クラウドで内部統制が社外に 第三者による保証も有効

クラウド時代の「運用の常識」(第10回)

クラウド利用の課題の一つは、サービスの利用者(委託会社)と提供者(受託会社)の間で、いかに内部統制をうまく進めるかだ。委託会社は利用に関する内部統制を向上させる必要がある。一方、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。

 2010年、米国公認会計士協会(AICPA)は、受託会社の内部統制に関する3種類の報告書(Service Organizations Control (SOC) reports)を公開した(表3)

表3●SOCレポートの概要



(1)SOC1:委託会社の財務諸表に関わる受託業務の内部統制保証報告書。従来のSAS70に代わる新基準である、米国保証業務基準SSAE16のこと。2011年6月15日以降に終了する報告書の対象期間から適用される。受託会社監査人の行う業務は、SAS70においては監査業務であるが、SSAE16では受託会社の内部統制に対する責任をより強調することにより、保証業務とされた。

 SAS70との違いは、報告書の内容に、受託会社のシステムの記述書が含まれることである。システム記述書には、システムの構成要素(システム基盤、ソフトウエア、人、手続き、データ)、システムの対象範囲、プロセスフローが含まれる。さらに、その記述書が適正であり、記述書に記載された統制目的に関連する内部統制が適切に設計され有効に運用されていることに対する受託会社のアサーション(意見表明)が含まれる。

(2)SOC2:SOC1に比べてより広範囲かつ包括的に受託業務の法令順守や運用の内部統制を保証するものである。委託企業のITガバナンスにおける統制の有効性や効率性の評価の手助けとなる。規準には以下の5項目があり、そのうち1項目以上を含むとしている。

①セキュリティ:システムが(物理的、論理的双方の)未承認のアクセスから保護されている

②可用性:システムは約束あるいは合意した通りに運用され、利用が可能である

③処理の整合性:システム処理は完全で、正確で、タイムリーで、承認されている

④機密保持:機密と指定された情報が、約束あるいは合意したとおりに、保護されている

⑤プライバシー:個人情報が、企業のプライバシー規定やAIPCAの定めた一般的に受け入れられているプライバシーの原則に従って、収集、利用、保持、開示されている。

(3)SOC3:従来のTrustサービスと同じ位置付けである。ITサービス事業者がブランディングや競争戦略上、信頼のあるITサービスであることを一般に知らせる目的の報告書である。対象サービスのWebサイトや広告にSOC3シールを貼ることができる。

 規準は、すでに定義されている「適合するTrustサービス規準及びその例示」である。SOC2でもこの規準は採用されている。

野村総合研究所 システムマネジメント事業本部
ITサービスマネジメント推進部

徳地 隆弘
SOX法対応のIT全般統制、ISO/IEC 20000対応のITサービスマネジメントシステムの
設計、構築、運営に携わる。企業のIT運営の企画、設計が専門。
ITIL V3エキスパート、CISA(公認情報システム監査人)、
CIA(公認内部監査人)、システムアナリスト資格を保有。itSMF Japan理事。
(著者プロフィールは執筆時のものです)

お問い合わせ

株式会社 野村総合研究所
クラウドサービス本部
TEL:03-6706-0331
E-mail:sysm-info@nri.co.jp

ページのトップへ