コンサルティング
受託業務に係る内部統制の保証報告書

受託業務に係る内部統制の保証報告書:日本基準の改正
~保証業務実務指針3402の解説<旧基準からの主な変更点>~

2020.07.01

2019年8月1日、日本公認会計士協会の監査・保証実務委員会から保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」 (以下、「保証実3402」)が公表され、2020年1月1日以後に発行される保証報告書より適用されています。

本編では、従前の基準である監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」 (以下、「86号」)からの主な変更点について解説いたします。なお、従前の86号については以下をご覧ください。
受託業務に係る内部統制の保証報告書(SOCR) EYACCサイトへ

1. 86号からの主な変更点

主な変更点は、以下の2点です。
① 保証実3402に関するQ&Aの公表
② 受託会社確認書、保証報告書及び経営者確認書の例示の充実

① 保証実3402に関するQ&Aの公表

受託業務に係る内部統制の保証報告書の発行は、年金資産運用、給与計算、情報システム等の領域を中心に広く行われており、このような実務の進展の下で、特定の事項に関する取扱いや基本的な考え方を明らかにして欲しいという報告書利用者、受託会社及び受託会社監査人からのニーズが醸成されてきました。

このようなニーズを踏まえ、日本公認会計士協会の監査・保証実務委員会は保証実3402の公表を機に実務の参考に資するため、「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』に係るQ&A」を公表しました。

具体的には、表1に記載された主要な15個の論点についてQ&A方式で解説されており、これまでの報告書利用者、受託会社及び受託会社監査人はもとより、これから保証報告書の利用や配布を検討する会社にとっても参考となります。

表1.Q&A一覧

表1.Q&A一覧

以下では、Q&Aの内、受託会社にとって特に参考になると考えられるものについて抜粋して解説いたします。

Q1: 保証実3402で想定される業務

保証実3402は、委託会社の財務報告に関連する業務を対象としており、資産運用業務、年金制度管理業務、給与計算業務、アプリケーションサービスプロバイダー、クラウドサービス、経理代行業務、電子決済業務、信用金庫・銀行等の共同システムセンター業務、物流センター業務など数多くの業務が想定されます。

総務省の情報通信白書によれば、2018年にクラウドサービスを一部でも利用している企業の割合は日本国内で58.7%に達しており、世界のクラウドサービス市場規模でも増加の一途をたどっていることから、上記業務の中でも、アプリケーションサービスプロバイダー、クラウドサービスに対する第三者による保証は、今後ますます注目されるものと考えられます。
出典:「令和元年版情報通信白書」(総務省)

Q5: 運用評価手続において逸脱が発見された場合の重要性

受託会社監査人の運用評価手続において、内部統制からの逸脱が発見された場合、逸脱の重要性にかかわらず、受託会社監査人の運用評価手続の記述において全て開示する必要があることが解説されています。

重要性にかかわらず逸脱を開示する目的は、当該逸脱の重要性は保証報告書を利用する委託会社や委託会社監査人ごとに異なってくるものであり、受託会社監査人の判断で開示を控えるべきではないからです。実際に、逸脱が保証報告書で開示される事例は少なからずあり、逸脱により、必ずしも受託会社の内部統制全体が否定されるものではありません。逸脱の開示により、委託会社や委託会社監査人との間で建設的なコミュニケーションを行うことが、委託会社及び受託会社双方にとって重要だと考えられます。

Q7: 受託会社が業務を再委託している場合の考慮事項

受託会社が業務を再委託している場合、当該再委託先の内部統制を委託会社及び委託会社監査人がどう評価すべきかが解説されています。

受託会社は再委託先が委託会社の財務報告に係る重要な内部統制に関連しているかどうかを検討し、保証報告書上「再受託会社」に該当するかを判断します。「再受託会社」に該当する場合には、当該再受託会社を保証報告書の対象に含める一体方式、又は、保証報告書の対象に含めない除外方式のいずれかを採用します。

除外方式を採用した場合、受託会社としては自社の内部統制のみを保証報告書の対象とすることで、再受託会社の内部統制との境界を示し、自社の責任範囲を明確にすることができます。一方で、委託会社としては除外方式の保証報告書のみでは再受託会社の内部統制を評価することができません。再受託会社の提供する業務が委託会社の財務報告にとって重要である場合、委託会社による再受託会社の内部統制の評価のために、受託会社は下記のような対応を採ることが考えられます。

  • 一体方式の保証報告書の配布
  • 再受託会社の保証報告書を入手し、受託会社の保証報告書と併せて配布
  • 上記の保証報告書を配布できない場合、委託会社監査人や委託会社からの再受託会社に係る個別の照会への対応

ただし、再受託会社に係る個別の照会については受託会社から回答できる範囲に制約や限界があります。受託会社が保証報告書を配布するにあたり、一体方式を採用することや、再受託会社の保証報告書を入手、配布することは、受託責任を果たす上で有効な手段であり、委託会社や委託会社監査人との良好なコミュニケーションに資するものと考えられます。

