NECのクラウドが、ISAE3402とSSAE16の監査を受けるようですね。。。

　こんにちは、丸山満彦です。NECのクラウドサービス事業で使う川崎データーセンターで、3月からISAE3402 とSSAE16の報告書を提供するようですね。。。
　ISAE3402もSSAE16もJISQ27001（クライテリア）と違って、監査基準（監査人の行為規範）ですから、これを読んでも、データセンター側が何をすればよいのかはわかりません。。。

　一般的には4部構成になっていて、監査報告書、受託会社のアサーションや記述書、その監査結果、その他の情報という感じで作成されます。。。
第1部　監査報告書（監査人が作成）

　
■NEC
・2011.02.04 クラウドサービスのグローバル提供に向け、受託業務の内部統制保証報告に関する
新たな基準「ISAE3402」「SSAE16」への対応を開始
＝＝＝＝＝
NECはクラウドサービスのグローバル戦略の一環として、新たな国際保証業務基準「ISAE3402」(注1)および米国保証業務基準「SSAE16」(注2)に準拠した、受託業務（システム開発・運用・保守等）の内部統制保証報告書を、業界に先駆けて取得する準備を開始しました。

具体的には、クラウドサービス事業の中核となる首都圏および関西圏の主力データセンターにおいて、日本または米国以外の国の委託企業でも希望に応じて同報告書を利用できるように取得を目指します。第一号として、川崎データセンターにおいて、2012年3月から顧客向けに同報告書提出を開始する計画です。
今後は、首都圏・関西圏以外の国内外のデータセンターにおいても、順次、両基準に準拠した内部統制保証報告書の取得を進めていく方針です。
＝＝＝＝＝

■AICPA
●Statements on Standards for Attestation Engagements
　・SSAE No. 16 Reporting on Controls at a Service Oraganization　(AT sec. 801)
　　・・FAQs — New Service Organization Standards and Implementation Guidance

■IFAC
●International Standard on Assurance Engagements (ISAE3402)
　・3402 Assurance Reports on Controls at a Service Organization

　・Welcome to the Publications & Resources Section of the IFAC Website

■参考
●三菱UFJ信託銀行
・2010.12 保証業務における新基準の採用について
　・・外部監査人による保証業務に適用される新基準について

Comments

はじめまして。
外資系企業向けにSOX監査のテスター代行をやっているビーコン・スクエアと申します。
まるちゃんさんのブログ、いつも参考にさせていただいております。
いろいろと最新情報をアップしていただけるのを、楽しみにしております
今後ともよろしくお願いいたします。

Posted by: ビーコン・スクエア | 2011.02.10 17:31

ビーコン・スクエアさん、コメントありがとうございます。
SOCのページも紹介することにします。

Posted by: 丸山満彦 | 2011.02.12 11:34

夏井です。

クラウドに関しても様々な認証サービスが提案され，実施・運用されるようになってきました。

ところが，それらの認証等によって「何がどの範囲で保証されるのか」が不明確である場合が非常に多いです。

その分野の専門家は，非常に限定された範囲内で極めて限定された内容の保証しか与えていないことを知っています。しかし，そうであることをきちんと説明できる専門家が極めて少ない。あるいは，意図的に曖昧なままにしているのかもしれません。

ひとくちに監査を受けると言ってもかなり莫大なコストが発生します。ところが，監査の結果保証される内容が極めて微々たるものである場合，または，ほとんど何も保証されていない場合には，コストに見合っているとは言えないでしょう。

監査人が「欺瞞的な商売だ」との非難を受けないためには，保証される対象と範囲（及び場合によっては有効期間等）を明確に説明し，一般に周知する義務があると考えています。

Posted by: 夏井高人 | 2011.02.16 17:33

夏井先生、コメントありがとうございます。
＝＝＝＝＝
その分野の専門家は，非常に限定された範囲内で極めて限定された内容の保証しか与えていないことを知っています。
＝＝＝＝＝
もちろん、そうです。
SAS70の報告書なんかは当然ながながと保証している範囲の限定等が記載されています。。。

＝＝＝＝＝
しかし，そうであることをきちんと説明できる専門家が極めて少ない。あるいは，意図的に曖昧なままにしているのかもしれません。
＝＝＝＝＝
意図的ではないとは思いますが、ちゃんと説明しないといけないです。
マークになると特に説明がいい加減になってしまいがちです。

＝＝＝＝＝
ひとくちに監査を受けると言ってもかなり莫大なコストが発生します。ところが，監査の結果保証される内容が極めて微々たるものである場合，または，ほとんど何も保証されていない場合には，コストに見合っているとは言えないでしょう。
＝＝＝＝＝
ここは、問題です。
監査は法律にならないと誰もしないのではないかという学者もいます。つまり、コストがかかるけども、監査を受ける人は誰もそのメリットを感じない。社会全体の話だったりするので。。。

保証レベルを上げるとコストがあがる。
コストを下げようとすると、保証レベルを下げるか保証する範囲を限定的にしていくしかありません。。。そうなると監査を受ける意義を感じなくなる。

＝＝＝＝＝
監査人が「欺瞞的な商売だ」との非難を受けないためには，保証される対象と範囲（及び場合によっては有効期間等）を明確に説明し，一般に周知する義務があると考えています。
＝＝＝＝＝
公認会計士の出す監査報告書、SAS70のような報告書は上記のような範囲は明確に記載されることになっているので、
監査報告書の読み方みたいなものを整備しなければならないですね。。。

Posted by: 丸山満彦 | 2011.02.17 14:47