現在、規模の大小や業種を問わず、クラウドサービスを利用する企業が増えています。令和3年度(2021年度)における総務省の情報通信白書によると、7割近い企業が何らかのクラウドサービスを利用しているそうです。そこで、IT全般統制の観点から、SaaSを中心としたクラウドサービスを利用するうえで留意すべき点を以下に3点述べたいと思います。
- 契約の事前承認と事後モニタリング
まず、SLA(サービスレベルアグリーメント)など、委託先の責任範囲を明確にした契約が、事前に承認されていること、業務実施状況が契約に基づいているかを事後に委託元がモニタリングすることが必要です。
委託元には、委託先に対する管理責任があります。委託先に任せきりになり、委託先でのITの重要な管理業務のプロセス(例えば、プログラムの変更管理がルールに基づいて行われているかなど)がどうなっているのかよくわからないという状態は避けなければなりません。 - SOCレポートが入手可能なシステム
次に、IT全般統制の対象となるクラウドサービスを選定する際には、SOC(System and Organization Controls)レポートが入手可能なクラウドサービスを選定することが望ましいです。SOCレポートとは、委託先の内部統制の有効性について、委託先の外部監査人などが評価した結果を報告する書類です。SOCレポートの評価結果は、委託元が自社の統制を図る際に利用可能なことから、委託先の内部統制を直接検証せずに済み、大幅に工数が削減できます。
SOCレポートに含まれないIT全般統制については、自社のIT全般統制として整備することが必要です。例えば、クラウドサービスへのアクセス権管理については、主要な部分を自社のIT全般統制として整備する必要があります。 - 必要に応じて利用者側がバックアップ
最後に、各クラウドサービスの利用規約をもとに、クラウドサービス事業者のバックアップについてのサービス内容と自社の責任範囲を明確にし、自らバックアップを行うべきか否かを判断する必要があると考えます。
クラウドサービスの場合、事業者側で常時バックアップされているものと認識している利用者が多いのですが、著名な会計システムや販売管理システムのクラウドサービスであっても、常時バックアップが行われていないものも数多くあります(あるクラウドサービスでは、クラウド事業者側のシステムに起因した問題が生じた時に加えて、任意のタイミングでバックアップが行われます)。
そのため、他システムとの連携の有無、入力方法、データ量、事業者側のバックアップの頻度とバックアップデータの入手可能性などを考慮し、自社バックアップが必要と判断される場合には、これを規程類に織り込み、制度化することによって、万が一のデータ消失のリスクを避けることができると考えます。
関連コラム記事
-
サステナビリティ情報開示:開示基準の最新動向(2025年3月)
-
サステナビリティ情報開示:SSBJ基準と補足文書の関係
-
システムリプレイス時における財務報告の内部統制対応
-
サステナビリティ情報開示:温室効果ガス排出量の測定の基礎データを特定する際の留意点
-
新リース会計基準を適用するうえでの実務構築上の留意点:リース契約における債務管理
-
IFRS18「財務諸表における表示及び開示」導入による実務への影響
-
システムリプレイスがIPO準備中のJ-SOXに与える影響と対策
-
炭素税とサステナビリティ開示
-
IT全般統制にかかる規程等と情報セキュリティ関連制度との関係
-
サステナブルな会計業務とは
-
ITに関する規程などの改訂の進め方とポイント