web3(ブロックチェーン)領域の監査と内部統制

NFSQ

本記事の位置づけ

暗号資産の税務やNFTの会計上の取り扱いが(私のTLで)よく話題になる一方、監査や内部統制についての記事はあまり見かけないなと思い、筆を執りました。監査法人勤務者(IT監査人)の目線からの記事になるので、まさにビジネスを作っている方からすると不合理に見えるものもあるかもしれませんが、何かの参考になればいいなと思ってます。
また、内部統制の目的は必ずしも会計のために限定されるものではありませんが、ここでは財務報告にかかる内部統制(ICFR:Internal Control over Financial Statement)について記載します。 また、全社統制の話を含めるとガバナンスの論点が出てきてややこしくなるので、業務処理統制や全般統制のレベルにとどめて記載をします。

なお、本記事における「web3」とは、ブロックチェーン技術を利用したビジネス領域をさし、直接民主主義的な社会・組織形態をさすような広義のweb3は対象にしていません。

※この記事に記載の内容はすべて個人の感想であり、所属組織の意見を代表するものではありません。また、本記事に記載の内容を踏まえて内部統制を整備したとしても、会計基準や契約先の監査法人の要求が満たされることを保証しない点、ご了承ください。

監査と内部統制

会社法監査とSOX法監査、AUP(合意された手続業務)

監査にもいろいろ種類があるのですが、ここでは3つを紹介します。こんな内容はもう知ってるよ!!という方や、早くブロックチェーン周りの話をしてくれ!!という方は読み飛ばしていただいて大丈夫です。(できればAUPのところだけ読んでいただけると嬉しいです)

  • 会社法監査
    おそらく、多くの人が「監査」と言われて思い浮かべるのがこれではないでしょうか。被監査会社から独立した立場の監査法人が、被監査会社が作成した財務報告の記載内容が妥当であることを保証するものです。
    大会社(資本金が5億円以上、または負債金額が200億円以上)は公認会計士による監査を受けることが会社法によって義務付けられています。
    次に紹介するSOX法監査との最大の違いは、「最終的に作成された財務報告が適切であること」の確認を目的としており、「財務報告が作成されるプロセスそのものが適切であること」は保証しない点です。
    ただし、直近の監査基準報告書の改訂では、特に仕訳関係の重要な領域については、会社法監査であっても内部統制をよくよく理解すべしという改訂が加えられており、内部統制を軽視してよいというわけではない点はご留意ください。

  • SOX法監査
    内部統制監査という表現のほうがなじみのある方もいるかもしれません。21世紀初頭にアメリカで発生した大規模な粉飾決算を機に制定された「Sarbanes‐Oxley act」(サーベンス・オクスリー法:上場企業会計改革および投資家保護法)、通称SOX法に基づいて実施される監査です。日本では、J-SOX(日本版SOX)として、2008年から導入されており、金融商品取引所に上場しているすべての企業に適用されます。
    会社法監査と異なり、最終的な報告書の適切性だけでなく、「経営者が財務報告を作成するプロセスが適切であること」(=不正や誤謬のリスクが、作成プロセスを通じて十分に低減されていること)に焦点を当てている点が特徴です。

  • AUP(Agreed Upon Procedures:合意された手続業務)
    監査の本質を「第三者による保証業務」であることにもとめるのであれば、AUPを監査と呼ぶことは適切ではありません。日本公認会計士協会の以下サイト(2.合意された手続業務(AUP))でも、AUPは保証業務ではないと明記されています。
    https://jicpa.or.jp/about/activity/activities/assurance_aup/basic/#anchor-02
    AUPは、監査人と被監査会社が「項目Aについて、手続きaに従って評価する」というように、具体的な手続きまで合意して実施されます。通常の監査であれば、例えば「財務諸表が適切であることを確認する」「内部統制が有効であることを確認する」といったように監査目的設定し、適切な基準に沿って、監査人が定める手続きに従って評価を行います。AUPでは監査人が独自に手続きを定めることはなく、ただ被監査人と合意した項目を決められた手続きに従ってチェックするのみとなるため、極論すれば、会社が不正を行っている領域を意図的に手続き対象から外すことも容易です。
    FTX騒動後、バイナンスがプルーフ・オブ・リザーブの証明のためのMazarsによる「Audit」を受けたと主張していましたが、実際はAUPであってAuditではなかったということもありました。
    (参考:https://jp.cointelegraph.com/news/mazar-says-users-btc-reserves-on-binance-are-fully-collateralized
    単純な理解不足の可能性もありますが、AUP受けたことを「監査を受けた」と表現してユーザにサービスの安全性をアピールしようとしている会社があった場合、市場から実態にそぐわない信用を不適切に得ようとしている可能性もあるため、十分な注意が必要です。

