ブロックチェーン監査上の考慮事項

仕組み

ブロックチェーン上のデータは改ざん耐性が高いが、これが自動的に「十分かつ適切な監査証拠」となるわけではない。ISA 500.9は、証拠の関連性と信頼性を監査人が評価するよう求めている。パブリックチェーン上の残高データは実在性のアサーションに対して高い信頼性を提供するが、権利と義務のアサーションについては秘密鍵の排他的支配を別途立証する必要がある。

ISA 315（改訂版）はIT環境のリスク評価を要求している。スマートコントラクトを使用する企業では、コントラクトのロジックが会計処理に直接影響する。コンセンサスメカニズムの理解、ノードの信頼性、フォークの影響など、従来のIT一般統制とは異なる評価視点が必要となるだろう。

プライベートチェーンの場合、参加者が限定されているため、パブリックチェーンほどの改ざん耐性は期待できない。ガバナンス体制・参加者の信頼性・コンセンサスルールの評価が追加で必要となる。ISA 500の「情報源の信頼性」の評価において、この区別は重要だ。

実務例：Nordström Digital Oy

クライアント：フィンランドのフィンテック企業、2024年度、売上高EUR 15百万、IFRS適用。企業はEthereum上でEUR 2.8百万相当の暗号資産を保有し、サプライチェーンの追跡にプライベートブロックチェーンを使用。

監査チームは暗号資産の実在性について、ブロックチェーンエクスプローラーを使用して報告日時点のウォレット残高を確認した。ETH残高はオンチェーンデータと一致した。権利と義務のアサーションについては、企業が秘密鍵を自社管理（セルフカストディ）していることを確認するため、少額のテスト送金を監査人立会のもとで実施した。「ISA 500.9に基づく証拠評価：オンチェーン残高データは実在性に対して高い信頼性（第三者管理の分散台帳）。権利については、テスト送金EUR 10の実施と鍵管理プロトコルのレビューにより排他的支配を確認」と記録した。

サプライチェーンのプライベートチェーンについては、ISA 315に基づきIT環境のリスク評価を実施した。参加ノード5社のガバナンス体制を確認し、コンセンサスメカニズム（PBFT）の運用状況をIT専門家に評価させた。「ISA 620.7に基づくIT専門家の関与：プライベートチェーンのコンセンサスメカニズムとスマートコントラクトの評価に関して、チームに必要な専門能力が不足。外部IT専門家を起用し、ノードの信頼性とコントラクトロジックのレビューを依頼」と文書化した。

暗号資産の評価については、IFRS 13の公正価値ヒエラルキーに基づき、活発な市場の相場価格（レベル1）を使用した。報告日時点の取引所価格3社の中央値をEUR 2.8百万と算定した。

結論：ブロックチェーン上のデータは特定のアサーションに対して高い証拠力を持つが、すべてのアサーションをカバーするわけではない。実在性と権利の区別、パブリックとプライベートの信頼性の差異を理解した上で、証拠計画を設計する必要がある。

よくある誤解

• オンチェーンデータをISA 505の確認と同等に扱う ISA 505.2は外部確認を「第三者からの直接的な書面回答」と定義している。パブリックブロックチェーンはネットワーク参加者が維持する分散台帳であり、監査人に向けた回答ではない。ISA 500に基づく裏付け証拠としては有効だが、カストディアンや取引先からの確認を代替するものではない。
• ブロックチェーンの改ざん耐性を過信する パブリックチェーンの改ざん耐性は高いが、入力データの正確性は保証しない。「ガーベージイン・ガーベージアウト」の問題は残る。オラクル（外部データソース）の信頼性や入力プロセスの統制を別途評価する必要がある。
• IT専門家の関与判断を遅らせる ISA 620.7は、会計・監査以外の専門能力が必要な場合に専門家の関与を求めている。スマートコントラクトやプライベートチェーンのコンセンサスメカニズムの評価が必要と判明してから専門家を手配すると、監査スケジュールに影響する。計画段階での判断が望ましい。
• 暗号資産の評価にレベル1以外の情報源を検討しない 活発な市場が存在する暗号資産はIFRS 13のレベル1だが、流動性の低いトークンやDeFiプロトコル上の資産ではレベル2・3の評価が必要となる場合がある。評価ヒエラルキーの適切な適用を確認すべきである。