IT全般統制の中でも、「外部委託先管理」は見落としがちです。
委託先に任せているので大丈夫と考えてしまいますが、委託元の責任として、委託先の管理が必要になります。
また、外部業者にシステムの運用を委託している企業様も多くあります。
「システム運用」は、ITに係る用語が多く出てくるため、IT関連業務に馴染みの無い担当者様は、苦手と感じているのではないでしょうか。
IT統制の『評価』を行う上のポイントを押さえれば、評価対応はできます。
今回は、IT全般統制の中でも、「外部委託先管理」「システム運用」の評価ポイントについて、解説していきます。
「委託先の選定」の概要とIT全般統制評価のポイント
「外部委託先管理」について、一見、IT統制に関係しないように見えがちですが、ITの管理業務を外部ベンダーに依頼することは一般的です。
委託先に作業を委任していても、システムの責任は委託元にあります。そのため、委託元が委託先の管理を適切に行っているかが求められます。
「外部委託先管理」には、大きくは『委託先の選定』と『委託先の管理』があります。
『委託先の選定』は、適切な手続を経た上で選定を行うものになります。
『委託先の管理』は、委託元が定期的に委託先の作業状況を監視するものです。
まずは、『委託先の選定』について、業務の概要を見ながら、IT統制上のリスクとコントロール、評価ポイントについて押さえていきたいと思います。
『委託先の選定』は、以下のステップを進めていきます。
①外部委託計画の承認
外部に委託する業務内容を明文化する
◆リスク
適切なサービスを受けられず、データの信頼性が損なわれる
◆コントロール例
外部委託に係る計画書を作成し、決裁者が承認する
◆評価ポイント
・外部に委託する内容を明確にしているか
・委託計画を適切な決裁者が承認しているか
②委託先調査
委託計画に基づき、依頼する業務の委託先の候補を調査し、選定する
◆リスク
適切に選定されないことにより、業務が止まるリスクがある
◆コントロール例
各業者の提案内容について、比較資料を作成し、承認する
◆評価ポイント
・選定する根拠を明確にしているか
・選定結果について、適切な決裁者の承認を受けているか
③委託先との契約
選定した委託先と業務内容、情報管理、サービスレベル等の取り交わしを行う
◆リスク
適切なサービスを受けられず、データの信頼性が損なわれる
◆コントロール例
SLAを含め、委託契約書の承認を受け、業者と締結する
◆評価ポイント
・委託先との契約について、承認が行われているか
・SLA(サービスレベル合意書)等、委託先の責任範囲を明確にしているか
適切な手続を経て、委託先を選定する必要があります。
また、選定に至るまでの記録が承認が求められます。
「委託先の管理」の概要とIT全般統制評価ポイント
続いて、委託元が委託先の作業状況を監視する「委託先の管理」について見ていきます。
①委託先からの報告
委託先から、定期的に作業結果や実績、問題点等の報告を受ける
◆リスク
サービスに問題があった場合の対応が遅れるリスクがある
◆コントロール例
委託先から月1回作業報告書を受領し、部門長が承認する
◆評価ポイント
・定期的に委託先から作業報告を受けているか
・作業報告を適切な管理者が承認しているか
②検査実施
委託先の作業状況をモニタリング・評価する
◆リスク
不正・誤謬が発生しても、気づかない可能性がある
◆コントロール例
問題点等があれば改善指示を行い、対応結果を確認する
◆評価ポイント
・委託先の作業結果を確認しているか
・問題点があれば、委託先に対し、改善指示を出しているか
委託先に任せきりにせず、定期的に作業状況をモニタリングすることは、委託元の責任として必要です。任せきりになっている場合、問題に気づかない等のリスクがあります。
「システム運用」の概要とIT全般統制評価ポイント
次に、外部に委託するケースが多い「システム運用」について、見ていきたいと思います。
