質問

2015年12月18日 11時19分
  • IT統制でASPは「外部委託」として扱うものでしょうか?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

親会社よりグループ会社のひとつとして、J-SOXにまつわる内部統制の確認、不足部について確認がきました。
ただいま資料整理をしている最中で、お分かりになる方教えてください。

自社ではワークローをASPサービスを利用しているのですが、このワークフローをIT全般統制の対象とした場合、

・開発・保守
・運用
・セキュリティ管理
・外部委託管理

ASPって外部の業務委託という扱いになるものでしょうか?
委託先の選定や管理をするあたり、ASPのため不要といった回答でいけないものでしょうか?

私自身もよくわからなくて、的を得ていない質問ですみません...。

6件の回答があります

回答

新日本監査法人が、以下のリンクでわかりやすく記載してますよ〜〜

http://www.shinnihon.or.jp/services/advisory/risk-advisory/column/2013-02-26.html

ポイントは、"受託業務に係る内部統制の保証報告書"

回答

委託先の選定や管理をするあたり、ASPのため不要といった回答でいけないものでしょうか?

いけないです。ASPの委託先をそこに決めた理由はISO9001などからもきちっとしていることが求められますので、その業者に決めた時の資料(他社との比較表、決定した時の稟議書、契約書)はきちっとしている必要があります。ASPそのものは契約書なり約款なりで決められたことが明確になっていれば ヨシ とすればいいです。(そのASPが世間的に知られているところなら管理面で問題にはならないと思います) 

今回の場合はワークフローとのことですが ワークフローを作るのは自社なのかどうかで、また管理が違ってきます。ASPの契約先に依頼する場合は1件毎に依頼内容が明確になっているか、その前の依頼に対しての承認ルートが適切か、出来た後の受け入れ承認はきちっとしているか というところがあります。
社内で作る場合も同様ですが依頼先が情シスでしょうからその社内手続きが明確になっていることが必要です。 
困るのは社内の必要部門が勝手にワークフローを作って、検証もせずに運用している場合です。ウチでは「きちっと手続きを踏め」と言っても「テストだから」といい加減なワークフローのまま本番運用をしているという例がありました(後述)

ワークフローで伝票承認をやっている場合は 全社統制、決算財務、業務プロセスに直接影響を与えますので、(厳しい監査法人では)IT統制としてのワークフローがいい加減ですとその時点でバツにすることがあります。 

ウチでは私が内部統制の審査をした時は「テスト状態のワークフローで承認された伝票データは無効」と判定しました。 実は紙の伝票も回っており、最後に経理で紙の伝票と伝票データをチェックしているので最終的なデータは有効としました(ただし、”紙伝票がない伝票データの無いこと”を全件チェックさせた)が、業務プロセスにおいては「不備」と判定し、是正処置を求め、「テスト状態を正式版にすること」を条件にしました。 (担当は「内部統制なんか形式的さ」とタカをくくっていたようですが「不備」「是正処置」と言われてかなり慌てていました)

2015年12月21日 08時22分

回答

ナイス笑顔さん

参考URL、ありとうございます。
X-pointをSaaSで利用している場合でも「受託業務に係る内部統制の保証報告書」を入手する必要がある、というところでしょうか...。
今回の意向は親会社から、弊社自身は小さい会社なのですが、そこまで必要なの

desatoさん

ありがとうございます。
今回、SaaS利用でワークフローの申請フォーマットは情シスで作成しておりますので、アカウント管理やフォーマット作成の業務フォローを起こして、リスク・コントロールのあたりを考えて見ます。
また、近日中に親会社の担当の方をお話する機会があるので、その際に確認してみます。

※資料とか記事とかよく見てて思うのですが、必要な資料とかについては、箇条書きにこれとこれが必要ですと書いてくれたらいうれしいですね。
文章の中にちらほら出てきても、文章の前後が理解できないと必要なのか必要でないのかわからないです...。

2015年12月21日 12時13分

回答

ウチでは 監査法人から 受託業務に係る内部統制の保証報告書86号 を求められましたが 大手のベンダーに聞きましたら「弊社にはありません」という回答だったので、そのまま監査法人につたえたところ、「了解しました」となり、それ以後、求められた事はありません。もちろんそれで内部統制が×になったことはありません。

必要な資料とかについては、箇条書きにこれとこれが必要ですと書いてくれたら

環境ISOや官庁に提出する書類は「これが必要」ということが決まっていますが、内部統制ではそんな書類の種類よりも、実際どのようにコントロールされているかのほうが重要です。書類の種類にとらわれるのではなく実際のコントロールに着目しましょう

昔の話ですがISOの外部監査員が「能力評価表(能力マップ)が無いのはダメだ」と言い出したので、私が「ISO9001では 組織は各人の能力を認識して教育の必要性を認識すること なので能力マップが無ければならないなどということはない」と反論しました。論争していたのですが、もう一人の外部監査員が来て「確かに能力マップという書類が必須なのではない 課長さんや部長さんが教育の必要性を感じて教育計画を作ったり教育訓練を行っていればいい」といって決着しました。

2015年12月22日 12時35分

回答

親会社よりグループ会社のひとつとして、J-SOXにまつわる内部統制の確認、不足部について確認がきました

こういうときの質問は親会社にぶつけるのが順当です 会社によって解釈が違う事がおおいですし、その違いで後で問題になるのもやっかいです(下手をすると、せっかく集めた資料が「これじゃありません」と言われて徒労に終わることもあります)
それに、「親会社の内部統制の担当者を鍛えるため」にも積極的に質問をしたほうがいいです

ウチの場合、親会社のほうがあとから出来てしかもホールディング(持ち株)会社なので業務の実態がなく、「内部統制」も経験が少ないのです。 ときどき私のほうに「こういうやりかたでよいでしょうか?」と聞きにくるくらいです。 ウチはかなりはやくからISO9000シリーズやら貿易管理体制などで経験があったので、内部統制(J-SOX)も割とすんなり、出来ました。とは言っても最初は判らないことも多いので、堅く行く為にややオーバースペックでやりまして、最近は「どこまで手が抜けるか」を必死で考えています。
「どこまで手が抜けるか」という見方をすると、実はかなり省略しても大丈夫ということも判ってきました(もちろん、管理のポイントは押さえてのことです でも「管理のポイント」なんて、1フローのなかで1つあればいいですよね)

2016年01月18日 12時36分

回答

実際のところ、一般の情シスは”監査される側”なのでこのような内部統制やJ-SOXや監査にはよわいですね。その点、わたしは情シスであったことはもちろん、ISO内部監査員、J-SOXのまとめ役、内部監査要員も務めてきたのでこのへんの手の内はかなりわかっていました。なので外部からの監査員と議論して負かしてきたこともかなりあります。

ものの見方をちょっと変えて”監査員目線”でみれば理解が速いと思います。言われたことをそのままやるのではなく「なぜそうしなければならないのか」を考えると解決策が見えてきます。 時には「やれ」と言った者に「なぜそうしなければならないのか」をぶつけてみましょう 意外にも”目的と手段の取り違え”が多いのです(例:この書類には部長がハンコを押さなくてはならない=>規定を見たら”課長承認”なので部長がハンコを押す必要はない)

2016年07月18日 09時16分

あなたもコメントしましょう!