続いて、サービス利用会社が受託会社の内部統制に依拠するために報告書を利用する統制手続と、内部統制を構築し評価する必要のある統制手続との切り分けについて、具体的なケースを挙げて考えてみます。
1. 大部分を受託会社に委託するケース
システムの外部委託といってもその形態はさまざまです。例えば、ASPサービス(クラウドサービスでいえばSaaS)ではウェブブラウザーにより、受託会社のサーバーにあるシステムを利用する形態が多く、システムの開発保守や運用は受託会社が実施することになります。この場合、システムの開発保守や運用を受託会社が実施するため、主なIT全般統制は報告書の対象範囲として含まれています。(※3)
ただし、いくつかのIT全般統制の一部がサービス利用会社で運用されている場合には注意が必要です。このようなケースは、報告書において相補的な内部統制として言及されていることがあります。
2. 受託会社とサービス利用会社の統制手続が併存するケース
① アプリケーションレベルのアクセス管理に関し、サービス利用会社がユーザーIDの改廃や権限付与などのユーザーID管理を行っている場合、その部分はサービス利用会社がIT全般統制を運用し、評価すると考えられます。また、ASPサービスのシステムからサービス利用会社のシステムへデータ連携のために、そのインターフェースやバッチジョブをサービス利用会社側で作成・管理している場合も同様です。
➁ クラウドサービスで受託会社が提供するパッケージをサービス利用会社がカスタマイズして使用する場合、サービス利用会社と受託会社の開発保守が併存することになります。そのため、両社の業務およびIT全般統制の役割分担を明確にしておくことが必要です。
プログラム変更作業におけるパッケージのバージョンアップ作業については、起案・開発・テスト・本番移行の一連の作業を実施する受託会社のIT全般統制に依拠することが多いと考えられます。
一方、カスタマイズ作業については、上記の一連の作業を実施するサービス利用会社の側でIT全般統制を運用し、評価することが多いと考えられます。一連の作業の中で起案などはサービス利用会社で、ほかは受託会社でというような組み合わせのケースも考えられます。
➂ プログラム変更作業で使用する特権ユーザーIDの管理は、基本的にサーバーを管理する受託会社が一括して実施することが多いと考えられます。そのため、サービス利用会社がカスタマイズ作業で特権ユーザーIDを利用する場合は、受託会社の管理ルールにのっとり特権ユーザーID利用申請をして使う手順となるため、受託会社のIT全般統制に依拠することになります。一方、サービス利用会社が特権ユーザーIDを常時保有し管理するような場合は、サービス利用会社がIT全般統制を運用し評価する必要があります。
このように、両社の仕組みが併存する場合、受託会社の報告書を利用する統制手続と、サービス利用会社のIT全般統制を評価する統制手続とを明確にする必要があります。また、報告書の中で、相補的な内部統制(サービス利用会社において整備されることを、受託会社が想定する内部統制など)がどのように記述されているのかについても確認が必要です。
3. 一部分のみを受託会社に委託するケース
サービス利用会社のサーバーを受託会社のデータセンターに預けるだけの場合は、受託会社にはサーバーのハードウェアの保守やバックアップの外部保管など、一部の業務のみを委託することになります。システム開発保守や運用の大部分はサービス利用会社に継続して残るため、IT全般統制の評価方針は従来の環境での運用とほとんど変わらないものと考えられます。そのため、サービス利用会社でIT全般統制を実施し評価することが主となります。受託会社に委託している業務のうち、どれがIT全般統制に該当するのか確認する必要があります。例えば、物理セキュリティや定型的な日々のコンピュータ運用作業の一部(ハードウェアの保守作業やバックアップの外部保管など)の業務を委託していれば、その範囲について受託会社のIT全般統制に依拠するために、報告書を利用することになります。
おわりに
近年ITリスクは、財務報告に関連したいわゆるJ-SOX的なリスクから、個人データ漏えいのみならず技術情報や製品情報などへの不正アクセスのリスク、または資産の保全、可用性に係るリスクなど、J-SOXを超えたさまざまな領域へと広がっています。クラウドサービスやデータセンターを利用する上でこうしたリスクに対応していくには、米国公認会計士協会が提供するSOC2やSOC3のレポートの活用を検討することも必要でしょう。これらは、セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシーが阻害されるリスクを対象としています。なお、米国公認会計士協会のSOC1は、委託会社(サービス利用会社)の財務諸表が誤って作成されるリスクを対象としており、上記で挙げた報告書と同じ目的の報告書です。
脚注
※1 詳細は以下を参照してください。
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(2019年)
日本公認会計士協会「監査基準委員会報告書402『業務を委託している企業の監査上の考慮事項」』」(2015年)
※2 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」、米国監査保証基準としてはSSAE18、国際監査保証基準としてはISAE3402のこと。
※3 サービス利用会社がJ-SOX適用会社の場合は、受託会社に対し丸投げするのみではなく、J-SOXに係る対象範囲において委託に関する契約の管理を適切に実施し評価することが求められます。そのためには、例えば、契約書やSLAで委託業務内容や水準を明確化しておき、受託会社からの運用報告書を確認するなどして、定期的に委託業務をモニタリングすることが考えられます。
サマリー
「受託業務に係る内部統制の保証報告書」を利用する際には、報告書の対象範囲、対象期間、受託会社に対して委託する業務範囲などを確認すると同時に、自社の監査人や受託会社とのコミュニケーションを図り、受託業務に係る内部統制を理解することが重要です。