保証業務実務指針 3702
情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に 関する実務指針
保証実 3702
2 0 2 1 年 4 月 1 4 日
改正 2 0 2 1 年 1 2 月 2 8 日
改正 2 0 2 2 年 1 0 月 1 3 日
最終改正 2 0 2 3 年 3 月 1 6 日
日 本 公 認 会 計 士 協 会
監査・保証基準委員会
(実務指針:第17号)
項 番 号
Ⅰ 本実務指針の適用範囲
1.本実務指針の適用範囲 ............................................................1
2.本実務指針の目的 ................................................................6
3.定義 ............................................................................7
Ⅱ 要求事項
1.本実務指針の遵守 ................................................................8
2.我が国における職業倫理に関する規定 ..............................................9
3.経営者及び監査役等 ..............................................................10
4.保証業務契約の新規の締結及び更新 ................................................11
(1) 保証業務の契約条件の変更の受諾 ................................................12
5.計画
(1) 規準の適合性の評価 ............................................................13
(2) 重要性 ........................................................................17
(3) 受託会社のシステムの理解 ......................................................18
6.証拠の入手
(1) 記述書に関する証拠の入手 ......................................................19
(2) 内部統制のデザインに関する証拠の入手 ..........................................21
(3) 内部統制の運用状況の有効性に関する証拠の入手 ..................................22
7.内部監査の利用
(1) 内部監査機能の理解 ............................................................28
(2) 内部監査の利用の可否及びその利用の程度の判断 ..................................29
(3) 内部監査人の特定の作業の利用 ..................................................32
(4) 受託会社監査人の保証報告書に及ぼす影響 ........................................34
8.経営者確認書 ....................................................................36
i
保証実 3702
9.その他の記載内容 ................................................................39
10.後発事象 ........................................................................41
11.調書 ............................................................................43
12.受託会社監査人の保証報告書の作成
(1) 受託会社監査人の保証報告書の記載内容 ..........................................51
(2) 除外事項付意見 ................................................................53
13.その他のコミュニケーションの責任 ................................................54
Ⅲ 適用指針
1.本実務指針の適用範囲 ............................................................A1
2.定義 ............................................................................A4
3.我が国における職業倫理に関する規定 ..............................................A6
4.経営者及び監査役等 ..............................................................A7
5.保証業務契約の新規の締結及び更新
(1) 保証業務を実施するための能力と適性 ............................................A8
(2) 受託会社確認書 ................................................................A9
(3) 受託会社確認書に対する合理的な基礎 ...........................................A10
