「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント

「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント

梅澤 泉
梅澤 泉

EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー

2020年9月2日
関連トピック
アシュアランス
リスク

クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。

サービスを利用する側の会社(以下「サービス利用会社」)が、外部委託先(以下「受託会社」)の内部統制の運用の有効性を評価する場合、J-SOXや会計監査上の対応方法(※1)として、「受託業務に係る内部統制の保証報告書」(以下「報告書」)(※2)を利用することができます。

以下では、サービス利用会社が報告書を利用するにあたり、具体的に何をどのような手順で進めて行けばよいのか、特に自社の監査人や受託会社とのコミュニケーションの実務的なポイントについて、解説します。
 

1. 報告書の有無

サービス利用会社は、クラウドサービスやデータセンターなど受託会社のサービスの利用について検討する場合、受託会社に報告書が発行されているかどうかを確認します。

2. 対象範囲

報告書が発行されている場合は、次にその対象範囲を確認します。具体的には、自社(サービス利用会社)が利用しようとしている受託会社のサービスに関する内部統制について、この報告書がどの程度カバーするのか、その対象範囲を確認します。受託会社側はさまざまなサービス体系を取りそろえ、提供してきていることも想定されるため、その中で自社(サービス利用会社)が利用するサービスの範囲と、報告書の対象範囲との差異を明確に認識しておきます。

3. 対象期間

さらに、報告書の対象期間について確認します。報告書の種類として、タイプ1とタイプ2の2種類がありますが、J-SOXや会計監査で通常利用するものは、主にタイプ2になります。タイプ2は一定期間のデザインの適切性と運用の有効性について評価しているのに対し、タイプ1はある一時点のデザインの適切性を評価しているものの運用の有効性については評価していないため、そこから得られる情報も限定的となるからです。

タイプ2の一定期間とは、半年間や1年間を指していることが多く、この期間を繰り返すことが通常です。ただし、例えば報告書の対象期間が1月~12月で、会計監査の対象期間が4月~翌年3月のように両者にタイムラグがある場合には、この空白期間のテストをどのように形成するのか、自社(サービス利用会社)の監査人に相談することが望まれます。

また、報告書が継続して発行されているのかもポイントです。もし、隔年で発行しているというような状況であれば、そこに監査の空白期間が生じますので、上記と同様に監査人に相談することが望まれます。

4. 報告書の入手

ここまでで概要を把握した後、報告書の利用が可能であれば、報告書を入手することが望まれます。受託会社からよく説明を受けるとともに、利用の方法に不安などがある場合は、自社(サービス利用会社)の監査人に相談するとよいでしょう。

5. 費用負担

今後、サービス利用会社が受託会社から報告書を定期的に受領するにあたり、費用負担がどのような扱いになるのか確認します。どちらが負担するかは特にルールはなく、サービス利用会社と受託会社のビジネス上の力関係が一因となって決まることもあるようです。

6. 今後の監査手続の変更(監査人との協議)

サービス利用会社は、自社の監査人との間で上記の情報をタイムリーに共有し、自社の会計監査上の手続きがどのように変わるのかを、早期に確認します。報告書の利用によっておき替わる部分を明らかにし、自社内でテストしている部分のうち、今後も残る部分と残らない部分を切り分けます。

7. 受託会社への今後の監査協力依頼

報告書があってもそれが利用できない場合には、監査対応として、受託会社に対して直接追加的手続を実施しなければならない可能性もあります。そうした場合の協力度合いについても、サービス利用会社は受託会社に確認しておくことが必要です。

8. 今後の経営者評価手続の変更

J-SOX適用の会社であれば、併せて経営者評価の手続きに報告書を利用するかどうか検討を行います。

続いて、サービス利用会社が受託会社の内部統制に依拠するために報告書を利用する統制手続と、内部統制を構築し評価する必要のある統制手続との切り分けについて、具体的なケースを挙げて考えてみます。

EYの関連サービス

  • 受託業務に係る内部統制の保証業務(SOCR)  

    外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書(保証業務実務指針3402/AT-C320に基づく報告書 )をはじめ、Trustサービス(情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証)など、第三者機関としての報告業務(System and Organization Controls Reporting、以下SOCR )を提供します。

    続きを読む

  • 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)

    企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。

    続きを読む

1. 大部分を受託会社に委託するケース

システムの外部委託といってもその形態はさまざまです。例えば、ASPサービス(クラウドサービスでいえばSaaS)ではウェブブラウザーにより、受託会社のサーバーにあるシステムを利用する形態が多く、システムの開発保守や運用は受託会社が実施することになります。この場合、システムの開発保守や運用を受託会社が実施するため、主なIT全般統制は報告書の対象範囲として含まれています。(※3)

ただし、いくつかのIT全般統制の一部がサービス利用会社で運用されている場合には注意が必要です。このようなケースは、報告書において相補的な内部統制として言及されていることがあります。
 

