SAS70報告書 |
SAS70とは
SAS70は、米国公認会計士協会が策定した監査基準書第70号のことです。独立監査人がサービス機関の内部統制の整備状況および有効性に関し、意見表明する報告書を受領するための指針として、1992年4月に発行されており、その基準に従って受領される報告書を含め、SAS70として知られています。
SAS70報告書の種類
SAS70報告書には、タイプⅠとタイプⅡの2種類があります。タイプⅠの報告書では、サービス機関が、委託元企業の財務諸表監査に関係する自己の内部統制を記述します。そして、独立監査人は、ある基準日において、内部統制が統制目標達成のために適切に設計され、整備されているかという点についての意見を表明します。一方、タイプⅡの報告書では、タイプⅠの報告書に加え、独立監査人が、所定の期間を通じて絶対的ではないが合理的な保証を提供できる程度に内部統制が有効に運用されていたかどうかの検証を行い、その有効性について意見を表明します。
表1.トーマツが作成するSAS70報告書の標準的な構成
SAS70報告書の利用
SAS70報告書は、企業とその会計監査人がサービス機関の内部統制を検証するために、以下のように利用します。
財務諸表監査において、会計処理に関係する内部統制を識別し評価することは、必須の監査手続です。したがって、企業が会計処理に関連する業務を外部のサービス機関へ委託している場合、その企業の会計監査人は当該委託業務に関する監査を行う必要があります。会計監査人のサービス機関への監査には2つの方法があります。ひとつは、会計監査人がサービス機関において直接検証手続を実施する方法。もうひとつは、サービス機関が受領するSAS70報告書を検討する方法です。つまり、サービス機関が独立監査人の意見表明を受けたSAS70報告書を受領している場合は、会計監査人はサービス機関に対する監査をSAS70報告書の検討に代替することが可能となります。
財務諸表は企業の財務活動だけではなく、日々の様々な業務活動の結果として作成されます。つまり、企業活動のほとんどは財務諸表を構成する一要素であり、財務諸表監査の対象となります。したがって、SAS70報告書は財務諸表監査に関係する多様な業務を対象としており、米国ではデータセンター、電子認証局およびネットワークサービス企業等がSAS70報告書を受領し、Webサイト等を通じて積極的に自己の内部統制の有効性をアピールしています。一方、国内では信託銀行が受託資産の運用業務に関するSAS70報告書を受領することが契機となり、その他の分野にも普及しつつある段階ですが、今後は米国と同様に幅広い業種に展開していくことが考えられます。
メリット
複数の企業から業務を受託しているサービス機関は、各々の委託元企業の会計監査人による監査手続への対応を要請されることがあります。このような場合に、サービス機関がSAS70報告書を受領していないと、複数の委託元企業の会計監査人による複数回の監査に対応する必要が生じ、サービス機関にとって大きな負担となります。一方、SAS70報告書を受領していると、各々の委託元企業の会計監査人はSAS70報告書を検討すればよいため、サービス機関の負荷は大きく軽減されます。
図1.SAS70報告書を受領する場合とそうでない場合のイメージ
SAS70(タイプⅡ)の特徴
SAS70タイプⅡの大きな特徴は、第三者である独立監査人が一定期間における内部統制の整備状況と運用状況の有効性を監査証跡(管理帳票やログ)に基づいて詳細に検証していることです。一方、ISMSなど多くの認証規格は、Plan-Do-Check-Acionのマネジメントサイクルが適切に構築され機能していることを第三者である審査登録機関が体制と文書に基づいて審査するものであり、SAS70タイプⅡとは評価する対象や手法が異なります。
委託元企業は、サービス機関が受領したSAS70タイプⅡの報告書を見ることにより、サービス機関が構築した内部統制を具体的に把握することが可能であり、かつ、その運用の有効性を確認することができます。また、サービス機関は、SAS70タイプⅡの報告書を受領することによって、委託元企業を含めたさまざまなステーク・ホルダーに対し、委託された業務の管理が高いレベルで実施されている、という、信頼感を与えることができます。
図2.SAS70報告書の受領と他の認証規格との比較のイメージ
