国内でも選択肢が広がってきたクラウドサービスは、最近では、監査への対応をうたうものが増えてきている。米Amazon Web Servicesや米Salesforce.comは、アウトソースサービス事業者に対する内部統制の監査基準である「SAS70」に基づく監査を受けている。国内のクラウド事業者も、SAS70の日本版である18号監査への対応を宣伝し始めた。
J-SOX(日本版SOX法)への対応を求められているユーザー企業には朗報には違いない。既存の社内システムを、18号監査に対応したSaaS(Software as a Service)型アプリケーションに移し替えれば、それだけでJ-SOXに対応したことになるのだろうか。実際には、そう単純な話ではない。
18号監査に対応したSaaS型アプリケーションに移行した後も、ユーザー側に求められる統制活動の典型例は、IDとパスワードによるアクセス管理である。IT全般統制の中でも、アプリケーションの開発や運用業務にかかわる統制活動の評価については、クラウド事業者側で実施することになる。しかし、社員の異動や退職があったとき、速やかにアカウントを変更・削除するといったアクセス管理に関する統制活動は、ユーザー企業で実施しなければならない。
SaaS事業者の監査対象期間が、ユーザー企業の監査期間と異なる場合にも、監査基準委員会第18号報告書によれば、追加の監査手続きが必要になる(図1)。クラウド事業者から監査報告書を入手しただけではダメで、クラウド事業者に対して追加の調査協力を依頼する必要が出てくる。そうした調査に協力してもらえるのかどうか、事前に確認しておかなければならない。
クラウド事業者から監査報告書が入手できないなど、ユーザー企業がクラウド事業者を監査評価できない場合、ユーザー企業のIT全般統制は有効でないとみなされる。もちろんそれだけでは財務報告の内部統制全体に重大な不備があるとは判断されない。しかし、業務処理統制での監査が厳しくなり、監査に対するユーザー企業の負担は大幅に高まることになる。
このように安易に社内システムをクラウドに移すと、統制レベルが下がったと評価される可能性さえある。監査報告書が入手できるかどうかと、追加の監査手続きの必要性を事前にきちんと確認しておこう。
日本ヒューレット・パッカード テクノロジーサービス事業統括 テクノロジーコンサルティング統括本部 ソリューションビジネス推進本部 ITコンサルティング部 シニアコンサルタント
