EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書(保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」)をはじめ、Trustサービス(情報システムの信頼性などに係る規準)に係る保証報告書の発行など、EYは第三者機関としての報告サービス(SOCR)を提供します。ISO規格に基づくISO20000-1、ISO27001、ISO27017、ISO27018、ISO27701等の認証業務や、手続実施結果のみを事実に則して報告する「合意された手続」業務(Agreed-Upon Procedures Engagements)も提供するほか、政府情報システムのためのセキュリティ評価制度(ISMAP:イスマップ)における監査機関としてISMAP情報セキュリティ監査業務も提供します。
公認会計士等(公認会計士または監査法人)が提供する保証業務である保証実3402/AT-C320保証業務について以下に紹介します。
保証実3402/AT-C320報告書は、財務諸表監査および内部統制監査において、委託会社監査人が内部統制の評価に利用するとともに、委託会社の内部統制に係る経営者評価に利用できます。
委託会社においては、以下のメリットが期待されます。
受託会社においては、以下のメリットが期待されます。
保証実3402/AT-C320報告書は次のような関係で成り立っています。
保証実3402/AT-C320報告書には、次の2種類があります。
タイプ1 : 内部統制のデザインに関する保証報告書 (時点評価)
タイプ2 : 内部統制のデザインおよび運用状況に関する保証報告書(期間評価)
評価対象期間を1月~12月(1年間)とした場合、保証実3402/AT-C320報告書(タイプ2)が発行されるまでの標準的なスケジュールは次のようになります。
顧客ニーズの多様化および業務委託のグローバル化に伴い、受託業務の内部統制に係る保証報告書も多様化しています。受託会社にとって、顧客ニーズを捉え、適切な報告書を作成することにより顧客との信頼関係を強固にすることが可能になります。
※1 米国公認会計士協会
※2 日本公認会計士協会「保証業務実務指針3402『受託業務に係る内部統制の保証報告書に関する実務指針』」
※3 米国公認会計士協会 “Attestation Standards (Clarified) 320 ”
※4 国際監査・保証基準審議会(IAASB)
International Standard on Assurance Engagements
“ISAE3402, Assurance Reports on Controls at a Service Organization”
※5 日本公認会計士協会「保証業務実務指針3852『受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針』」
※6 米国公認会計士協会 “Attestation Standards (Clarified) 105, 205”
受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)
企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。
続きを読む
最新の見解
「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント
クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。
米国公認会計士協会のSOC1新基準であるAT-C Section 320(AT-C 320)の、旧基準AT Section 801(SSAE16)からの主な変更点について解説します。