会社法監査(非上場)でも、web3では内部統制が重要

内部統制の重要性はweb3以前から知られていることであり、わざわざ内部統制を監査するSOX制度が制定されたことからも明らかです。ではなぜ、ブロックチェーンを利用すると突然監査法人の目が厳しくなるのでしょうか。
例えば暗号資産取引事業者であれば、事業特性から従来の金融事業者と同じように厳しい目で評価されることは、比較的理解しやすいかと思います。しかし実際には、NFTビジネスに着手する場合や、暗号資産の保有を検討している段階においても、やはり監査における内部統制の重要性が高まることになります。なぜでしょうか。

暗号資産を取り扱う場合に必要な内部統制は、ビジネス内容に応じていろいろあるのですが、ここでは特に問題になりやすい項目をいくつか取り上げて紹介しようと思います。

内部統制の監査上の位置づけ

web3領域における内部統制の重要性を理解するうえで、前提知識の確認として、次の資料を見てみましょう。

日本公認会計士協会 監査基準報告書 300 実務ガイダンス第1号 
「監査ツール(実務ガイダンス)」(最終改訂日:2022年 10月13日)項番14より

監査リスクとは、監査人が重要な虚偽表示(投資家の判断に影響を与えるような、財務報告の誤った記載)を見落とすリスクを指し、このリスクが十分にに低くなるまで監査証拠を入手することではじめて、監査人は適正意見を出すことができます。
固有リスクはそもそも虚偽表示が起こりやすい程度、統制リスクは内部統制の失敗や不在によって企業自身が虚偽表示を見落としてしまうリスク、発見リスクは監査手続きの不足や誤りによって監査人が虚偽表示を見落としてしまうリスクとイメージするとわかりやすいでしょうか。

図中の式の通り、
 監査リスク=固有リスク×統制リスク×発見リスク
ですので、仮に固有リスクが極めて高くても、内部統制が強力であれば、発見リスクを高く設定しても(≒監査手続きを緩めても)監査リスクは十分に低いかもしれません。このように、内部統制の有効性を前提に監査手続を効率化することを「内部統制に依拠する」と表現します。もちろん、内部統制に依拠する場合は、会社法監査であっても内部統制の有効性の評価が必要になります。
逆に、内部統制が全く存在しないような(=統制リスクが極めて高い)場合、より強固な監査手続きを設定しなければ監査リスクを十分に下げることができません。

web3領域における内部統制の重要性

引用した資料の説明にはいろいろと書いてありますが、今回ポイントとなるのは、固有リスクがと統制リスクが企業側(被監査側)、発見リスクが監査側にある点です。
監査人は監査計画を策定するときに、内部統制に依拠する(=統制リスクの低さを証明する)アプローチと、実証的な検証のみを用いる(=発見リスクをより低くするように監査手続きを設定する)アプローチを選択します。

従来のビジネスであれば、多くの場合どちらも選択可能であり、どちらがより効率的かで判断することができました。しかし、例えば、「アドレスAにある10BTCはうちの会社のものです!」と会社が主張しているとき、これを実証的なアプローチのみで証明できるでしょうか。
例えば実際に資産を動かして見せることは可能でしょう。実務指針でも「暗号資産の実在性に対応する実証手続の例示」として次のように記載しています。

