2008年 03月 10日

SAS70

SAS70は米国公認会計士協会の監査基準書第70号の略称です。これは監査人が「受託業務に関する内部統制の整備状況及び運用状況について意見を表明した報告書」を提出する際に準拠する基準です。SAS70報告書の利用により、アウトソーシング委託企業・アウトソーシング受託企業双方にとって内部統制評価に伴う業務負荷を軽減できる可能性があります。
それ故にSAS70は従前からある基準ですが、米国企業改革法の施行により一躍脚光を浴びることとなりました。日本の金融商品取引法に定められた内部統制報告制度においても「委託業務に関する内部統制も評価対象とする」と定められたことから、SAS70を利用するケースが増えると予測されます。
内部統制報告制度では、受託企業の業務が各委託企業の内部統制の評価範囲に含まれる場合、原則として各委託企業が受託企業の内部統制評価を行うことになります。そうすると受託企業においては委託企業が実施する内部統制評価作業に委託企業毎に対応することが必要になり、受託企業にとって過度な業務負担になることが予測されます。また、委託企業においても自社の内部統制評価のための人的資源確保にも苦労している中で、業務負荷を減らすために外部に委託した業務についてまで評価を行うとなると、相当な負荷になることが予測されます。
そこで受託企業が自社の受託業務に係る内部統制を記述し、監査人がそれについて監査を実施し意見を表明するSAS70の報告書を活用できる余地が生まれます。すなわち受託企業にとっては報告書を提出することで、各委託企業からの評価対応を監査人からの監査対応1回で済ませることができ、各委託企業は報告書を受領することで受託企業に評価を実施しに行く手間を省くことができます。
ただし、SAS70取得に当たっては相当の準備期間と費用が必要な点や、委託企業にとっては自社の委託業務の内部統制が範囲に含まれていなければ別途検証が必要になる点などは留意すべき事項です。
日本においても同様の基準が監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」として公表されていますが、SAS70ほど精緻な記述はなされていません。

-SAS70 typeⅠの記述書の目次例-
1. 独立監査人の監査報告書
2. 受託企業から提出された内部統制の記述書
   ① 受託業務の概要
   ② 関連する統制環境、リスク評価、モニタリング
   ③ 情報と伝達
   ④ 統制目的と関連する統制活動
   ⑤ 委託企業側の統制上の検討事項
3. 独立監査人による情報提供

タグクラウド