クラウドで内部統制が社外に 第三者による保証も有効

クラウド時代の「運用の常識」(第10回)

クラウド利用の課題の一つは、サービスの利用者(委託会社)と提供者(受託会社)の間で、いかに内部統制をうまく進めるかだ。委託会社は利用に関する内部統制を向上させる必要がある。一方、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。

 委託会社としては、委託先でどのような統制活動がなされているのかを理解し、自社のリスクがどのようにコントロールされているのか把握しなければならない。その上で、自社の統制目標が達成されているのか、達成されていない場合は補完的統制をとるのかなどを、受託会社と契約書の上で合意する必要がある。

 また契約書どおりに設計、運用されているかを確認する必要がある。受託会社の内部統制状況を確認するために、受託会社に直接監査に入り確認する必要も出てくる。このような例は、アウトソーシングといった従来の外部委託においても当てはまる。

 現在、委託会社と受託会社間の内部統制に関する責任範囲に明確な基準はない。互いに妥協点を探りながら、責任範囲が不明確なまま運用しているケースが多く見られる。

第三者が内部統制を保証

 SOX法への対応では、受託会社の内部統制の基準として、SAS70(Statement on Auditing Standards No.70)または日本における監査基準委員会報告書第18号を利用し、財務報告に関わる委託業務の内部統制が合理的に保証できていることを確認しているケースが多い。

 近年、財務報告だけでなく、会社法や個人情報保護法などの法令順守、BCP/DRなどの事業継続運用に関するリスクコントロールの必要性が増してきた。しかし、SAS70などは財務報告に関する内部統制の報告書であり、財務報告以外の法令順守や信頼性、可用性や安全性など運用の内部統制を保証する報告書ではない。ところが委託会社は、SAS70報告書があれば受託会社の法令順守や運用に関する内部統制まで保証できるとの誤った認識を持ち、受託会社にその保証まで求めてくる場合が見受けられる。

 このような内部統制上の委託会社と受託会社間のギャップを埋めるために、第三者による国際的な外部保証制度が整いつつある。

野村総合研究所 システムマネジメント事業本部
ITサービスマネジメント推進部

徳地 隆弘
SOX法対応のIT全般統制、ISO/IEC 20000対応のITサービスマネジメントシステムの
設計、構築、運営に携わる。企業のIT運営の企画、設計が専門。
ITIL V3エキスパート、CISA(公認情報システム監査人)、
CIA(公認内部監査人)、システムアナリスト資格を保有。itSMF Japan理事。
(著者プロフィールは執筆時のものです)

お問い合わせ

株式会社 野村総合研究所
クラウドサービス本部
TEL:03-6706-0331
E-mail:sysm-info@nri.co.jp

ページのトップへ