監査人の指示に従って、暗号資産交換業者が保有するアドレス間で暗号資産の移転や任意のメッセージを含むトランザクションを発生させ、ネットワーク全体で承認されることを確かめる。

業種別委員会実務指針第61号「暗号資産交換業者の財務諸表監査に関する実務指針」
付録4「 暗号資産の実在性に対応する実証手続の例示」

しかし、この方法だけでは、「他のいかなる第三者も、そのBTCを動かすことはできない」ことを証明することができません。これが銀行預金であれば、まったくの第三者が勝手に企業の口座からお金を引き出してしまうことは通常想定されません。しかし、オンチェーンの資産は、秘密鍵の管理が脆弱であればいともたやすく奪われてしまいます。

例えばクラウドストレージに無造作にシードフレーズが保存されているような場合、その秘密鍵に紐づく資産は、本当にその企業のものであると保証できるでしょうか。会計の世界では、資産を「企業が過去の事象の結果として支配している現在の経済的資源である」と定義しています。秘密鍵が第三者にも漏洩している場合、果たして本当に紐づく暗号資産を支配しているといえるでしょうか。多くの人がNoだと考えるのではないでしょうか。

では、秘密鍵をが秘匿されていることをどのように第三者が確認するかを考えてみましょう。先ほどの資産を実際に動かして見せる例のように、実証的に証明することは現実的でないとすぐに気づくと思います。言い換えると、先ほどご紹介した式
 監査リスク=固有リスク×統制リスク×発見リスク
において、監査手続きを工夫して発見リスクを下げるアプローチを採用することができない、内部統制への依拠が不可避的に必要になるということになります。言い換えれば、被監査側が内部統制をおろそかにしている場合、監査人の努力だけではどうやっても監査意見を出すことができくなってしまうということです。

話が長くなってしまいましたが、今までの記載をまとめると、次のようになります。

  • 暗号資産を資産計上するためには、該当の資産に対する支配を証明する必要がある

  • 暗号資産に対する支配は、秘密鍵を秘匿することによって実現される

  • 秘密鍵が秘匿されていることを実証的に証明することはできない

  • 実施可能なアプローチは、秘密鍵管理の内部統制への依拠のみである

これが、ブロックチェーンを利用すると内部統制に対する要求が高まる理由の一つです。AML対応の難しさや規制の整備が追い付いていないこと、そもそもテクニカルな領域が多く評価が難しいことももちろん理由として挙げられると思いますが、個人的には、この秘密鍵管理の部分が内部統制としては一番重要なんじゃないかなと思ってます。

秘密鍵管理に関するアウトソーシング

秘密鍵管理に関してさらに議論を難しくするのが、多くの場合において、鍵の管理に外部組織が提供する機能が利用されていることです。例えば秘密鍵管理に皆さんご存じMetamaskを使っているとしましょう。
Metamaskがインストールされた端末は厳重に管理されており、セキュリティ対策ももちろん施していて、シークレットリカバリーフレーズは金庫で厳密に保管しているとします。
一見すると秘密鍵管理の内部統制はきちんと整備されており、何の問題もないように思えますが、1つ大きな落とし穴があります。
そうです、Metamaskというアプリケーションの信頼性をどう保証するかです。SaaSを含め、様々な鍵管理サービスが存在しますが、すべて同じ問題に直面します。

自社で構築したウォレット管理システムを利用しているのであれば、そのシステムのIT全般統制(ITGC)・IT自動処理統制(ITAC)を監査人が直接評価することができますが、外部ベンダーが提供するサービスの場合、監査人による直接評価を行えない場合がほとんどです。

SOC1 Type2レポート(財務報告にかかる内部統制の有効性を証明するためのレポート)を発行しているサービスであれば、レポートを利用してサービスの信頼性を確認できますが、ほとんどのサービスで発行されていないのが現状です。もし、被監査会社が秘密鍵の管理に外部サービスを利用しており、そのサービスの評価を監査人が評価できないのであれば、秘密鍵管理の内部統制に依拠できないという結論になってしまいます。

