日本電気(NEC)は2011年2月4日、クラウドサービスのグローバル戦略の一環として、新たな国際保証業務基準「ISAE3402」および米国保証業務基準「SSAE16」に準拠した、受託業務(システム開発・運用・保守等)の内部統制保証報告書を取得する準備を開始したと発表した。
- 「ISAE3402」:2009年12月に国際会計士連盟(IFAC)が定めたもので、サービスを提供する受託会社の内部統制の有効性を証明する、各国会計士による保証業務の国際基準。
- 「SSAE16」:2010年4月に米国公認会計士協会(AICPA)が定めたもので、ISAE3402に準拠した米国公認会計士協会の基準であり、IT分野でも今後サービスベンダーの内部統制保証報告書として主流となる可能性が高いと言われている。
同社は、クラウドサービス事業の中核となる首都圏および関西圏の主力データセンターにおいて、日本または米国以外の国の委託企業でも希望に応じて同報告書を利用できるように取得を目指す。第一号として、川崎データセンターにおいて、2012年3月から顧客向けに同報告書提出を開始する計画を立てている。
同社はこれまで、2000年3月に日本公認会計士協会が発行し国内上場企業に利用が限られた「監査基準18号報告書」に準拠した内部統制保証報告書を提供する体制を整えてきたが、市場動向を踏まえ、新たにISAE3402、SSAE16の両基準に準拠することで、顧客のグローバル化に対応する。
それにより顧客企業は、自社の財務諸表にかかる内部統制の有効性評価に、NECが提供する「ISAE3402報告書」「SSAE16報告書」を利用することができ、委託しているシステム業務(開発・運用・保守等)の内部統制の経営者評価作業の負荷を大幅に軽減できるとしている。また、NECへ委託したシステムの品質状況(効率性・可用性・機密性など)の透明性が高まることで、NECのクラウドサービス利用における契約サービスレベルの履行状況にかかる内部統制を客観評価でき、ITシステムの品質向上とシステム安定化につなげられるともしている。
NECは、首都圏・関西圏以外の国内外のデータセンターにおいても、順次、両基準に準拠した内部統制保証報告書の取得を進めていき、クラウドサービスの一層の信頼性向上に努めていく。
また、今後は物理的セキュリティに限らず、アプリケーション、システム基盤の変更管理、リリース管理、アクセス管理、構成管理等に保証を拡張するとともに、新たな米国公認会計士協会の基準に基づいて、財務諸表の信頼性に直接かかわらない個人情報管理・事業継続性などの領域まで、保証の範囲の順次拡大を目指す。