そもそも「システム運用」とは、安定的にシステムを利用していくためのシステム管理業務を指します。ジョブの設定やバックアップ、障害管理といったものが該当します。
各システム運用の業務とそのリスクとコントロール、評価ポイントを見ていきます。
☑ジョブ設定
任意の定型化された処理をスケジューリングされたタイミングで自動的に実行するもの
◆リスク
ジョブが実行されず、適切にデータ処理が行われない
◆コントロール例
ジョブ設定申請書を作成し、部門長の承認を受ける
◆評価ポイント
・適切な承認を経たうえで、ジョブの設定が行われているか
・ジョブの設定ができる権限を持った担当者を制限しているか
☑バックアップ
データの消失等に備え、システム上のデータを定期的に保存するもの
◆リスク
適切にバックアップが実施されないと、障害発生時に、データが消失する
◆コントロール例
定期的にバックアップを実施し、実施記録を保存・承認している
◆評価ポイント
・定期的にバックアップが実施されているか
・バックアップの実施結果を承認しているか
☑障害管理
システムのトラブルが発生した際、原因を追究し、問題の解決を行うもの
◆リスク
障害が起きた際に迅速に対応できず、大きな損害を被る
◆コントロール例
原因・対応を障害報告書に記録し、部門長の承認を受ける
◆評価ポイント
・障害発生時に、原因分析・対応策の実施が行われているか
・障害対応に係る記録を残し、承認を得ているか
☑ログ管理
不正なアクセスや処理が行われていないか、処理の履歴を管理するもの
◆リスク
問題発生時、原因究明ができず、問題解決ができない
◆コントロール例
不正処理が行われた場合、警告が出る仕組みとなっている
◆評価ポイント
・定期的にログを監視しているか
・不正なアクセスや処理が行われていないことを分析しているか
システム運用というと、業務内容が分かりづらい面もありますが、各業務の概要及びリスクとコントロールを理解し、評価ポイントを押さえることにより、IT全般統制の評価は対応できます。
委託先の保証報告書(86号/SSAE16)
システムの運用等、外部に委託するケースが増え、委託先管理の重要性は高まっています。
そこで、委託先の業務を監査人が独立した立場から保証する監査・保証実務委員会実務指針第86号 『受託業務に係る内部統制の保証報告書』 (以下、「86号」)や米国保証業務基準第16号(以下、「SSAE16」)に基づく保証報告書というものがあります。
86号やSSAE16を取得し、内部統制の信頼性を確保している委託業者もあります。
委託元としても、委託先の評価を86号やSSAE16をもって対応できるため、監査法人に対する説明がしやすくなります。
委託先の評価を行うにあたり、86号やSSAE16を取得しているかを確認することも有用です。
クラウド化の進展等に伴い、外部にシステム運用業務を委託することが当然のようになっています。
委託元としても、適切に委託先を管理しているかが求められます。委託先の不備により、委託元の責任が問われるケースもあります。
改めて、自社の委託先の管理状況を見直してはいかがでしょうか。
まとめ
「委託先の選定」の概要とIT全般統制評価のポイント
☑委託先に作業を委任していても、システムの責任は委託元にある。
☑適切な手続を経て委託先を選定し、選定に至るまでの記録や承認を残す。
「委託先の管理」の概要とIT全般統制評価ポイント
☑委託先に任せきりにせず、定期的に作業状況をモニタリングを行う。
☑委託先に任せきりにしてしまうと、問題に気づかないリスクがあることを留意する。
「システム運用」の概要とIT全般統制評価ポイント
☑「システム運用」とは、安定的にシステムを利用していくためのシステム管理業務である。
☑各業務の概要及びリスクとコントロールを理解し、評価ポイントを押さえながら評価を行う。
委託先の保証報告書(86号/SSAE16)
☑委託先の業務を監査人が保証する文書に、86号とSSAE16がある。
☑委託先が86号やSSAE16を取得していることを確認し、内部統制評価に活用する。