現在、規模の大小や業種を問わず、クラウドサービスを利用する企業が増えています。令和3年度(2021年度)における総務省の情報通信白書によると、7割近い企業が何らかのクラウドサービスを利用しているそうです。そこで、IT全般統制の観点から、SaaSを中心としたクラウドサービスを利用するうえで留意すべき点を以下に3点述べたいと思います。
- 契約の事前承認と事後モニタリング
まず、SLA(サービスレベルアグリーメント)など、委託先の責任範囲を明確にした契約が、事前に承認されていること、業務実施状況が契約に基づいているかを事後に委託元がモニタリングすることが必要です。
委託元には、委託先に対する管理責任があります。委託先に任せきりになり、委託先でのITの重要な管理業務のプロセス(例えば、プログラムの変更管理がルールに基づいて行われているかなど)がどうなっているのかよくわからないという状態は避けなければなりません。 - SOCレポートが入手可能なシステム
次に、IT全般統制の対象となるクラウドサービスを選定する際には、SOC(System and Organization Controls)レポートが入手可能なクラウドサービスを選定することが望ましいです。SOCレポートとは、委託先の内部統制の有効性について、委託先の外部監査人などが評価した結果を報告する書類です。SOCレポートの評価結果は、委託元が自社の統制を図る際に利用可能なことから、委託先の内部統制を直接検証せずに済み、大幅に工数が削減できます。
SOCレポートに含まれないIT全般統制については、自社のIT全般統制として整備することが必要です。例えば、クラウドサービスへのアクセス権管理については、主要な部分を自社のIT全般統制として整備する必要があります。 - 必要に応じて利用者側がバックアップ
最後に、各クラウドサービスの利用規約をもとに、クラウドサービス事業者のバックアップについてのサービス内容と自社の責任範囲を明確にし、自らバックアップを行うべきか否かを判断する必要があると考えます。
クラウドサービスの場合、事業者側で常時バックアップされているものと認識している利用者が多いのですが、著名な会計システムや販売管理システムのクラウドサービスであっても、常時バックアップが行われていないものも数多くあります(あるクラウドサービスでは、クラウド事業者側のシステムに起因した問題が生じた時に加えて、任意のタイミングでバックアップが行われます)。
そのため、他システムとの連携の有無、入力方法、データ量、事業者側のバックアップの頻度とバックアップデータの入手可能性などを考慮し、自社バックアップが必要と判断される場合には、これを規程類に織り込み、制度化することによって、万が一のデータ消失のリスクを避けることができると考えます。
関連コラム記事
-
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年8月)―重要性の判断―
-
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年8月)―実務上不可能である場合―
-
経理マニュアルの必要性と作成・運用のポイント
-
新リース会計基準における購入オプションの取り扱い
-
新リース会計基準の経過措置への対応
-
内部統制の盲点:「本番データの直接修正」が引き起こす3つのリスク
-
温室効果ガス排出量算定後の次のステップ
-
SSBJ基準解説・実務対応 第4回―数値の表示に用いる単位―
-
マクロやRPAに潜むリスクとIT統制の実務的な整理
-
SSBJ基準解説・実務対応 第3回―関連する財務諸表―
-
SSBJ基準解説・実務対応 第2回―報告企業―