(4) リスクの識別 .................................................................A11
(5) 保証業務の契約条件の変更の受諾 ...............................................A12
6.規準の適合性の評価 .............................................................A14
7.重要性 .........................................................................A17
8.受託会社のシステムの理解 .......................................................A20
9.証拠の入手
(1) 記述書に関する証拠の入手 .....................................................A22
(2) 内部統制のデザインに関する証拠の入手 .........................................A25
(3) 内部統制の運用状況の有効性に関する証拠の入手 .................................A28
10.内部監査人の作業
(1) 内部監査機能の理解 ...........................................................A35
(2) 内部監査の利用の可否及びその利用の程度の判断 .................................A36
(3) 内部監査人の特定の作業の利用 .................................................A37
(4) 受託会社監査人の保証報告書に及ぼす影響 .......................................A38
11.経営者確認書 ...................................................................A40
12.その他の記載内容 ...............................................................A42
13.調書 ...........................................................................A44
14.受託会社監査人の保証報告書の作成
(1) 受託会社監査人の保証報告書の記載内容 .........................................A45
(2) 受託会社監査人の保証報告書の想定利用者と目的 .................................A46
(3) 運用評価手続の記述 ...........................................................A47
(4) 除外事項付意見 ...............................................................A48
ii
保証実 3702
15.その他のコミュニケーションの責任 ...............................................A51
Ⅳ 適用
付録1 受託会社確認書の記載例
付録2 受託会社監査人の保証報告書の文例
付録3 除外事項付意見を表明する場合の受託会社監査人の保証報告書の文例
付録4 経営者確認書の記載例
iii
保証実 3702
《Ⅰ 本実務指針の適用範囲》
《1.本実務指針の適用範囲》
1.本実務指針は、監査事務所又は監査事務所が支配する事業体が、受託会社監査人として、委託会
社の業務を提供する受託会社の内部統制に関して、委託会社等(想定利用者)が利用するための報
告書を提供する保証業務のうち、受託業務の情報セキュリティ等の様々なTrustに係る内部統制を
検証し、報告する保証業務に関する実務上の指針を提供するものである(A1項及びA2項参照)。
2.保証業務実務指針3000「監査及びレビュー業務以外の保証業務に関する実務指針」及び保証業務
実務指針3000実務ガイダンス第2号「監査及びレビュー業務以外の保証業務に係る概念的枠組み
(実務ガイダンス)」において、保証業務は、合理的保証業務又は限定的保証業務があること、ま
た、保証業務は、主題情報の提示を受ける保証業務又は直接報告による保証業務があることが示
されている。
本実務指針は、合理的な保証を提供する主題情報の提示を受ける保証業務に関する実務上の指
針のみを取り扱っている(第 11 項及び第 51 項(13)参照)。
3.本実務指針は、受託会社が内部統制のデザインの適切性に対する責任を有する場合、又はデザ
インの適切性に対する責任を有していないものの、それについて主題情報を表明することができ
る場合のみに適用される。本実務指針は、以下の保証業務を取り扱うものではない(A3 項参照)。
(1) 受託会社の内部統制が記載されたとおりに運用されているかどうかに関してのみ報告する保
証業務
(2) 保証業務実務指針3402「受託業務に係る内部統制の保証報告書に関する実務指針」が対象と
する保証業務
4.受託会社監査人は、保証業務実務指針 3000 及び本実務指針に準拠して、受託会社の内部統制に
関する保証業務を行わなければならない。本実務指針に定めがない事項については、保証業務実
務指針 3000 に準拠して、業務を行うことが求められる。
5.監査事務所は、品質管理基準報告書第1号「監査事務所における品質管理」に基づいて、本保証
業務に関して、品質管理システムの目的の達成についての合理的な保証を確保するために、品質
管理システム並びに方針又は手続を整備し運用する義務がある。本実務指針は、監査事務所が品
質管理基準報告書第1号を遵守していることを前提としている。また、受託会社監査人も、職業倫
