HOME > 内部統制/IFRSコンサルティング > SAS70/委託18号報告書対応

SAS70/委託18号報告書対応コンサルティング

SAS70は、受託業務(アウトソーシングサービス等)にかかわる内部統制について評価する基準として、米国公認会計士協会(AICPA)が定めたものです。米国の企業改革法(SOX法)第404条の施行以前から広く利用されており、SOX法第404条の施行後、企業が外部に委託した業務にかかわる内部統制を評価する方法として、広く採用されています。業務の受託を行っている企業は、SAS70に基づき作成された報告書を提供することによって、受託業務の内部統制の有効性について委託者に報告することができます。

委託18号監査は、日本公認会計士協会監査基準委員会報告書第18号として発行されました。上場企業が財務報告の信頼性に係る業務プロセスを外部に委託している場合、受託企業に委託18号監査報告書の提出を必須にすると考えられています。

対象企業

  • 財務報告の基礎となる業務が企業グループの外部に委託されている企業様
  • 受託企業が当該取引の承認・実行権限と会計報告責任を有している企業様
  • 受託企業が同じ種類の業務を多数の委託企業から受託している企業様
  • 委託企業の外部監査人が監査対象にしたいと主張している企業様

対象業種

  • ITシステムの運用保守のアウトソーシング
  • 給与計算業務の受託サービス
  • データセンター業務
  • ホスティングサービス
  • ハウジングサービス(コロケーションサービス)
  • ASP、SaaS
  • 信託財産の運用サービス
  • カストディ業務(有価証券の保管業務)サービス
  • 倉庫、保管業務

SAS70/委託18号報告書のイメージ

SAS70/委託18号報告書のイメージ

SAS70報告書と種類

SOX(サーベンス・オクスリー)法第404条への対応を行う企業は、自社の財務報告の信頼性を確保する上で重要と判断した場合、第三者に委託した業務についても、内部統制の有効性を評価することが求められています。SAS70では、受託者が受託業務において実施している内部統制を、委託者側の財務報告に係る内部統制との関係において評価します。SAS70報告書は、監査法人によってCOSOのフレームワークを用いて監査が行われ、内部統制記述書として報告されます。委託企業は、受託企業によって行われたSAS70監査報告書の提出を求め、受託企業は委託企業からの求めに応じて内部統制報告書を提出します。

SAS70で作成される報告書には、基準日における内部統制の設計の有効性を評価する「タイプ1」と、一定期間、内部統制の運用の有効性を評価する「タイプ2」の2種類があり、委託者とその会計監査人が、委託業務における内部統制の有効性を評価する場合は、「タイプ2」報告書が多く利用されます。

SAS70報告書の要点

1.基準日における内部統制の状況が、内部統制記述書に適切に記述されている。
2.記述された内部統制は、受託業務に係る統制目的を達成できるように設計されている。
3.記述された内部統制が基準日時点で実際に適用されていたかについて、独立監査人の意見表明を行う。

以上 タイプ1報告書

タイプ1報告書の評価に加えて、
4.一定の期間、統制手続きが有効に運用されていたかについて、意見表明を行う。

以上 タイプ2報告書

委託18号監査報告書と種類

金融商品取引法内部統制監査を受ける企業は、自社の財務報告の信頼性を確保する上で重要と判断した場合、第三者に委託した業務についても、内部統制の有効性を評価することが求められています。委託18号監査報告書では、受託者が受託業務において実施している内部統制を、委託者側の財務報告に係る内部統制との関係において評価します。委託18号監査報告書は、監査法人によって監査基準委員会報告書第20号「統制リスクの評価」を用いて監査が行われ、内部統制記述書として報告されます。委託企業は、受託企業によって行われた委託18号監査報告書の提出を求め、受託企業は委託企業からの求めに応じて内部統制報告書を提出します。

委託18号で作成される報告書には、基準日における内部統制の設計の有効性を評価する「整備状況報告書」と、一定期間、内部統制の運用の有効性を評価する「整備及び運用状況報告書」の2種類があり、委託者とその会計監査人が、委託業務における内部統制の有効性を評価する場合は、「整備及び運用状況報告書」が多く利用されます。

委託18号監査報告書の要点

1.基準日における内部統制の状況が、内部統制記述書に適切に記述されている。
2.記述された内部統制は、受託業務に係る統制目的を達成できるように設計されている。
3.記述された内部統制が基準日時点で実際に適用されていたかについて、独立監査人の意見表明を行う。

以上 整備状況報告

整備状況報告書の評価に加えて、
4.一定の期間、統制手続きが有効に運用されていたかについて、意見表明を行う。

以上 整備及び運用状況報告

SAS70/委託18号報告書の内部統制記述書と委託会社の内部統制

SAS70/委託18号報告書の内部統制記述書と委託会社の内部統制

SAS70対応コンサルティングの内容

受託会社と委託会社のそれぞれの内部統制の方針及び手続きが及ぼす相互の影響度チェックの仕組みづくりの支援
1.内部統制システムの構造の可視化
2.委託会社の財務諸表に影響を与える可能性のある固有リスク
3.SLAによって合意しているサービス(システム)の信頼性

監査準備のための、監査計画策定の支援
1.受託内容の確認及びその性質
2.潜在的な虚偽表示の種類の特定
3.重大な虚偽表示のリスクに影響を与える要素の検討
4.テスト定義の策定
5.監査対象となるテストデータの範囲
6.パフォーマンスの記録

ITサービス受託企業向けコンサルティングの内容

受託会社と委託会社のそれぞれの内部統制の方針及び手続きが及ぼす相互の影響度チェックの仕組みづくりの支援
1.内部統制システムの構造の可視化
2.委託会社の財務諸表に影響を与える可能性のある固有リスク
3.SLAによって合意しているサービス(システム)の信頼性

監査準備のための、監査計画策定の支援
1.受託内容の確認及びその性質
2.潜在的な虚偽表示の種類の特定
3.重大な虚偽表示のリスクに影響を与える要素の検討
4.テスト定義の策定
5.監査対象となるテストデータの範囲
6.パフォーマンスの記録

現状分析の主要確認項目-ITシェアードサービス企業の事例

  • IT全社・全般統制のチェックリスト約250項目を満たす、整備と運用状況(COBIT for SOXベース)と相応のエビデンス
  • IT統制と業務プロセスの関連図や3点セット
  • 設計・開発と変更プロセスの3点セット
  • 自社開発ソフトのドキュメントの整備・運用状況
  • 業務フローとシステムの自動化されたコントロールを可視化するとともに、統制が機能していることに対し相応のエビデンス
現状分析の主要確認項目-ITシェアードサービス企業の事例