現在、大部分の企業が業務委託を行っている。例えば、SaaS、IaaSなどクラウドサービスの業務活用も業務委託である。こうした委託先の判断基準として「SOCR:Service Organization Controls Reporting」(受託業務に係る内部統制の保証報告書)が利用されている。
米国では一般的な報告書だが、日本でも浸透してきているという。対象リスクやユーザーにより「SOC1」「SOC2」「SOC3」があるSOCRについて、新日本有限責任監査法人のシニアパートナー 遊馬正美氏、シニアマネージャー 冨樫健氏の2人に話を聞いた。
ZDNet:SOCRとは何ですか?
冨樫氏: SOCRとは、「Service Organization Controls Reporting」の略です。「受託業務に係る内部統制の保証報告書」という意味で、業務を外部に委託している場合に、委託先における委託業務に係る内部統制の状況を把握し、その有効性の評価に利用するための報告書となります。
平たく言えば、さまざまな企業が利用しているアウトソーシング・サービスに関して、業務を請け負っている側と監査法人とが主体となり、委託されている業務がどのように統制されているのかを可視化した報告書となります。
SOCRは、公認会計士などが行う保証(アシュアランス)業務に位置付けられており、監査法人が実施する「財務諸表監査」や「内部統制監査」と同じ枠組みです。
公認会計士などが行う保証(Assurance)業務の概念(出典:「公認会計士等が行う保証業務等に関する研究報告」:日本公認会計士協会/監査・保証実務委員会報告第20号:平成21年7月1日)
例えばA社の財務報告に係る内部統制を評価するに当たって、財務諸表作成にまつわる情報システムの設置、運用、保守などをB社というデータセンターに委託していたとします。購買業務や経理業務、販売業務といった業務プロセスの一環として、購買システム、経理システムおよび販売システムへのデータ入出力などの事務処理は、A社のルールに基づきA社の担当者が実施していたとしても、B社に存在する各システムのアプリケーションに係るサーバ、ネットワーク機器などの管理がどうなっているのか気になるかと思います。このB社が実施している業務について、その内容が重要な統制となる場合、A社の委託会社監査人はB社を評価しなければなりません。
委託会社監査人が外部委託先(受託会社)の内部統制を評価するには、外部委託先(受託会社)に対し、質問書への回答を依頼する「質問書の回答受領」、外部委託先(受託会社)を訪問し、直接監査を実施する「外部委託先(受託会社)への監査」、外部委託先(受託会社)から保証報告書を入手する「保証報告書の入手」の、主に3つの方法があります。
この3種を比較すると、「質問書の回答受領」は質問した内容のみへの回答ですから、網羅的ではありません。また、基本的に委託先は“いいこと”しか書きません。自己申告ベースなので、裏付けも取れないわけです。
そこで確度を高めたものが「外部委託先(受託会社)への監査」です。監査人が委託先に直接乗り込むのですが、やはり質問に対する回答という形式を取りますので、質問に漏れがあったり、確認が不十分であったり、監査人のスキルに依存することになります。また、データセンターやクラウド事業者には多数の顧客がいますから、一件ずつの監査に対応していたら監査を受ける側も大変です。
そこで、よりよい方法ということで、「保証報告書の入手」、つまりSOCRが利用されているのです。保証報告書は、監査法人や公認会計士が第三者として監査基準にのっとって監査をしますので、網羅性や透明性も十分確保できます。また、最終報告書には、受託会社が「こうやります」と開示している情報に関して、その通りにできていたかどうかを“全てそのまま”書かれます。情報を確認する側から見れば、心証がぐっと高まった情報と言えます。