委託業務の関する内部統制評価
- Other
- 2026.01.16更新
クラウド会計システムやSaaSを使うのが当たり前になった今、J-SOXや会計監査の現場では「クラウドをどう評価するか」が頻繁に論点になります。結論から言えば、クラウドサービスは単なる“便利なツール”ではなく、多くの場合、監査上は**委託業務(サービス組織の利用)**に該当します。したがって、委託業務に関する内部統制を検証する際、委託会社側の監査人(=利用企業側の監査人)は、**監査基準報告書402「業務を委託している企業の監査上の考慮事項」**に沿って、必要な理解と評価を行うことが求められます。
1. 「クラウド=市販パッケージ」として扱うのは危険
クラウド会計や販売SaaSを、オンプレの市販パッケージと同じ感覚で「固有リスクは低い」「バージョン見れば十分」と評価してしまうと、重要なリスクを見落としがちです。
クラウドは、利用企業がソースコードやインフラに触れない点ではパッケージに似ていますが、本質的には「システムを自分で持っていない」ため、統制の前提がクラウド事業者側に大きく依存します。この“自社保有との違い”を踏まえず評価すると、監査上の説明が難しくなります。
2. クラウドサービス特有のリスク(具体例)
クラウド利用における典型的な論点は、次のとおりです。
(1) 管理者権限がクラウド事業者側にある
たとえば、データベースや基盤の管理者権限(いわゆるルート権限)をクラウド事業者が保有している場合、利用企業側がどれだけアプリ権限を管理しても、理論上はクラウド側でデータにアクセスできる余地が残ります。
このとき問われるのは「自社のアクセス管理」だけではなく、クラウド事業者側のIT全般統制(アクセス管理・変更管理・運用管理等)をどう理解し、どう評価するかです。
具体例:
- クラウド事業者の運用担当が、保守作業を理由に本番環境へアクセスできる
- 誤操作や不正アクセスが起きた場合、ログや監視体制はどうなっているか
- 退職者や委託先のアクセスは確実に剥奪されているか
(2) バックアップやリカバリが契約次第
クラウドは「勝手にバックアップされている」と思われがちですが、実際には契約内容やプランによって復旧範囲・保持期間・復旧時間(RTO/RPO)が異なります。
たとえば、以下のようなギャップが問題になることがあります。
- バックアップはあるが保持期間が短く、期末監査で必要な期間をカバーしていない
- 復旧は可能だが数日必要で、業務継続上リスクが残る
- 利用企業側が設定を誤り、重要データが削除されてもベンダーは復旧責任を負わない
つまり、クラウドのバックアップ体制は「あるかどうか」ではなく、契約内容がリスクに対して十分かを検討する必要があります。
3. 往査できない現実と、代替手段としての報告書入手
オンプレ環境なら、監査人がデータセンターや運用現場を往査して情報収集できます。しかしクラウドでは、他の利用者への守秘義務やセキュリティ上の制約により、クラウド事業者への往査が制限されることが多く、監査人が欲しいレベルの情報に直接アクセスできないケースが一般的です。
そこで、監査実務で有力な対応策となるのが、クラウド事業者からの第三者保証レポートの入手です。本文で言及されている
- 「受託会社のシステムに関する記述書」
- 「内部統制のデザイン及び運用状況に関する報告書(タイプ2)」
は、一般に SOC1 / SOC2 の Type2 レポートに相当するものとして取り扱われます(用途に合わせて選定が必要です)。
4. どんなときに Type2 レポートが効くのか(イメージ)
Type2 レポートは、「統制が設計されている」だけでなく、一定期間にわたり運用されていることまで含めて第三者が検証した報告書です。
例えば、クラウド会計システムを監査で利用する場合、次のような論点で効果を発揮します。
- クラウド事業者のアクセス管理が適切か
- 変更管理(パッチ適用、リリース手順)が整備・運用されているか
- 障害対応、バックアップ、ログ監視などの運用管理が機能しているか
これにより、利用企業側の監査人は「往査できない部分」を補完し、クラウドに関する統制の理解・評価を合理的に進められる可能性があります。
まとめ:クラウドは“委託業務”として評価設計する
クラウド会計やSaaSは、監査の枠組みでは委託業務に該当し得るため、監基報402の考え方に基づき、
- 自社保有との違い
- 管理者権限やデータ保護
- バックアップ・復旧の契約条件
- 往査できない制約
を踏まえたうえで評価を設計することが重要です。
そして現実的な対応として、クラウド事業者の統制を直接確認しにくい場合には、受託会社の統制に関するタイプ2の報告書(第三者保証レポート)の入手・活用が有効な選択肢になります。