アウトソーシング事業者向け内部統制評価支援(SSAE16、86号保証業務等)

クラウドサービスの活用をはじめ、情報システムの開発、保守、運用や重要なビジネスプロセスの外部委託の拡大に伴い、業務を受託する側(以下、受託会社)への情報セキュリティや受託業務の品質等のリスク管理態勢や内部統制の高度化要求が高まっています。受託会社は内部管理態勢の強化を推し進めるとともに、SSAE16や86号等の第三者保証の報告書を取得し委託会社へ開示しているものの、これらの活動を受託サービスの商品価値向上に十分に活用できていない事例が見受けられます。
あらた監査法人では、SSAE16や86号等の第三者保証の報告書を発行するだけでなく、さまざまな監査を通じた知見やグローバルの事例を用い、第三者保証制度を活用した受託サービスの強化を支援します。

※ 本サービスは、アウトソーシング事業者等の受託会社向けの内容となります。ユーザ企業(委託会社)における委託先の評価や委託業務のモニタリング等の外部委託管理の支援サービスは、 「外部委託管理の高度化支援」にて記載しています。

第三者保証制度を活用できていますか

受託会社において、第三者保証制度の活用に関し、さまざまな課題が認識されています。

  • SSAE16/86号(旧SAS70/18号)の報告書を取得しているものの、ただ取得しているだけで業務改善等に活用できていない。
  • リスク管理態勢や情報セキュリティの管理態勢を整備しているが、委託会社へのアピールや競合他社との差別化に繋げられていない。
  • SSAE16/86号の報告書の対象範囲・統制目的が、委託会社の利用目的を十分に考慮したものではなく、報告書の利用方法や内容について追加的な問い合わせ対応が発生している。
  • 委託会社の外部委託管理態勢の強化に伴い、新たにセキュリティ管理態勢にかかるチェックリスト等への回答を求められていて、対応負荷が高い。
  • SSAE16/86号の報告書は財務報告目的の内部統制を対象としているため、財務報告目的以外の範囲について、内部管理態勢の開示・保証対応に苦慮している。

ニーズの変化や全体的な枠組みの考慮不足と評価業務の単純作業化

これらの課題の主な原因は、受託サービスの内部管理態勢について、委託会社のニーズの変化や全体的な枠組みの考慮不足によるもの、評価業務の単純作業化の2点が考えられます。

<委託会社のニーズの変化や全体的な枠組みの考慮不足>
これまで、形式的にSSAE16/86号の報告書を取得していたものの、サービス・レベル・アグリーメント(SLA)やモニタリング活動、日々の報告業務との関連性や委託会社ニーズの変化について、全体的な枠組みの観点から十分に検討を実施しておらず、その結果として、SSAE16/86号の報告書の対象範囲・統制目的の妥当性、受託サービスの差別化につながるその他の保証業務等の必要性について見直しが十分でない場合が考えられます。

<評価業務の単純作業化>
SSAE16/86号の評価業務において、受託会社は監査法人から指示された証跡を毎回提出するのみの単純な作業となり、一方の監査法人もSSAE16/86号の評価範囲にてリスクがない限り改善ポイントを受託会社に報告しないケースなど、互いに報告書発行に必要な作業を淡々と実施するだけになっていることが考えられます。

あらた監査法人を使用することのメリット

あらた監査法人では、評価作業の実施前に、委託会社のニーズを考慮した全体的な枠組みの検討を支援し、貴社における効果的な第三者保証制度の導入や対象範囲の決定の実現に寄与します。また、委託会社へのサポート強化に資する目的として、報告書の内容や活用に関する助言も行います。評価作業では、保証制度の範囲に限らず、管理態勢の改善効果が高いと思われる点についても積極的に報告します。

SSAE16/86号保証業務について

外部に委託した業務における財務報告に関連する内部統制を受託会社が文書化した上で、その内容が現状を正しく反映していることと、その統制手続が遵守された場合に統制目的が達成されることを外部監査人が評価し、報告書を発行します。

本報告書は、国際保証業務基準(ISAE3402)に基づき策定された下記の指針・基準に基づき発行します。(※本サービスは、旧SAS70、旧18号監査に該当します。)

  • 日本公認会計士協会 監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」
  • 米国公認会計士協会 保証業務基準書第16号(SSAE16)「受託会社の統制に関する報告」

なお、本報告書は、委託会社の財務報告に関連して、受託会社監査人が、下図の各事項について意見を表明する報告書であり、Type IとType IIの2種類があります。
TypeⅠは、基準日時点での評価となり、一方、TypeⅡは期間を対象とした評価となります。

TypeⅠは、基準日時点での評価となり、一方、TypeⅡは期間を対象とした評価

財務報告目的以外の保証業務について

財務報告目的の保証業務となるSSAE16/86号(旧SAS70/18号)以外にも、利用できるさまざまな保証業務があります。

■日本公認会計士協会
IT委員会報告第2号「Trustサービスに係る実務指針 (中間報告)」
IT委員会報告第5号「ITに係る保証業務等の実務指針(一般指針)」
IT委員会研究報告第39号「情報セキュリティ検証業務」

■米国公認会計士協会(AICPA)
Service Organization Controls (SOC) reports
SOC2 Report : Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy
SOC3 Report : Trust Services Report

当サービスのアプローチ

当サービスのアプローチ

■STEP1 事前作業
1-1.現状把握・分析
委託会社のニーズなどの情報収集や、これまで貴社にて取り組まれている内部管理態勢にかかる各種活動、SSAE16/86号等の保証報告の実施状況等について、インタビューや関連資料の閲覧により把握・分析を行います。
1-2.レディネスレビュー(オプション)
評価作業の実施に先立ち、対象業務における内部統制の事前診断を行い、課題の識別と、解決に向けた助言を行います。
1-3.ディスカッション
クライアントの現状に基づき、委託会社のニーズを考慮した全体的な枠組みについてディスカッションを行い、第三者保証制度の活用の目的やその他の取り組みとの関連の明確化に向けて助言します。また、クライアントにおいて第三者保証制度の対象範囲(統制目的)の設定やそれらの記述書への文書化を円滑に行えるように助言します。
■STEP2 評価作業
2-1.予備調査
対象業務や情報システムの環境、それらの変更計画、記述書の内容等について調査を行います。
2-2.設計状況・運用状況の評価
設計状況評価では、規程やマニュアルの閲覧およびウォークスルーを行い、統制目的を達成できるよう統制が設計されているか評価します。ウォークスルーでは、統制を実施している主管部署にインタビューを行い、統制の理解と評価を行います。運用状況評価は設計状況評価の評価結果に基づき、重要な統制について証跡の閲覧等による運用状況の評価を行います。
2-3.報告書作成・納品
報告書を作成し、納品します。
■STEP3 改善提言
3-1.改善点にかかるディスカッション
評価作業において把握した改善点について、保証制度の範囲に限らず報告するとともに、改善の方向性について助言します。
 
 ページトップへ