日本版SOX法に必要なセキュリティポリシーとは?セキュリティツールで作る内部統制(7)(3/3 ページ)

» 2006年11月02日 12時00分 公開
[中島 浩光,@IT]
前のページへ 1|2|3       

外部委託業務におけるSAS70(もしくは18号監査)の利用について

 外部委託されている業務の内部統制は、委託元が責任を持たなければいけないことは前述しました。従って、内部統制の評価・監査を行う場合、委託先における業務プロセスの内部統制の状況を、委託元の企業や監査人が直接監査することもあり得ます。

 しかし、委託先からすると複数の企業からの委託業務について何度も同様な監査を要求されたり、委託元でも外部委託している業務が多い場合では監査作業の負荷が大きくなったりすることがあります。そこで、外部委託作業における内部統制の監査を効率化するための枠組みがあり、SAS70(Statement on Auditing Standards No.70、米国監査基準書70号)と呼ばれています。日本でも同様の基準として日本公認会計士協会の監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」(通称「18号監査」)があります。

 SAS70報告書にはType IとType IIの2種類があります。Type Iは委託業務に関する内部統制の整備状況について、Type IIはそれに加えて所定の期間を通じての内部統制の運用状況の有効性の評価を行います。つまり、Type IがDesign+Implementationの評価であり、Type IIはType IにOperationの評価を加えたものになります。18号監査もSAS70と同じように「内部統制の整備状況報告書」と「内部統制の整備及び運用状況報告書」の2種類の報告書を定義していることから、SAS70と同様の仕組みとなっていることが分かります。

 SAS70(もしくは18号監査)の制度の使い方ですが、委託先企業とその監査人が外部委託業務についての内部統制の整備および運用の状況をSAS70報告書としてまとめています。委託元企業は委託先企業から受け取ったSAS70報告書をもって、外部委託業務についての内部統制の評価と代替することができます。簡単にいうと、外部委託した業務については内部統制の評価も外部委託が可能になるということです。

 この枠組みを使うことによって、外部委託業務についての監査の負荷を軽減するとともに、委託先の企業においてもSAS70報告書を提示することにより、複数の委託先からの監査要求に応えることが可能になります。

SAS70のコンセプト

 では、SAS70の2種類の報告書の違いが実際の内部統制の監査にどのように影響するかについてですが、「内部統制の整備状況報告書」(もしくはType I報告書)のみでは、委託業務についての統制リスクの程度を中位もしくは低いと評価するには不十分です。

 「内部統制の整備及び運用状況報告書」(もしくはType II報告書)を受領し、かつ、その報告書の内容が適切と監査人が判断した場合に初めて、委託業務についての統制リスクを中位もしくは低位であると評価できることになります。つまり、Type II報告書の内容が適切でないと監査人が判断した場合には、委託先への直接監査を行うことがあり得るという点に気を付ける必要があります。

 また、委託先においてどのようにSAS70を作成するかという点ですが、これは通常の内部統制の構築の手続きと同様で、委託されている業務の文書化、リスク分析、統制活動の実施などを行い、そのうえでSAS70に対応した報告書の作成・監査を行うことが必要になります。

 このSAS70については、米国ではSOX法対応が進んでいることからすでにデータセンタ、電子認証局、ネットワークサービス企業などが利用しているようです。日本ではまだあまり広まっていませんが、日本でもネットワークサービス、データセンターなどの外部委託業務は一般的になっていることなどから、今後は外部委託を受けている企業においてSAS70の利用は進むものとみられています。

 今回を含め4回にわたり内部統制におけるセキュリティについて説明してきました。次回からはセキュリティ以外の部分に関して説明していきます。

Profile

中島 浩光(なかじま ひろみつ)

日本CA株式会社 カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