SSAE16ってなんだ?

カテゴリー: サービス情報, 技術情報   パーマリンク
このエントリーをはてなブックマークに追加

【2014/4/28追記】2014年3月28日付で「IIJ GIO仮想デスクトップサービス」「IIJ GIO統合運用管理サービス」においてもSSAE16 Type2報告書を受領しました。


技術統括部の纐纈(こうけつ)です。IIJ GIOサービスでは、品質セキュリティに関する業務を担当しています。

IIJ GIOコンポーネントサービスは、SSAE16に準拠したSSAE16 Type2報告書を2012年3月21日付で受領しました。

…とはいっても、一般的には馴染みのない単語ですよね「SSAE16」って。
今回は、この謎の単語「SSAE16」に関するお話です。

1. SSAE16とは

SSAE16とは、Statement on Standards for Attestation Engagements No.16の略で、米国公認会計士協会が定めた、受託業務(各種アウトソーシングサービス等)を行う会社の、内部統制の有効性を評価する保証基準です。

…さっぱりわかりませんね…

少し長くなりますが、歴史的背景から説明してみたいと思います。

2. 巨額粉飾事件

発端はアメリカで発生した巨額粉飾事件でした。細かい数値は正しくないかもしれませんが、その辺りはニュアンスで感じ取ってください。

  • 2001年 エンロン事件 負債総額:310億$
  • 2002年 ワールドコム事件 負債総額:410億$

連続して発生した巨額粉飾事件に対処するため、財務報告の有効性評価を義務付ける法律が制定されました。

  • 2003年 SOX法(上場企業会計改革および投資家保護法)
    ※法案を提出したPaul Sarbanes、Michael G.Oxleyの名前からサーベンス・オクスリー法(SOX法)と呼ばれています。

特に注目すべきは、SOX法の第404条です。
財務報告に係る内部統制の有効性を評価した内部統制報告書の作成と、公認会計士による内部統制監査が義務付けられています。
日本でもSOX法に倣って、2007年に金融商品取引法が改正されました(通称J-SOX法)。

3. 内部統制

さて、SOX法やJ-SOX法で義務付けられている「内部統制」とは一体どのようなものでしょうか?

企業会計審議会の資料によると、「内部統制」は以下のように定義されています。

「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。」

(出典:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)/企業会計審議会/平成23年3月30日)

少々乱暴に要約するなら、「業務の適正さを確保するための体制(フレームワーク)」と言えるのではないでしょうか。

4. 受託会社の統制

内部統制が必要な業務(システム)の一部(全部)を外部に委託した場合は、委託先(受託会社)も統制対象となります。
さて、どうやって、受託会社を「統制」しましょうか…

  • ケース1:受託会社を監査する(第二者監査)
  • ケース2:受託会社から、内部統制の整備/運用状況に関する報告書を提出してもらう

何となく、先が読めた方もいらっしゃるのではないでしょうか。そう、ケース2において、受託会社から提出された内部統制に関する報告書の有効性を評価する仕組みこそ SSAE16なのです。

5. 参考資料 SOC

提供しているサービスの各種内部統制状況を報告する枠組みとして、米国公認会計士協会が定めた様式にSOC(Service Organization Control)と呼ばれるものがあります。
SOCは、対象となるリスク・利用目的に応じて、SOC1、SOC2、SOC3 の3種類に細分化されており、SSAE16はSOC1におけるUSA基準です。以下に、まとめた表を示します。

SOC1 SOC2 SOC3
対象リスク 委託会社の財務諸表に関するリスク 可用性、機密性、セキュリティ、プライバシー、完全性 同左
利用目的 委託会社の財務諸表監査 コンプライアンスまたはオペレーションに関連する内部統制の報告 同左
国際基準 ISAE3402
USA基準 SSAE16 AT101 / SOC2 GUIDE AT101 / SOC3
日本基準 86号(18号)監査 情報セキュリティ検証業務 各種TRUSTサービス

6. 2つのSSAE16報告書

SSAE16はアウトプットとして、報告書が作成されます。
この報告書は2種類あり、それぞれ、Type1、Type2と呼ばれています。

Type1(時点評価)

  • ある時点において、内部統制の仕組み(規定やワークフロー)があることが保証されます。
  • 内部統制には全社統制とIT統制があり、それぞれ、統制記述書にて詳細が記されます。
  • 監査法人が統制記述書の内容を評価し、意見表明が添えられます。

Type2(期間評価)

  • Type1の評価に加え、ある期間、ルールどおりに内部統制が実施されているかどうかが保証されます。
  • 監査法人が、統制記述書どおりに運用されていることを確認(監査)し、意見表明が添えられます。

穿った見方をするなら、SSAE16 Type1を取得している委託先では、内部統制のルールは整備されていても、実情が伴っていない可能性もあるということです。
IIJ GIOコンポーネントサービスでは、SSAE16 Type2を取得しています。

7. SSAE16報告書の使い方(使われ方)

SSAE16報告書は、委託会社が受託会社(IIJ)の内部統制に関する整備/実施状況を評価する際に、委託会社ならびに委託会社監査人によって利用されます。
以下に、図示します。

SSAE16報告書の使い方

各委託会社は、SSAE16報告書を利用することで、受託会社を監査する手間が省けるというメリットがあります。また、受託先選定時の基準とされるケースも多いことでしょう。

8. あとがきに変えて

SSAE16報告書は、Type1、Type2に関らず、監査人の意見表明が添えられます。
監査人が評価した結果、ルール不足や、ルールどおりに実施されていないケースが発見された場合は、「例外事項」として報告書に記述されます。
この「例外事項」に関する経営者の反応にお国柄がでるという話を、とある監査法人の方から伺いました。曰く、
欧米の経営者:「例外事項」が1つくらいあって当然である
日本の経営者:「例外事項」は1つもあってはならない

IIJ GIOの報告書に「例外事項」はあるかって?
ぜひ、お手に取って確認してみてください。

(技術統括部 纐纈:ISO/IEC 20000(ITSMS)審査員補、ISO 9001(QMS)審査員補)

コメントは受け付けていません。