野村総合研究所(NRI)は2007年11月1日、「監査基準18号」に基づく監査報告書を作成する体制を整えたと発表した。日本版SOX法(J-SOX)対応企業の、外部委託先に対する統制評価の負担を軽減するのが目的だ。TISやCSKシステムズなども体制を整え、提供する計画だ。
J-SOXでは、「委託した業務の統制の整備・運用状況は、委託元の企業が評価・監査する」ことが求められている。しかし「セキュリティなどの問題から、ユーザー企業が委託先の内部統制の状況を評価・監査することは難しい」(米SOX法に対応した企業の担当者)のが実情だ。そこで登場するのが、外部委託業務における内部統制運用状況の監査基準である「監査基準18号」だ。
外部委託先であるITベンダーが監査基準18号に基づいた報告書を提出すれば、委託元企業は監査人を派遣する必要がなくなる。NRIは、J-SOXが適用になる09年3月以降から順次、顧客企業に報告書を提出する。TISは08年3月以降に終了する決算期から監査基準18号に基づいた報告書の作成を始める計画。CSKシステムズは「現在準備中で、08年4月には体制を整えたい」(広報)とする。NECは、「現状は個別企業から依頼があれば作成するが、今後、きちんと体制を整える可能性がある」(同)という。
このなかで注目すべきは、NRIの対応だ。他社が「顧客から要求があれば監査基準18号に基づいた報告書を提出する」という立場なのに対してNRIは、「開発、運用・保守の全受託業務について、原則、J-SOX適用対象となる顧客すべてに提出する」からだ。
正式名称が「監査基準委員会報告書第18号」である「監査基準18号」は本来、ASP(アプリケーション・サービス・プロバイダ)形式のサービスのように、同一のサービスを複数に提供している場合を想定している。システムの開発、運用・保守のように顧客ごとに手順が異なるようなケースでは、全顧客に対して18号報告書を作成することは難しい。個別に対応するとなるとそれなりの工数がかかり、「1システム当たり数千万円」はすると言われている。費用はユーザー企業が負担するのが、原則だ。
NRIはこうした問題を解消するため、「全社展開する開発標準や運用・保守マニュアルにIT統制の要件を織り込み、体制も変えた」(品質監理部の森田太士主任専門スタッフ)。具体的には、監査に必要な証拠文書の作成、職務分掌を実現するための担当者の配置見直し、操作ログ取得ツールの導入、セキュリティの強化といった統制項目の整理、などを行った(図(1))。さらに、「自動で統制を整備できるもの」と「マニュアル(手動)のもの」をパターン化することで、システムごとの違いを吸収(図(2))。そのうえで、「顧客企業に対し、変更依頼を文書化するなどの協力を要請する」(森田氏)といった工夫をしている(図(3))。NRIは監査法人と協議しながら、約2年をかけて準備した。ユーザー企業に請求する費用は「報告書を作成するまで不明」とするが、1000万円を切る場合もありそうだ。
 |
| 図●野村総合研究所の「監査基準18号」に基づいた報告書の作成の仕組み |
