Definition

クラウドコンピューティング監査リスクとは、被監査会社が財務報告に関連するプロセスをクラウド環境に依存する場合に生じる重要な虚偽表示リスクであり、ISA 315(改訂2019年版)に基づくIT環境の識別とISA 402に基づくサービス組織報告書の評価が監査人に求められる。

重要なポイント

  • クラウドプロバイダーは被監査会社の物理的管理外で取引を処理するため、監査証拠が内部システムからサービス組織報告書に移行する
  • 監査人はリスク評価の前に、クラウドプロバイダーが提供するサービスの内容を正確に把握する必要がある
  • 単一のクラウドERPが被監査会社の売上取引の100%を処理する場合、プロバイダーの統制は被監査会社自身の統制と同等の重要性を持つ

仕組み

被監査会社が財務的に重要なプロセスをクラウドインフラに移行した場合、監査人のリスク評価は二つの点で変化します。第一に、ISA 315.26(a)は、財務諸表に関連するITアプリケーションおよびIT環境の特性を識別するよう求めており、外部でホスティングされるものも対象に含まれる。第二に、ISA 402.7は、クラウドプロバイダーが取引を処理するか財務報告アサーションに影響するデータを保有する場合、当該プロバイダーをサービス組織として扱います。

実務上の帰結として、監査チームはクライアント自身の内部統制のみをテストすることでは不十分な場合がある。クラウドホスティングのERPシステムでは、アクセス管理と変更管理がプロバイダー側にあり、被監査会社のIT部門には存在しない。ISA 402.9は、監査人がこれらのサービスの性質と重要性を理解するよう求めています。プロバイダーがISAE 3402 Type IIレポートを提供する場合、監査人は当該レポートが関連する期間をカバーし、テストされた統制が被監査会社の依拠する統制であるかを評価する。レポートが存在しない場合、ISA 402.12に基づく代替手続が必要となります。

実務例:Fernandez Distribución S.L.

クライアント:スペインの卸売流通会社、FY2025、売上EUR 34M、IFRS適用。Fernandezは2025年1月にERP(売掛金、在庫、総勘定元帳、固定資産モジュールを含む)をクラウドホスティングプラットフォームに移行しました。280名の従業員向けに別のクラウドベース給与サービスも利用しています。

監査チームはISA 315.25–26に基づきFernandezのIT環境をマッピングしました。ERPは受注から入金(売上EUR 34M)および調達から支払(売上原価EUR 21M)を処理し、決算プロセスと固定資産台帳も管理している。給与処理(年間コストEUR 4.8M)は別のクラウドプラットフォームで実行されます。両アプリケーションとも自動仕訳を総勘定元帳に直接生成しています。

文書化ノート:各クラウドサービスプロバイダー、外部でホスティングされる財務報告プロセス、処理される取引量、プロバイダーのインフラに依存する自動統制を記録する。リスク評価調書と相互参照すること。

ERPプロバイダーは2025年1月1日から12月31日までをカバーするISAE 3402 Type IIレポートを提供しました。当該レポートは論理的アクセス、変更管理、データバックアップ、インシデント対応の14のIT全般統制をテストしている。給与プロバイダーはサービス組織報告書を発行していません。

文書化ノート:ISA 402.14–15に基づきISAE 3402レポートの評価を文書化する。レポート期間、テストされた統制、サービス監査人が報告した例外事項、テストされた統制がFernandezの依拠する統制であるかの評価を記録する。給与プロバイダーについてはレポートの不在と計画された代替手続を記録すること。

ERPについては、ISAE 3402レポートに記載された4つの補完的利用者統制(CUEC)をFernandezでテストしました。給与については代替手続を設計し、月次給与出力と銀行明細の照合(12か月分、合計EUR 4.8M)および25件の従業員マスタデータ変更サンプルの人事承認記録との照合を実施した。チームはまた給与プロバイダーのデータ送信ログの網羅性を検証し、プロバイダーの年末給与サマリーと総勘定元帳の給与引当金を照合しました。

文書化ノート:各CUECのテストについて具体的なサンプルサイズ、母集団、結果を記録する。給与の代替手続については、各手続がサービス組織報告書の不在により生じる特定のリスクにどう対処するかを文書化すること。

ISAE 3402レポートにはERPプロバイダーの変更管理統制に1件の例外事項が記載されていました(2025年3月に文書化された承認なしに緊急パッチが適用された)。チームはこの例外事項が当該期間中のFernandezの財務報告に関連するアプリケーション変更に影響を与えたかを評価しました。

結論:クラウドコンピューティングリスク評価は、両サービス組織をカバーする文書化された証跡を作成した。ERPについてはISAE 3402レポートへの依拠(1件の例外事項の評価を条件として)、給与プラットフォームについては実証的な代替手続で代替しており、各リスクが個別のサービスレベルで識別・評価され文書化された対応が記録されているため、防御可能である。

よくある誤解

  • ISAE 3402レポートを全範囲の保証として扱う チームはプロバイダーのISAE 3402レポートをブランケット保証として扱い、レポートでテストされた統制が被監査会社の依拠する特定の統制であるかを確認しないことが多い。ISA 402.14は、Type IIレポートが関連する統制の運用有効性について十分かつ適切な監査証拠を提供しているかを判断するよう求めている。データセンターの物理的アクセスをテストしてもアプリケーションレベルの変更管理を省略しているレポートは、重要なリスクをカバーしていない。
  • 補完的利用者統制(CUEC)を無視する ISAE 3402レポートに記載されたCUECは日常的に無視される。サービス監査人の意見は、利用者側がこれらの統制を有効に運用していることを前提としている。被監査会社が四半期ごとのアクセスレビューや職務分掌のチェックを実施していない場合、監査人が依拠する統制環境にはサービス組織報告書では埋められないギャップが存在する。ISA 402.16は、CUECの評価責任を被監査会社の監査人に課している。

関連用語

  • 重要な虚偽表示リスク:クラウドリスクはIT環境から生じる重要な虚偽表示リスクの一形態
  • ISAE 3402:クラウドプロバイダーの統制に関するサービス組織報告書の基準
  • IT全般統制:クラウド環境ではプロバイダー側に所在する統制であり、監査人の直接テストが制限される
  • 実証手続:サービス組織報告書が利用できない場合の代替的な監査アプローチ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。