アドバイザリー

IT全般統制の「受託業務に係る内部統制の保証報告書」を利用する場合のポイント(後編)

2013.04.25
岡村 和彦
大西 基彦
新日本有限責任監査法人
ITリスクアドバイザリー部 シニアマネージャー
公認情報システム監査人(CISA)、公認内部監査人(CIA)
電機メーカーにて電力系統システム、ディーリングシステムの開発・設計に従事後、監査法人に転身。金融機関やエネルギー業界などの、情報システムに係る内部統制の評価、アドバイザリー業務、CAAT(コンピューター利用監査技法)活用に携わる。また、この間、金融情報システムセンター(FISC)にて、安全対策基準の第6版改訂に関与。システム監査普及連絡協議会第2部会(現在は研究部会に改称)の事務局を担当。


クラウドサービスやデータセンタの利用が広がる中、前編ではこうしたサービスを利用する会社(以下「サービス利用会社」という)が、「受託業務に係る内部統制の保証報告書」(以下「報告書」という)※1を活用するにあたり、留意すべき点や手順を解説しました。後編では、サービス利用会社が外部委託先(以下「受託会社」という)の内部統制に依拠するために報告書を利用する統制手続と、内部統制を構築し評価する必要のある統制手続との切分けについて、具体的なケースを挙げて考えてみます。

1. 大部分を受託会社に委託するケース

システムの外部委託といってもその形態はさまざまです。例えば、ASPサービス(クラウドサービスでいえば、SaaS型※2)ではWebブラウザにより、受託会社のサーバにあるシステムを利用する形態が多く、システムの開発保守や運用は受託会社が実施することになります。この場合、システムの開発保守や運用を受託会社が実施するため、主なIT全般統制は報告書の対象範囲として含まれています。※3
ただし、いくつかのIT全般統制の一部がサービス利用会社で運用されている場合には注意が必要です。このようなケースは、報告書において相補的な内部統制として言及されていることがあります。

2. 受託会社とサービス利用会社の統制手続が併存するケース

①アプリケーションレベルのアクセス管理に関し、サービス利用会社がユーザIDの改廃や権限付与などのユーザID管理を行っている場合、その部分はサービス利用会社がIT全般統制を運用し、評価すると考えられます。また、ASPサービスのシステムからサービス利用会社のシステムへデータ連携のために、そのインターフェースやバッチジョブをサービス利用会社側で作成・管理している場合も同様です。

②クラウドサービスで受託会社が提供するパッケージをサービス利用会社がカスタマイズして使用する場合、サービス利用会社と受託会社の開発保守が併存することになります。そのため、両社の業務およびIT全般統制の役割分担を明確にしておくことが必要です。
プログラム変更作業におけるパッケージのバージョンアップ作業については、起案・開発・テスト・本番移行の一連の作業を実施する受託会社のIT全般統制に依拠することが多いと考えられます。
一方、カスタマイズ作業については、上記の一連の作業を実施するサービス利用会社の側でIT全般統制を運用し、評価することが多いと考えられます。一連の作業の中で起案などはサービス利用会社で、ほかは受託会社でというような組合わせのケースも考えられます。

③プログラム変更作業で使用する特権ユーザIDの管理は、基本的にサーバを管理する受託会社が一括して実施することが多いと考えられます。そのため、サービス利用会社がカスタマイズ作業で特権ユーザIDを利用する場合は、受託会社の管理ルールに則り特権ユーザID利用申請をして使う手順となるため、受託会社のIT全般統制に依拠することになります。一方、サービス利用会社が特権ユーザIDを常時保有し管理するような場合は、サービス利用会社がIT全般統制を運用し評価する必要があります。

このように、両社の仕組みが併存する場合、受託会社の報告書を利用する統制手続と、サービス利用会社のIT全般統制を評価する統制手続とを明確にする必要があります。また、報告書の中で、相補的な内部統制(サービス利用会社において整備されることを、受託会社が想定する内部統制)がどのように記述されているのかについても確認が必要です。

3. 一部分のみを受託会社に委託するケース

サービス利用会社のサーバを受託会社のデータセンタに預けるだけの場合は、受託会社にはサーバのハードウェアの保守やバックアップの外部保管など、一部の業務のみを委託することになります。システム開発保守や運用の大部分はサービス利用会社に継続して残るため、IT全般統制の評価方針は従来の環境での運用とほとんど変わらないものと考えられます。そのため、サービス利用会社でIT全般統制を実施し評価することが主となります。受託会社に委託している業務のうち、どれがIT全般統制に該当するのか確認する必要があります。例えば、物理セキュリティや定型的な日々のコンピュータ運用作業の一部(ハードウェアの保守作業やバックアップの外部保管など)の業務を委託していれば、その範囲について受託会社のIT全般統制に依拠するために、報告書を利用することになります。

おわりに
以上、2回にわたって連載してきましたが、留意点はあらかじめ認識しておくことが大切です。実務の現場では、自社の監査人ともご相談ください。
また、近年ITリスクは、財務報告に関連したいわゆるJ-SOX的なリスクから、個人データ漏洩のみならず技術情報や製品情報等への不正アクセスのリスク、または資産の保全、可用性にかかわるリスク※4など、J-SOXを超えたさまざまな領域へと広がっています。クラウドサービスやデータセンタを利用する上でこうしたリスク※5に対応していくには、米国公認会計士協会が提供するSOC2やSOC3※6のレポートの活用もご検討ください。これらは、セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシーが阻害されるリスクを対象としています。ちなみに米国公認会計士協会のSOC1は、委託会社(サービス利用会社)の財務諸表が誤って作成されるリスクを対象としており、本稿で挙げた報告書と同じ目的の報告書です。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?