2006-12-14

委託業務の評価とSAS70

先に公開された実施基準案では、委託業務に係る内部統制の評価について以下の記述があります。

経営者は、委託業務に係る内部統制について、当該委託会社が実施している内部統制の整備及び運用状況を把握し、適切に評価しなければならない。その際には、以下の手続のいずれかにより内部統制の有効性を評価することも考えられる。

a. サンプリングによる検証
委託業務結果の報告書と基礎資料との整合性を検証するとともに、委託業務の結果について、一部の項目を企業内で実施して検証する。例えば、給与計算業務について、委託会社に委託した給与データの対象人数を委託会社から受領した計算データの件数と、企業において比較するとともに、無作為に抽出したその一部について、企業において検算を実施する。

b. 委託会社の評価結果の利用
委託業務にかかる内部統制の整備及び運用状況に関しては、経営者は、委託業務に関連する内部統制の評価結果を記載した報告書等を委託会社から入手して、自らの判断により委託業務の評価の代替手段とすることが考えられる。
その際、経営者は、当該報告書等が十分な証拠を提供しているかどうかを検討しなければならない。

法適用までの時間的制約や作業の効率性を考慮すると「b. 委託会社の評価結果の利用」を採用する企業がほとんどかと思われます。そこで注目されているのが、SAS70号であり、公認会計士協会基準の18号です。「委託業務に関連する内部統制の評価結果を記載した報告書」に相当するものです。

分かりやすく説明されている記事がありましたのでご紹介します。
課長M男の営業日誌 SAS70号(日経ソリューションビジネス 2006/11/30)

より詳細な説明はJ-SOX法110番の記事にありますので、併せてご紹介します。
SAS70と18号(1)(J-SOX法110番 2006/9/17)
SAS70と18号(2)(J-SOX法110番 2006/9/25)