クラウド・コンピューティングで重要な用語の一つ「SAS 70 Type II」を探ってみよう!

http://www.atmarkit.co.jp/im/cits/serial/soxfw/07/03.html

「SAS 70 Type II」って何さ?って事なんですが…
ザックリ言いますと、部委託作業における内部統制の監査を効率化するための枠組みを規定している「SAS70(Statement on Auditing Standards No.70、米国監査基準書70号)のType II」で、所定の期間を通じての内部統制の運用状況の有効性の評価を行う事です。

????
とサッパリでしょうが、まぁ、あるサービスを外部委託した際に、その内部統制がしっかりしているよとお墨付きを付ける基準になります。
どれでどんな恩恵をえられるの?って事ですが、それを取得する事で、米国監査にて一部、メンドクサイ監査をされなくても済むもしくは、軽減されると言うのがあります。
要は、財務諸表を作成後、その財務諸表の適正意見表明を米国会計士から得る際に内部統制の有無が成立しているかどうかで、経費の掛かり方が全然違うので、もっとも今、重要な米国会計基準だと認識されています。

$yamasan007勝手にクラウド・ニュース解説!-SAS 70 TypeⅡを適用した場合の図解

どういうことかと言うと、上の図にある様に外部委託した部分で「SAS 70 Type II」を委託先が取得していると自社の内部作業分とその「SAS 70 Type II」文書を提出するだけで、費用が軽減されると言う利点があります。
適用しなければ、図の様に軽減されず、委託部分も自社のものと考えられ、大きな監査費用が余計に掛かってしまうという事になります。

米国では、この「SAS 70 Type II」を取得できるどうかが、クラウド・サービスの鍵となってもあり、GoogleもAmazonもマイクロソフトもアップルも大手は、確実に同基準の取得は達成しています。

最近では、日本も富士通が取得したと発表しており、その意識が徐々に広まりつつあります。

http://jp.fujitsu.com/group/fip/release/2009/20090707.html

日本では「SAS 70 TypeⅡ」をそのまま適用して、日本国内内の監査に代用可能かと言うとその様なことは無く、あくまで米国内ですから日本国内の場合、当該基準は参考程度にされるので、バッチリ監査対象になりますけど。。(=費用はやはり掛かる)
日本にも、「日本公認会計士協会の監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」(通称「18号監査」)」があります。
また、一部は、プレスリリースとしても出ているようですが、本格的というものではない様です。

これらの根本は、SOX法(米国のサーベンス・オクスリー法)が根源にあって、「会計監査制度の充実と企業の内部統制強化を目的とする」事が適正な財務会計をしうるだろうと言う観点から来ています。

具体的に言うと、ライブドアみたいな小細工で株の売買を売上にする事によって、会社を必要以上に大きく見せることが健全とは言えず、投資家を騙すことになるからで、その様なものを阻止する目的での内部統制の確立と責任所在の明確さを確定させる事が目的ということです。
故に、米国のSOX法=日本版SOX法=金融商品取引法の一部となります。

この「SAS 70 Type II」は、今後は、クラウド(=要は、外部委託型の様々なITサービス)を考える上で、委託先も委託元も絶対に無視できない重要な項目で、様々な規制をクリアできるのかがクラウド運用を行う企業の課題になっています。

SOX法って何ぞやの方は、以下参照。

http://www.soxhou.biz/

IT業界の始まりは、基幹業務で、その基幹業務のコアな部分は、会計であり、その会計の最終目標は、財務諸表の作成と言っても過言でありません。
その財務諸表を作成するのは、経営者の責任範疇であり、その作られた財務諸表が適正なものかどうかを意見表明をするのが、公認会計士の役目であるのですが、その適正意見表明を出す監査基準にて、この「SAS 70 TypeⅡ」は最も注目されているのです。

昨今、国際会計基準も適用が騒がれる中、この「SAS 70 TypeⅡ」も同様にIT業界には、強烈なインパクトを与えるだろうと思われます。
IT技術だけではなく、IT業界に身をおく者は、そんな全く畑違いのようなところでも大きな流れが起こっているということも、大きくアンテナを広げておく必要があると言っていいでしょう。
AD