サービス

受託業務に関する内部統制サービス

金融機関にとって、ITのアウトソーシングサービスは欠かせないだけでなく広く浸透し、さらにはグローバル化が進んでいます。業務の高度化、効率化、コスト削減などが期待できる一方、外部委託先における不正・事故などのリスクが顕在化するケースが後を絶ちません。

これらの外部委託先に対する適切な管理は、今日の金融機関経営にとって重要な課題であり、金融システムの安定性の観点からも、適切なリスク管理が望まれます。こうしたリスク管理の一環として、外部委託先のシステムに係る内部統制を対象とした独立第三者からの保証報告書(SOC 1, SOC 2, SOC 3)の活用が有用な手段となっています。


SOC 1 保証報告書

信託銀行やアセット・マネジメント会社、または共同センターにて金融機関にシステムを提供するベンダー等の受託会社に要求されるAT Section 801(SOC 1)をはじめとした顧客の財務報告に係る受託業務の内部統制に関する保証報告書を作成します。

  • (委託会社の財務報告目的)
    受託業務に係る内部統制の保証報告書の提供
    • 米国基準(AT 801: SSAE 16) ※ 旧 SAS 70
    • 日本基準(86号) ※ 旧 18号
    • 国際基準(ISAE 3402)

SOC 2 保証報告書

クラウド・ベンダーやデータセンター事業社等の受託会社が、受託者責任の遂行結果を顧客(企業)へ報告する手段として利用可能な、システムリスクを対象とした受託会社の内部統制に係る保証報告書を作成します。

  • (システムリスクを対象とした、委託会社の財務報告以外の目的を対象)
    受託業務に係る内部統制の保証報告書の提供
    • 米国基準(SOC 2) ※Trust サービス原則
      • セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー

SOC 3 保証報告書

クラウド・ベンダー等の受託会社が、受託者責任の遂行結果を顧客(個人)へ報告する手段として利用可能な、システムリスクを対象とした受託会社の内部統制に係る保証報告書を作成します。

  • (システムリスクを対象とした、委託会社の財務報告以外の目的を対象)
    受託業務に係る内部統制の保証報告書の提供
    • 米国基準(SOC 3)
    • 日本基準(IT 委員会報告第2号) ※Trust サービス原則
      • セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシー

SOC 保証報告書に係る事前評価業務

初回のSOC 1,2,3 報告書を作成する前に、事前評価業務を実施することで、有用性の高い顧客報告が可能となります。

  • 受託業務に係る内部統制の保証報告書作成に関する事前評価業務

受託業務に係る内部統制の構築支援業務

受託業務に係る内部統制の保証報告書作成に必要な態勢構築支援を行います。

  • 受託業務に係る内部統制の構築支援業務