受託業務に係る内部統制の保証報告書とは？

受託業務に係る内部統制の保証報告書（日本：3402報告書、米国：SSAE18報告書等）をご存じでしょうか？

サービス提供会社からすると、会計監査や内部統制監査において、外部委託先の内部統制のデザインの適切性や運用状況の有効性に関する情報を入手することができる報告書になります。

保証業務実務指針3402　受託業務に係る内部統制の保証報告書に関する実務指針

今回はサービス提供側から、この報告書の取得の必要性とそのための対応について記載します。

取得を必要とする背景

昨今、ASPやクラウドサービスの利用が一般的になってきており、会計監査が必要な会社がASPサービスを選定する際には、委託先の内部統制が報告書を入手可能か否かという事が一つの選定基準になってきている状況です。

実際にITツール選定に際して、会計監査の対象になる領域での使用が想定されれば、いかに良いサービスだとしても、委託先の内部統制が確認できないような監査権の制約やこれら報告書を入手できないようであれば、他社を選定する事もあり得ます。

このため、他社との差別化や会計監査を受けるような企業をターゲットとしているサービス提供会社は、これらの内部統制の保証報告書の取得を検討することが必要なのではないかと個人的には考えています。

なお、給与計算業務や会計処理業務、クラウドサービス、データセンター、業種特化のサービス業務以外に、非パブリックブロックチェーン（コンソーシアム型またはプライベート型ブロックチェーンを活用したサービス）等のサービスを対象とした受託業務を対象と想定しており、多くの顧客から業務委託するサービスを提供する会社ほど、サプライチェーンの監査コストや労力を考えた取得のための、内部統制構築を検討する必要があります。

取得のために必要な対応

では、内部統制構築をする必要があると記述しましたが、監査を受けたことがない会社からすると内部統制そのものの理解も難しいかもしれません。内部統制自体の説明は以前のブログを参照ください。

ここでは、3402保証報告書取得に向けて、具体的にはどんな対応を実施すればよいのかが論点となりますが、それは上述した保証業務実務指針3402を参考にすると次の通りと言えそうです。

具体的な対応

7項の受託会社監査人の目的から、受託会社としての対応を読み取ると、（1）合理な保証を得られるように、記述書にて、業務方針や手続を全ての重要な点において記載する事（2）内部統制が全ての重要な点において有効に整備・運用することになります。

実務的には記述書に業務方針と手続を記載した上で、公開することになるので、必要な範囲で公開する情報としない情報を必要な範囲で整理することにも労力を要しますし、整理の過程で内部統制についても見直しブラッシュアップすることもあり、業務の見直しも行わることになります。

(1)　適合する規準に基づき、以下に関する合理的な保証を得ること。
①　受託会社のシステムに関する記述書が 、タイプ２の報告書の場合、特定期間にわたって（又は、タイプ１の報告書の場合、基準日現在に）デザインされ業務に適用されているシステムをすべての重要な点において適正に表示していること。
②　受託会社のシステムに関する記述書に記載された統制目的に関連する内部統制が、タイプ２の報告書の場合、特定期間にわたって（又は、タイプ１の報告書の場合、基準日現在に）すべての重要な点において適切にデザインされていること。
③　タイプ２の報告書の場合、受託会社のシステムに関する記述書に記載された統制目的が特定期間にわたって達成されていたという合理的な保証を提供するよう、内部統制がすべての重要な点において有効に運用されていること。

(2)　受託会社監査人の発見事項に従って上記(1)の事項について報告すること。

保証業務実務指針3402 7項

なお、報告書にはタイプ1（評価時点：基準日現在）とタイプ2（評価時点：特定期間）がありますが、タイプ2でないと利用する側にとっては有意義なものではないので、タイプ2の取得を前提とすることになります。

終わりに

世の中的にはASPやクラウドサービスは一般的になっていますが、利用者側がどのサービスを利用するかという判断においては、これら報告書を取得しており、利用することが可能か否かを選定基準としている上場会社も少しずつ増えてきています。

これら受託会社保証報告書の取得を前提に、業務の見直しや内部統制の構築をご検討してはいかがでしょうか？

その際は、ITに精通した公認会計士が所属するうみもと公認会計士事務所へお気軽にお問い合わせください。