SAS70と18号(1)

こんにちは、長谷友春です。

今日はIT全般統制の文書化(1)の中で後日書くと言っていたSAS70報告書と18号報告書についてです。

何の報告書？と思った方が多いと思います。SAS70報告書も18号報告書もアウトソーシング受託企業の内部統制の有効性について監査法人（または公認会計士）が意見を表明した報告書です。

SAS70とは米国監査基準書70号のことであり、18号とは日本公認会計士協会の監査基準委員会報告第18号です。18号は日本版SAS70と考えればいいでしょう。

実はこの２つについては監査法人に勤める公認会計士であってもよく知らない人の方が多いと思われるマニアックな領域です。

具体的に、システムの運用を例に挙げて説明します。

ある企業（委託企業）が会計システムの運用を別の企業（受託企業）にアウトソースしている場合（受託企業のデータセンターにハードウェアを置いてホスティングサービスを利用している場合など）、委託企業の監査法人は財務諸表監査の一環として受託企業におけるIT全般統制の有効性を検証したいと考えます。

そうした場合に、受託企業がシステム運用のIT全般統制についてSAS70報告書か18号報告書を取得している場合は、委託企業の監査法人はそれを入手し、内容を検討することで報告書の意見に依拠することができます。もちろん、依拠せず独自手続を実施するという判断になることもあります。

IT全般統制だけではなく、業務処理統制も報告書の対象となりえます。

次回は、具体的にどのような業務をアウトソーシングしている場合にJ-SOX法対応においてSAS70報告書や18号報告書が関係してくるかについて書きたいと思います。