NECは2008年7月8日、顧客企業から請け負っているシステム開発や運用について、「監査基準18号」に基づく報告書を提供するサービスを実施すると発表した。
日本版SOX法(J-SOX)では、J-SOX対応の対象としている業務やシステムなどを外部に委託している場合、委託元が委託先の内部統制の整備・運用状況を評価することになっている。今回のサービスは顧客企業の評価作業の軽減を目指したもの。顧客企業は監査基準18号に基づいた報告書を受け取ることで、NECに委託しているシステム開発や運用について内部統制の整備・運用状況の評価を省くことができる。
今回、NECが報告書作成の対象にするのはシステムの設計や開発、運用など「顧客企業ごとに委託内容が異なる作業も対象にする」(NEC)。一般的に監査基準18号に基づいた報告書は、データセンターでの運用業務など、複数の顧客に同一のサービスを提供する場合に作成する場合が多い。
NECは社内に専門要員を用意。顧客企業から報告書作成の依頼があった際に、金融システム情報システムセンター(FISC)の監査指針や、ITガバナンスの事実上の標準のフレームワークである「COBIT」などを参考に、対象となる業務の内部統制を整備・運用し、最終的に大手監査法人の監査を受けるという手順で報告書を作成する。
NECはすでに地銀向け勘定系システムなどを対象に監査基準18号に基づく報告書の作成準備を進めており、09年3月に監査法人の監査を受けて報告書を作成する計画である。
費用は「顧客企業ごとに委託業務の内容が異なるため、見積もりを行う」(NEC)としている。一般的に監査基準18号に基づく報告書を作成するためには数百万~数千万円かかる。監査基準18号の正式名称は「監査基準委員会報告書第18号委託業務にかかる内部統制の有効性の評価」。委託業務について内部統制の整備・運用状況の監査方法を定めたものである。
