アウトソーシング事業者向け内部統制評価支援 SOC保証報告書(System and Organization Controls Reporting)
業務のグローバルアウトソーシングが急速に拡大している中、その戦略上、サービスプロバイダーにおける業務・プロセス・処理結果への信頼性と透明性の向上が不可欠です。
クラウドサービスの活用をはじめ、情報システムの開発、保守、運用や、企業にとって重要なビジネスプロセスの外部委託の拡大に伴い、業務を受託する側(以下、受託会社)への情報セキュリティや受託業務の品質について、リスク管理態勢や内部統制の高度化要求が高まっています。
受託会社では内部管理態勢の強化を推し進めるとともに、SSAE18や保証業務実務指針3402などの第三者保証の報告書を取得し委託会社へ開示しているものの、受託サービスの商品価値向上に十分に活用できていない事例が見受けられます。
PwCでは、保証報告書を価値の高いものにするために、単に第三者保証報告書を発行するだけでなく、どのようなステークホルダーに対してどのような保証を得るべきか、さまざまな監査を通じた知見やグローバルの事例を用い、保証スキームの計画段階から第三者保証制度を活用した受託サービスの強化を支援します。
SOC 1:財務報告に関連する内部統制の保証報告
外部に委託した業務における財務報告に関連する内部統制を受託会社が文書化した上で、その内容が現状を正しく反映していることと、その統制手続が遵守された場合に統制目的が達成されることを独立した監査人が評価し、報告書を発行します。
本報告書は、国際保証業務基準(ISAE3402)に基づき策定された下記の指針・基準に基づき発行します(※本サービスは、旧SSAE16、旧SAS70、旧18号、旧86号に該当します)。
- 日本公認会計士協会(JICPA) 監査・保証実務委員会 保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」(※旧18号、旧86号)
- 米国公認会計士協会(AICPA) 保証業務基準書第18号(SSAE18)「受託会社の統制に関する報告」(※旧SSAE16、旧SAS70)
なお、本報告書は、委託会社の財務報告に関連して、受託会社監査人が、下図の各事項について意見を表明する報告書であり、TypeIとTypeIIの2種類があります。
TypeIは、基準日時点での評価となり、一方、TypeIIは期間を対象とした評価となります。
第三者保証制度を活用できていますか?
受託会社において、第三者保証制度の活用に関し、さまざまな課題が認識されています。
- 保証報告書(ISAE3402/SSAE18/保証実3402)を取得しているものの、ただ取得しているだけで業務改善などに活用できていない。
- リスク管理態勢や情報セキュリティの管理態勢を整備しているが、委託会社へのアピールや競合他社との差別化につなげられていない。
- 保証実3402/SSAE18(AT-C320)の報告書の対象範囲・統制目的が、委託会社の利用目的を十分に考慮したものではなく、報告書の利用方法や内容について追加的な問い合わせ対応が発生している。
- 委託会社の外部委託管理態勢の強化に伴い、新たにセキュリティ管理態勢にかかるチェックリストなどへの回答を求められており、対応負荷が高い。
- 保証実3402/SSAE18(AT-C320)の報告書は財務報告目的の内部統制を対象としているため、財務報告目的以外の範囲について内部管理態勢の開示・保証対応に苦慮している。
ニーズの変化や全体的な枠組みの考慮不足と評価業務の単純作業化
これらの課題の主な原因は、受託サービスの内部管理態勢について、委託会社のニーズの変化や全体的な枠組みの考慮不足によるもの、評価業務の単純作業化の2点が考えられます。
委託会社のニーズの変化や全体的な枠組みの考慮不足
これまで、形式的に保証実3402/SSAE18(AT-C320)の報告書を取得していたものの、サービス・レベル・アグリーメント(SLA)やモニタリング活動、日々の報告業務との関連性や委託会社ニーズの変化について、全体的な枠組みの観点から十分に検討を実施しておらず、その結果として、保証実3402/SSAE18(AT-C320)の報告書の対象範囲・統制目的の妥当性、受託サービスの差別化につながるその他の保証業務などの必要性について見直しが十分でない場合が考えられます。
評価業務の単純作業化
保証実3402/SSAE18(AT-C320)の評価業務において、受託会社は監査法人から指示された証跡を毎回提出するのみの単純な作業となり、一方の監査法人も保証実3402/SSAE18(AT-C320)の評価範囲においてリスクがない限りは改善ポイントを受託会社に報告しないケースなど、互いに報告書発行に必要な作業を淡々と実施するだけになっていることが考えられます。
PwCを利用いただくメリット
PwCでは、評価作業の実施前に、委託会社のニーズを考慮した全体的な枠組みの検討を支援し、効果的な第三者保証制度の導入や対象範囲の決定の実現に寄与します。また、委託会社へのサポート強化に資する目的として、報告書の内容や活用に関する助言も行います。評価作業では、保証制度の範囲に限らず、管理態勢の改善効果が高いと思われる点についても積極的に報告します。
ホットトピック
外部委託契約から享受できる価値の劣化を克服
外部委託契約の管理に包括的なアプローチを適用し、契約再交渉・契約更改および契約終了の管理を適切に行うことを通じて、契約から享受できる価値の劣化を克服します。
ベンダー・コントロールの保証 (SOC 2+): 顧客の信頼を構築するための費用効率の高いアプローチ
サポート業務のみならず、基幹業務についても、アウトソーシングサービスの活用が急速に拡大しています。更なるコスト削減を求め、企業はコアビジネスの活動の支援に外部委託先がこれまで以上に大きな役割を果たすことを求めています。
このような環境下、受託会社に対する内部統制透明性向上の要請が強まっており、受託会社は、顧客企業からのリスク管理のための質問状への対応や現地監査への対応のため、多大なリソースを費やしています。
解決策として、ベンダーコントロール保証レポート (SOC 2+) を活用することで、受託会社も顧客企業も共に貴重な時間と資金を節約することができます。アウトソーシングのリスクを管理し、ベンダーコントロールについて保証を提供します。
SOC 2 および SOC 3: 保証報告書で顧客の信頼を構築
コスト削減および業務効率向上の手段として、アウトソーシングのグローバル市場に対する注目がますます高まっています。また委託先の業務に対する保証を得るために、顧客企業は独立監査人による SOC 保証報告を求めています。
フィンテック企業の SOC 保証報告
顧客企業のニーズに適合したSOC 2+保証報告を提供することにより、フィンテック企業はサービスを差別化し、戦略上の競争優位を手にすることができます。
