SAS70と18号(2)

こんにちは、長谷友春です。

J-SOX法対応でアウトソース先からSAS70報告書や18号報告書が入手できるか検討しなくてはならないケースを具体的に説明したいと思います。

まず、システムの運用保守をアウトソースしているケース。SAPなどのERPパッケージを使っており、基幹システムの管理をハードウェアごとホスティングサービス業者にアウトソースしているケースや、インターネット通販のシステムのみをアウトソースしているケースなど、いろいろなケースが考えられます。

基幹システム全体をアウトソースしている場合は、さすがに社内で「J-SOX法でうちのIT全般統制はどうすればいいんだ」という話になると思いますが、メインの販売システムは自社で運用保守していて、インターネット販売のシステムだけアウトソースしている場合は、そのIT全般統制については忘れ去られる恐れがあります。

監査法人に、「インターネット販売の売上高は重要性があるから、追加でIT全般統制の文書化をしてください」と指示されて初めて気づくという企業も出てくるかもしれません。

次に、給与計算をアウトソースしているケース。給与プロセスのフローチャートで給与計算受託会社とデータのやりとりをしていることを表しているものを見かけますが、受託会社内部の内部統制が完全にブラックボックス化しているため、データのやりとりをフローチャートに記しただけでは不十分と判断されることが多いでしょう。

給与計算業務など財務諸表上の勘定科目に直接関係する業務を対象としたSAS70報告書・18号報告書においては、当該業務そのものの業務処理統制だけでなく、当該業務のシステムに係るIT全般統制と併せて記述されているケースもあります。

その他、信託財産の運用やカストディ業務を金融機関にアウトソースしているケースがあります。受託業務を行う金融機関の多くはSAS70報告書か18号報告書をすでに取得しているため、J-SOX法によってどうこうという話にはならないでしょう。

むしろ、問題となるのはホスティングやコロケーションサービスを提供している企業にはSAS70報告書・18号報告書を取得していない事業者が多く、監査法人のリソース不足を考慮すると、2009年3月までに取得できない事業者が出るだろうということです。

こうした場合、そのような事業者にアウトソースしている企業のIT全般統制の文書化・経営者評価に大きな支障が出る可能性があります。このことは丸山満彦公認会計士もブログで警鐘を鳴らしていますが、私も全く同感です。

重要業務をアウトソースしている企業は早めにアウトソース先にSAS70報告書か18号報告書を取得しているか（もしくは取得予定か）を問い合わせしてみるとよいでしょう。全く対応しておらず「それって何ですか？」という反応の場合は、既に取得済みの事業者にアウトソース先を変更するという選択肢もありえます。

ある受託事業者の方とお話したときに、「18号報告書を取得して今のうちに他の事業者との差別化を図る」とおっしゃっていました。また、「現時点では取得していればアドバンテージとなるが、そのうち取得していることが業者選定の最低条件になるだろう」ともおっしゃていました。そういう時代が間近に迫って来ているのかもしれません。

受託事業者は、どちらの報告書を取得するにせよ半年以上かかりますので早めに対応を開始することが重要です。