Q12: 想定利用者

委託会社や委託会社監査人以外による保証報告書の利用について解説されています。

保証報告書は、受託会社の業務の全てを対象としているものではなく、委託会社より委託された業務の内、多くの委託会社の財務報告に関連するであろうと考えられる業務のみが対象となります。利用者は保証報告書が受託会社のどのような業務を対象としているか、業務の中のどこまでの範囲を対象として含めているかといったことを理解した上で利用する必要があります。

そのため、保証報告書は、通常は委託会社及び委託会社監査人に利用されることが想定されますが、それ以外の者が利用する場合には、保証報告書の性質を十分に理解し、自らの利用目的に適合するかどうかを判断することが必要となります。

具体例として、受託会社が一部の業務を再受託会社に再委託している場合において、委託会社及びその監査人は自己の判断で再受託会社の保証報告書を利用することがあります。

(下図をクリックすると拡大します)

また、委託会社の親会社にとって、委託会社が利用する受託会社の内部統制が重要な場合において、委託会社の親会社及びその監査人は自己の判断で受託会社の保証報告書を利用することがあります。

(下図をクリックすると拡大します)

以上のように、保証報告書の利用者に求められる要件が示されるとともに、利用できる可能性のある者が図とともに例示され、報告書の配布、利用にあたっての利便性が向上しています。

Q15: 利用期間の差異

委託会社の会計期間と受託会社の保証報告書の対象期間とが一致せず保証報告書の対象とならない期間が生じている場合、委託会社監査人が受託会社及び受託会社監査人に要請する可能性のある事項について解説しています。

実務上、両者の期間は一致しないことが多くなっています。これは、保証報告書は複数の委託会社監査人に利用されることを想定しているため、個々の委託会社の会計期間を考慮することは実務的ではないこと、また仮に対象期間と会計期間が一致していた場合であっても報告書の発行までに要する時間を考慮すると、委託会社監査人が対象となる会計期間の監査において適時に利用できないことも理由として挙げられます。

対象期間と会計期間のギャップの影響を考慮して、受託会社は、保証報告書の対象期間後に発生した受託会社の内部統制の重要な変更について、追加的な証拠の提供や、追加の監査手続への協力を求められることが考えられます。その場合、例えば対象期間末日から委託会社の会計期間末日までの期間における受託会社の内部統制の重要な変化を説明する、いわゆるロールフォワード・レター(又はブリッジ・レター)を作成することが考えられます。

なお、受託会社の中には多様な決算スケジュールを持つ委託会社のニーズを満たすために対象期間を複数設定し保証報告書を1年に複数回配布している事例もあります。

② 受託会社確認書、保証報告書、経営者確認書の例示の充実

86号では受託会社確認書と保証報告書の例示として、それぞれタイプ2(期間評価)とタイプ1(時点評価)の2種類のみが記載されており、経営者確認書については例示がありませんでした。保証実3402では、受託会社確認書、保証報告書及び経営者確認書の例示について、表2の通り、再受託会社の有無や、再受託会社の取扱い(一体方式と除外方式)に応じてそれぞれ例示されており、実務に資することが期待されます。

表2.各種例示

(下図をクリックすると拡大します)

2. 適用日

保証実3402の適用日は、以下の通りです。図1もご参照ください。
2020年1月1日以後に発行する保証報告書に適用されています(原則適用)。
② ただし、2019年8月1日(公表日)以後に発行する保証報告書より早期適用が認められています。
③ なお、2020年8月31日までに発行する保証報告書については、86号に基づく従前の取扱いによることができます。

図1. 移行スケジュール

(下図をクリックすると拡大します)

まとめ

我々の社会を取り巻く環境はめまぐるしい変化を続けています。テクノロジーの発達、働き方の多様化、競争の激化の中で、経理、資産管理、人事、ITシステム等の各分野において専門性に特化したサービスが生まれるとともに、企業はこういった第三者が提供するサービスを活用しながら、限られた資源をよりコア事業に集中させる傾向があります。そのため、受託業務に係る内部統制の保証報告書の重要性は、受託責任を果たし、委託会社との円滑なコミュニケーションを実現する上でますます重要になります。

そうした環境のもと、今般の保証実3402への改正やQ&Aの公開によって、実務上の取り扱いや配布可能な範囲はより明確化され、保証報告書はますます利用しやすくなっています。

本稿でご紹介した、財務報告に係る内部統制を対象とした保証実3402に加えて、セキュリティ等に係る内部統制を対象としたSOC2など、目的に応じた保証報告書の活用をご検討ください。

SOC2については、以下の記事をご覧ください。
受託業務のセキュリティ等に係る内部統制の保証報告書(SOC2 / SOC2+) EYACCサイトへ