アドバイザリー

IT全般統制の「受託業務に係る内部統制の保証報告書」を利用する場合のポイント(前編)

2013.02.26
岡村 和彦
大西 基彦
新日本有限責任監査法人
ITリスクアドバイザリー部 シニアマネージャー
公認情報システム監査人(CISA)、公認内部監査人(CIA)
電機メーカーにて電力系統システム、ディーリングシステムの開発・設計に従事後、監査法人に転身。金融機関やエネルギー業界などの、情報システムに係る内部統制の評価、アドバイザリー業務、CAAT(コンピューター利用監査技法)活用に携わる。また、この間、金融情報システムセンター(FISC)にて、安全対策基準の第6版改訂に関与。システム監査普及連絡協議会第2部会(現在は研究部会に改称)の事務局を担当。


クラウドサービスやデータセンタの利用が広がる中、これらのサービスを利用する側の会社(以下「サービス利用会社」という。)にとって、外部委託先(以下「受託会社」という。)の内部統制の運用の有効性を評価しなければならないことがあります。この場合、J-SOXや会計監査上の対応方法※1として、「受託業務に係る内部統制の保証報告書」(以下「報告書」)※2を利用することができます。

本稿では、サービス利用会社が報告書を利用するにあたり、具体的に何をどのような手順で進めて行けばよいのか解説します。特に自社の監査人や受託会社とのコミュニケーションの実務的なポイントについて述べます。

1. 報告書の有無

サービス利用会社は、クラウドサービスやデータセンタなど受託会社のサービスの利用について検討する場合、受託会社に報告書が発行されているか否かを確認します。

2. 対象範囲

報告書が発行されている場合には、次にその対象範囲について確認します。具体的には、自社(サービス利用会社)が利用しようとしている受託会社のサービスに関する内部統制について、この報告書がどの程度カバーするのか、その対象範囲について確認します。受託会社側は様々なサービス体系を取揃え提供してきていることも想定されるため、その中で、自社(サービス利用会社)が利用するサービスの範囲と、報告書の対象範囲との差異を明確に認識しておきます。

3. 対象期間

さらに、報告書の対象期間について確認します。報告書の種類として、タイプ1とタイプ2の2種類がありますが、J-SOXや会計監査で通常利用するものは、主にタイプ2になります。タイプ2は一定期間のデザインの適切性と運用の有効性について評価しているのに対し、タイプ1はある一時点のデザインの適切性を評価しているものの運用の有効性については評価していないため、そこから得られる情報も限定的となるからです。
タイプ2の一定期間とは、半年間や1年間を指していることが多く、この期間を繰返すことが通常ですが、報告書の対象期間が例えば1月~12月で、会計監査の対象期間が例えば4月~翌年3月のように両者にタイムラグがある場合には、この空白期間のテストをどのように形成するのか、自社(サービス利用会社)の監査人に相談することが望まれます。
また、報告書が継続して発行されているのかもポイントです。もし、隔年で発行しているというような状況であれば、そこに監査の空白期間が生じますので、上記と同様に監査人に相談することが望まれます。

4. 報告書の入手

以上までで概要を把握した後、報告書の利用が可能であれば、報告書を入手することが望まれます。受託会社からよく説明を受けると共に、利用の方法に不安などがある際は、自社(サービス利用会社)の監査人に相談すると良いでしょう。

5. 費用負担

サービス利用会社が受託会社から今後報告書を定期的に受領するにあたり、費用負担がどのような扱いになるのか確認します。どちらが負担するかは特にルールはなく、サービス利用会社と受託会社のビジネス上の力関係が一因となって決まることもあるようです。

6. 今後の監査手続の変更(監査人との協議)

サービス利用会社は、自社の監査人との間で、上記の情報をタイムリーに共有し、自社の会計監査上の手続がどのように変わるのかを、早期に確認します。報告書の利用によって置き替わる部分を明らかにして、自社内でテストしている部分のうち、今後も残る部分と残らない部分を切分けます。

7. 受託会社への今後の監査協力依頼

報告書があってもそれが利用できない場合には、監査対応として、受託会社に対して直接追加的手続を実施しなければならない可能性もあります。そうした場合の協力度合いについても、サービス利用会社は、受託会社に対して確認しておくことが必要です。

8. 今後の経営者評価手続の変更

J-SOX適用の会社であれば、併せて経営者評価の手続に報告書を利用するかどうか検討を行います。

切分けの具体的な事例については、次回ご説明します。(前編 終わり)

※1 詳細は以下を参照してください。
  • 金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」のII.2.(1).②委託業務の評価
  • 日本公認会計士協会 監査基準委員会報告書402「業務を委託している企業の監査上の考慮事項」
  • 日本公認会計士協会 IT委員会研究報告第42号『IT委員会実務指針第6号「ITを利用した情報システムに関する重要な虚偽表示リスクの識別と評価及び評価したリスクに対応する監査人の手続について」に関するQ&A』のⅩ章
  • ※2日本公認会計士協会 監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」。米国監査保証基準としてはSSAE16。国際監査保証基準としては、ISAE3402。




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?