評価
• マスターデータ変更ログの定期的レビュー
• 継続的監視の実装
• リアルタイムダッシュボードでの異常値検知
• システム生成レポートの自動配信設定確認
• 災害復旧とデータセキュリティ
• クラウドプロバイダーのSOCレポート最新版入手
• データ所在国とデータ保護規制への準拠確認
• 最重要ポイント
• クラウド会計では「統制のテスト」が「システム設定のテスト」に変わる。監基報330号の実証手続を減らす前に、システム統制への依拠が正当化されることを確実にする。

よくある問題点

• システム統制への過度な依拠：金融庁は、クラウドシステムへの盲目的信頼による実証手続の不適切な削減を2023年度検査で指摘。システム統制が有効でも最低限の実証手続は必要
• API連携エラーの見落とし：国際的な監査事例では、API接続障害時の手動修正が適切に統制されずに誤謬となるケースが散見される。例外処理ログの定期レビューが不可欠
• データエクスポート機能の統制不備：経営者によるデータ改竄リスクが、従来の手動仕訳から大量データの一括修正に変化。監基報240号.32の観点から、データエクスポート権限の制限と監視が必要
• マルチテナント環境のデータ分離不備：監基報315号.A89に基づき、クラウドプロバイダーが複数顧客のデータを同一基盤で処理する場合の論理的分離が十分か確認する。SOC2レポートのスコープにデータ分離が含まれていないケースでは、追加の監査手続を検討する

関連情報

• 監査証拠（監基報500号） - システム生成データを監査証拠として使用する際の信頼性評価基準
• クラウドコンピューティングの監査リスク - クラウド環境固有のリスク要因と統制の評価方法
• 継続的監査と継続的モニタリング - クラウド環境を活用したリアルタイム監査アプローチ