情報システムの運用など業務委託先の監査を簡略化する「SAS70」が注目を集めている。日本版SOX法の関係で、ユーザー企業から対応を求める圧力が強まりそうだ。
日本版SOX法の施行まで1年半と迫る中、ソリューションプロバイダはユーザー企業の内部統制への取り組みに対応するため、自身にも“内部統制”が求められようとしている。米国公認会計士協会が定める監査基準「SAS70」への対応だ。SAS70に対応しないソリューションプロバイダは今後、商談レースのスタートラインにすら立てない可能性が高い。
既に野村総合研究所(NRI)やTISが対応に着手した。国内のソリューションプロバイダでありながら米国の監査基準に対応する理由は、米国で上場する日本企業の求めに応じるため。2006年7月以降の決算日から、米国上場の日本企業も米SOX法の適用対象になる。このため、内部統制の整備を進めている約40社の米国上場企業が、基幹システムの開発/運用の委託先であるNRIやTISに、SAS70への対応を求めているのだ。
委託先の監査は報告書で完結
米SOX法では、ユーザー企業だけでなく業務の委託先の企業にも内部統制を求めている。情報システムの開発/運用を請け負うソリューションプロバイダも、もちろん対象だ。ただ、委託先が複数あると、それだけ監査すべき対象が増え、大きな負担になってしまう。監査を受け入れるソリューションプロバイダにも、新たな負担が生じる。
そこで、SAS70が注目を集めるようになった。SAS70は、ユーザー企業による立ち入り監査を、監査法人などの外部監査人が作成した報告書で代替できるようにする。ユーザー企業は、報告書を精査することで、自社の内部統制に合致するかどうかを判断する。
SAS70は、米SOX法の制定以前に定められた。それまでは、主に顧客の資産を預かって運用する金融サービスの監査に利用されてきた。それが米SOX法の施行後、データセンターや情報処理サービスなどITサービスへ広がった。
SAS70は日本版SOX法に有効
同様な動きは、日本版SOX法対策でも確実に起こる。既に“日本版SAS70”とも呼べる監査基準「18号監査」も存在している。18号監査もまた、日本版SOX法の制定以前に定められた。信託銀行を中心に多くの企業が対応済みだ。
この18号監査の内容は、SAS70とほぼ同じ。違いは報告書が日本語か英語かということぐらい。このため、「SAS70の報告書に日本語訳を添付することで、18号監査の報告書の代わりとして有効に機能するのではないか」(みずす監査法人の瀧口詠子シニアマネージャー公認会計士)という意見もある。
実際にSAS70が日本版SOX法に対して有効に機能すると明言するには、金融庁が公開を予定する日本版SOX法のガイドライン「実施基準」を待つ必要がある。しかし、実施基準では委託先の監査の必要性は明記しても、その具体的な手段までは明記されない見通しで、SAS70が有効かどうかは実務上の取り扱いの問題になりそうだ。
しかし、先の通りそもそも18号監査の内容は、SAS70とほぼ同じ。ソリューションプロバイダはSAS70への対応を進めておけば、そのまま日本版SOX法に対応した委託先監査への備えとなる。
本記事は日経ソリューションビジネス2006年10月30日号に掲載した記事の一部です。図や表も一部割愛されていることをあらかじめご了承ください。
同誌ホームページには,主要記事の概要や最新号およびバックナンバーの目次などを掲載しておりますので,どうぞご利用ください。
・日経ソリューションビジネス・ホームページ
・定期購読お申し込みや当該号のご購入