2. 受託会社とサービス利用会社の統制手続が併存するケース

① アプリケーションレベルのアクセス管理に関し、サービス利用会社がユーザーIDの改廃や権限付与などのユーザーID管理を行っている場合、その部分はサービス利用会社がIT全般統制を運用し、評価すると考えられます。また、ASPサービスのシステムからサービス利用会社のシステムへデータ連携のために、そのインターフェースやバッチジョブをサービス利用会社側で作成・管理している場合も同様です。

➁ クラウドサービスで受託会社が提供するパッケージをサービス利用会社がカスタマイズして使用する場合、サービス利用会社と受託会社の開発保守が併存することになります。そのため、両社の業務およびIT全般統制の役割分担を明確にしておくことが必要です。
プログラム変更作業におけるパッケージのバージョンアップ作業については、起案・開発・テスト・本番移行の一連の作業を実施する受託会社のIT全般統制に依拠することが多いと考えられます。

一方、カスタマイズ作業については、上記の一連の作業を実施するサービス利用会社の側でIT全般統制を運用し、評価することが多いと考えられます。一連の作業の中で起案などはサービス利用会社で、ほかは受託会社でというような組み合わせのケースも考えられます。

➂ プログラム変更作業で使用する特権ユーザーIDの管理は、基本的にサーバーを管理する受託会社が一括して実施することが多いと考えられます。そのため、サービス利用会社がカスタマイズ作業で特権ユーザーIDを利用する場合は、受託会社の管理ルールにのっとり特権ユーザーID利用申請をして使う手順となるため、受託会社のIT全般統制に依拠することになります。一方、サービス利用会社が特権ユーザーIDを常時保有し管理するような場合は、サービス利用会社がIT全般統制を運用し評価する必要があります。

 

このように、両社の仕組みが併存する場合、受託会社の報告書を利用する統制手続と、サービス利用会社のIT全般統制を評価する統制手続とを明確にする必要があります。また、報告書の中で、相補的な内部統制(サービス利用会社において整備されることを、受託会社が想定する内部統制など)がどのように記述されているのかについても確認が必要です。

3. 一部分のみを受託会社に委託するケース

サービス利用会社のサーバーを受託会社のデータセンターに預けるだけの場合は、受託会社にはサーバーのハードウェアの保守やバックアップの外部保管など、一部の業務のみを委託することになります。システム開発保守や運用の大部分はサービス利用会社に継続して残るため、IT全般統制の評価方針は従来の環境での運用とほとんど変わらないものと考えられます。そのため、サービス利用会社でIT全般統制を実施し評価することが主となります。受託会社に委託している業務のうち、どれがIT全般統制に該当するのか確認する必要があります。例えば、物理セキュリティや定型的な日々のコンピュータ運用作業の一部(ハードウェアの保守作業やバックアップの外部保管など)の業務を委託していれば、その範囲について受託会社のIT全般統制に依拠するために、報告書を利用することになります。

おわりに

近年ITリスクは、財務報告に関連したいわゆるJ-SOX的なリスクから、個人データ漏えいのみならず技術情報や製品情報などへの不正アクセスのリスク、または資産の保全、可用性に係るリスクなど、J-SOXを超えたさまざまな領域へと広がっています。クラウドサービスやデータセンターを利用する上でこうしたリスクに対応していくには、米国公認会計士協会が提供するSOC2やSOC3のレポートの活用を検討することも必要でしょう。これらは、セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシーが阻害されるリスクを対象としています。なお、米国公認会計士協会のSOC1は、委託会社(サービス利用会社)の財務諸表が誤って作成されるリスクを対象としており、上記で挙げた報告書と同じ目的の報告書です。

脚注

※1 詳細は以下を参照してください。
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(2019年)
日本公認会計士協会「監査基準委員会報告書402『業務を委託している企業の監査上の考慮事項」』」(2015年)

※2 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」、米国監査保証基準としてはSSAE18、国際監査保証基準としてはISAE3402のこと。

※3 サービス利用会社がJ-SOX適用会社の場合は、受託会社に対し丸投げするのみではなく、J-SOXに係る対象範囲において委託に関する契約の管理を適切に実施し評価することが求められます。そのためには、例えば、契約書やSLAで委託業務内容や水準を明確化しておき、受託会社からの運用報告書を確認するなどして、定期的に委託業務をモニタリングすることが考えられます。

サマリー

「受託業務に係る内部統制の保証報告書」を利用する際には、報告書の対象範囲、対象期間、受託会社に対して委託する業務範囲などを確認すると同時に、自社の監査人や受託会社とのコミュニケーションを図り、受託業務に係る内部統制を理解することが重要です。

この記事について

梅澤 泉
梅澤 泉
EY新日本有限責任監査法人 Technology Risk事業部 副事業部長 パートナー
セクターを横断してデータ・プロテクション・リーダーを務める。データ管理およびコントロールを専門とする。
関連トピック
アシュアランス
リスク

EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。