2020年から運用開始となったISMAP(政府情報システムのためのセキュリティ評価制度)という制度があります。これも監査法人が行うIT関連の業務であり、監査法人は、監査機関として、クラウドサービス事業者の内部統制について評価を行います。ただし、ISMAPの枠組みでは、「監査」と表現されていますが、日本公認会計士協会の取り扱いとしては、「その他の調査報告業務」に該当するものと考えられるとされています。
つまり、公認会計士の業務において、監査は会計監査のように各種の監査基準や実務指針等に基づいて行われる特定の業務のみを指しているため、ISMAPを同等の業務として取り扱うことができないので、留意が必要です。また、SOC報告書は会計監査と同じレベルの保証業務となり、同様にISMAPと異なる性質の業務となります。
ISMAPとSOC報告書や会計監査との具体的な違いを言うと、SOC報告書や会計監査では、監査人が行った手続結果に基づいて意見が表明されますが、ISMAPの報告書においては、監査人の意見が表明されない点があります。これは、ISMAPが政府向けの特定の利用者に向けての限定した報告になり、利用者側で、その報告結果に基づいて、適切なクラウドサービス事業者であるか判断することになっていますが、SOC報告書や会計監査は、複数の利用者を想定して専門家の意見を付して報告を行うため、その想定利用者と監査人の責任の範囲に大きな違いがあることによります。
SOC業務とISMAPの業務実施手順の違い
余談ですが、ISMAPクラウドサービスリストへの登録をもって、財務諸表監査への証跡とならないかという質問されることがあります。これについては、ユーザーの立場として、一定レベルの内部統制が維持されているという心証は得られますが、財務諸表監査において、評価手続の代替となるものではありません。
これは、ISMAPの報告書は、政府向けに利用者が限定されたもので、他のユーザーへ提供されることはありませんので、クラウドサービス事業者の具体的な内部統制の状況や、監査人が実施した手続の内容などを、ISMSなどの認証と同様に確かめることができないためになります。