ZDNet:保証報告書はどのように作成されますか。
冨樫氏: まず、受託会社から「システム記述書」と「受託会社確認書」が提出されます。システム記述書は、会社の内部統制の状況として、組織体制や役割分担、どういう規程・手続・手順でサービスを運営しているのかなどについて、受託会社自らが作成するドキュメントです。また、システム記述書に嘘偽りがないことを確認した書類が受託会社確認書です。
このシステム記述書に対して、受託会社の監査人がチェックをし、意見します。この3つ、「システム記述書」と「受託会社確認書」、それに「受託会社監査人による意見表明」がセットになって、保証報告書は完成します(後述するType1の場合)。
財務諸表監査では、保証報告書を各委託元の監査人に見ていただく形になっています。これにより、受託会社は内部統制に関する問い合わせと報告の効率化ができ、委託会社側は外部委託先管理の効率化ができます。
保証報告書の作成・利用イメージ
(後述するType2の場合)、保証報告書は、「独立受託会社監査人の保証報告書」、「受託会社確認書」、「システム記述書」に加えて、「監査人の実施した手続きに関する記述書」の4つのパートで構成されます。
独立受託会社監査人の保証報告書には、最終的に確認した結果が書かれますし、システム記述書には受託会社側がアウトソースのサービスに関して実施している内部統制の仕組みなどが、こと細かく書かれることになります。そして、監査人の実施した手続きに関する記述書では、監査人が実施した運用評価手続とその結果として、「できていること、いないこと」をしっかり書きます。
ISMSは免状でしかありませんが、保証報告書ではシステム側にどういう統制があるのかを細かく記述した読み物になっている上に、それをきちんと第三者が評価した結果もついています。ここがISMSと大きく違うところです。可視化という意味では、そこまで実施してはじめて、業務を委託する側の心証が変わるのではないかと思います。