オンチェーン情報を参照する内部統制における情報の信頼性

もう1つ、内部統制に関係する論点として、オンチェーンの情報をどのように参照するかという点が挙げられます。この論点は、上場済み企業が新規にweb3領域に進出する場合や、web3企業が上場する場合など、暗号資産に関するプロセスのSOX監査が必要になるケースにおいて特に重要になります。

例として、「社内システムで管理しているBTCの残高とオンチェーンの残高を毎日突合して、差がないことを確認することで、未承認の署名によるトランザクションが発生していないことを確認する」という内部統制を、オンチェーンの残高情報の取得方法に着目して考えてみましょう。

オンチェーンの残高情報を取得する方法はいくつか考えられます。フルノードを持っているのであれば、そこを参照してもよいでしょうし、特定のアドレスの残高をチェーンから取得するスクリプトを組むこともできるでしょう。あるいは、ライトなユーザであればEtherscanなどの公開されているエクスプローラーを利用するかもしれません。

この時ポイントになるのが、「その方法で取得した情報が、確かにオンチェーンデータを正しく抽出していることを、内部統制のデザインとしてどのように担保しているか」です。SOX監査においては、システムから出力した情報の信頼性を、会社自身がどのように担保しているかが問われることになります。先ほど挙げた例のそれぞれを考えてみると、フルノードを参照する場合とスクリプトを組んでいる場合は、自社管理のノード・スクリプトですから、説明は比較的容易でしょう。問題はエクスプローラーを利用している場合です。

「いや、Etherscanならさすがに間違わないでしょう」と思う気持ちは大変わかります。私もそう思います。しかしながら、監査は性悪説を前提としているため「さすがに大丈夫でしょう」というロジックは適用できません。したがって、エクスプローラーを利用する内部統制を構築する場合、「確かにそのエクスプローラーが正しい」ということも内部統制の枠組みの中で確認していなければならず、もしできないのであれば、日次突合の手続きは「不確かな情報に基づく内部統制であり、整備として不十分」と判断される可能性があります。

==============
なお、やや余談ですが、以下のように同じロジックが監査法人にも適用されており、監査の障壁を高くする一因となっています。監査法人が作ったツールとEtherscanのどっちが信用できそうかと聞かれると、感覚的にはあきらかに後者なんですが、、、この辺りは数年のうちに大幅な改定が生じることを期待したいです。

ブロックチェーン等の記録は、一般的に監査人自身が作成したツール又は
第三者が作成したツールを利用して入手することが考えられるが、利用するツールの信頼性を検討する必要があることに留意する

業種別委員会実務指針第61号「暗号資産交換業者の財務諸表監査に関する実務指針」
付録4「 暗号資産の実在性に対応する実証手続の例示」

今後の展望

暗号資産やNFTに関する内部統制の議論はまだまだ発展途上です。今回記載した議論も、最近話題のAccount Abstractionが普及するころには、新しい観点が増えていそうな気がします。(まだちゃんと勉強できていないので、完全に雰囲気での予想ですが……)

Twitterをみていると、何となく「監査法人が時代の流れについていけてないのが悪い」という雰囲気を感じることがままあるのですが、個人的には、会計・内部統制に強みを持つ監査法人と、ビジネス・技術に強みを持つweb3企業がお互いにいいところを吸収しながら、知見を共有しあって新しい時代の基準を作っていくことが大事なんじゃないかと思ってます。

私は技術サイドがダメダメなので、完全に妄想ですが、エクスプローラー機能をスマコンで搭載して、それにSOC1を発行したら、その後変更が発生しないことはブロックチェーンで保証されるし、みんな使えるしで大変便利なのでは?とか考えたりしています。ご興味のある方、ぜひお声がけください……!

具体的な統制の例やガバナンスが崩壊すると何が起こるかをFTXを例にしながら記載してみようかなとも思ったのですが、思ったより長くなってしまったので、本記事はいったんここまでにしようと思います。
感想などいただけるととてもうれしいです。


この記事が気に入ったらサポートをしてみませんか?