NPO法人 ITガバナンス研究機構(NPOITG)
86号監査(SSAE18)サポートサービス
受託業務を行う企業は、委託元からの内部統制評価要求に応える義務があります。NPOITGが86号監査報告書の取得を、ITGCの点検から監査報告書発行まで一貫してサポートします。
こんな状況に直面していませんか?
⚠ j-SOX対象の委託元から「御社の内部統制を証明する書類を提出してほしい」と求められていませんか? 受託業務の内部統制評価を怠ると、取引継続が困難になるケースが増えています。
j-SOX対象企業(上場企業等)が業務を外部委託している場合、委託先(受託企業)に存在するリスクも財務報告の虚偽表示リスクとして扱われます。そのため、受託会社は自社の内部統制を評価・証明しなければなりません。
この評価制度が「86号監査」です。日本公認会計士協会の監査・保証実務委員会実務指針第86号に基づき、監査人が受託企業の内部統制を評価・報告します。
SOCレポートとの関係
86号監査報告書は、米国のSSAE18(旧SAS70)に基づく「SOC1」と同等のものとして扱われます。以下の3種類があります。
SOC 1(= 86号監査相当)
財務報告に係る内部統制
委託会社の財務報告に影響する、受託会社の内部統制を対象とした保証報告書
SOC 2
受託業務全般の内部統制
セキュリティ・可用性・処理の完全性・機密保持・プライバシーの5指標から任意に選択
SOC 3
一般公開向け報告書
SOC2と同様の主題だが、不特定の利用者に公開するための簡略版報告書
タイプ1・タイプ2の違い
| 種別 | 内容 | 主な用途 |
|---|---|---|
| タイプ1 内部統制の整備状況報告書 |
特定の評価基準日時点で、内部統制が適切に設計・整備されているかを評価 | 初回取得、取引先への迅速な証明 |
| タイプ2 整備及び運用状況報告書 |
評価期間(通常6〜12ヶ月)にわたり、内部統制が継続的に運用されているかを評価 | 委託元の監査人対応、継続的な証明 |
NPOITGのサポートメニュー
対応の流れ
1
受託業務・対象範囲のヒアリング
委託元から求められている評価内容、受託業務の範囲、スケジュールをヒアリングし、対応方針を確定します。
2
ITGC・ITACの点検・評価
受託業務に係るIT全般統制・IT業務処理統制の整備状況を確認し、ウォークスルー・運用テストを実施します。
3
課題の改善サポート
評価で発見された不備・弱点について、監査報告書の発行前に改善対応をサポートします。
4
86号監査報告書の発行
監査人が評価結果に基づき、86号監査報告書(タイプ1またはタイプ2)を発行します。委託元・委託元の監査人へ提出できます。
委託元からの要請内容の確認から対応範囲の見積もりまで、まずはご相談ください。
お問い合わせ・ご相談はこちら