理に関する規定を遵守し、品質管理基準報告書第1号を適用することが求められる。
《2.本実務指針の目的》
6.本実務指針における受託会社監査人の目的は、以下のとおりである。
(1) 「適用される規準」に基づき、以下に関する合理的な保証を得ること。
① 受託会社のシステムに関する記述書が、タイプ2の報告書の場合、特定期間にわたって(又
は、タイプ1の報告書の場合、基準日現在に)デザインされ業務に適用されているシステムを
全ての重要な点において適正に表示していること。
② 受託会社のシステムに関する記述書に記載された受託会社の内部統制が、適用される規準
に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合理
的な保証を提供するように全ての重要な点において適切にデザインされていること。
- 1 -
③ タイプ2の報告書の場合、受託会社のシステムに関する記述書に記載された受託会社の内
部統制が、全ての重要な点において適用される規準に基づいて受託会社のサービスコミット
メント及びシステム要求事項を充足するという合理的な保証を提供するよう有効に運用され
ていること。
(2) 受託会社監査人の発見事項に従って上記(1)の事項について報告すること。
保証実 3702
《3.定義》
7.本実務指針における用語の定義は、以下のとおりとする。
(1) 「情報セキュリティ等に関する受託業務のTrust」-セキュリティ、可用性、処理のインテグ
リティ、機密保持及びプライバシーに関するITの信頼性をいう。
(2) 「委託会社」-受託会社の提供する業務を利用する会社をいう。
(3) 「委託会社の相補的な内部統制」-受託業務をデザインする段階で、委託会社において整備
されることを受託会社が想定する内部統制であり、受託会社のシステムに関する記述書におい
て記載された適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求
事項を充足するために必要な内部統制として識別され、記載されるものをいう。
(4) 「一体方式」-受託会社が受託業務の一部を再委託する場合における、情報セキュリティ等
受託業務のTrustに係る内部統制の保証報告書(以下「受託会社の内部統制の保証報告書」とい
う。)上での再受託会社の提供する業務の取扱いの方式の一つをいう。一体方式では、受託会社
のシステムに関する記述書に再受託会社に再委託している業務の内容が記載され、かつ、再受
託会社の適用される規準及び関連する内部統制が受託会社のシステムに関する記述書及び受託
会社監査人の業務の範囲に含まれる(A5項参照)。
(5) 「運用評価手続」-受託会社のシステムに関する記述書に記載された適用される規準に基づ
いて受託会社のサービスコミットメント及びシステム要求事項を充足する内部統制について、
その運用状況の有効性を評価するため立案された手続をいう。なお、実施した運用評価手続及
び当該手続の結果の記載を「運用評価手続の記述」という(A47項参照)。
(6) 「適用される規準」-情報セキュリティ等(セキュリティ、可用性、処理のインテグリティ、
機密保持及びプライバシーのカテゴリー)の評価のための規準のうち、当該受託会社の経営者
によって選択されたカテゴリーに関する規準をいう。規準には、該当する場合、表示と開示に関
する規準が含まれる。なお、当該情報セキュリティ等の評価のための規準の例としては、米国公
認会計士協会「セキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに関
するTrustサービス規準」(Trust Services Criteria for Security, Availability, Processing
Integrity, Confidentiality, and Privacy)等が該当する。
(7) 「記述規準」-受託会社の経営者が受託会社のシステムの記述書を作成する際に使用し、受
託会社監査人が記述書を評価する際に使用する規準であり、適用される規準と併せて使用され
る表示と開示に関する個別の規準がある場合、当該表示と開示に関する規準をいう。例えば、米
国公認会計士協会のDCセクション200“Description Criteria for a Description of a Service
Organization’s System in a SOC 2® Report”に規定されている規準等が該当する。また、当
該記述規準が使用される場合、受託会社の経営者及び受託会社監査人は、作成される受託会社
- 2 -
保証実 3702
確認書又は保証報告書において、記述書が当該記述規準に基づいて表示されているかどうかに
ついて報告する。
(8) 「受託会社監査人」-受託会社からの依頼に基づき、受託会社の内部統制に関して保証報告
書を提供する監査人をいう。
(9) 「再受託会社」-委託会社の内部統制に関連すると思われる業務を委託会社に提供する会社
が、受託業務の一部を他の会社に再委託する場合の当該他の会社をいう。
(10) 「再受託会社の内部統制」-適用される規準に基づいて受託会社のサービスコミットメント
及びシステム要求事項を充足することを合理的に保証する再受託会社の内部統制をいう。
(11) 「受託会社」-受託業務を委託会社に提供する第三者組織(又はその一部)をいう。
(12) 「受託会社確認書」-第7項(16)②又は、タイプ1の報告書の場合、第7項(15)②に記載さ
れている受託会社により作成された受託業務に係る内部統制の確認書をいう。
(13) 「受託会社のシステム」(又は「システム」)-受託会社監査人の保証報告書が対象とする業
務を委託会社に提供するために、受託会社がデザインし業務に適用するために特定されたイン
フラストラクチャー、ソフトウェア、人員、手続、データの五つの重要な構成要素を総称してい
う。受託会社のシステムに関する記述書には、対象とする業務、記述書が対象とする期間(又は
タイプ1の報告書の場合は基準日)、適用される規準、関連する内部統制についての記述が含ま
れる。
(14) 「受託会社の内部統制」-受託会社監査人の保証報告書の対象となる適用される規準に基づ
いて受託会社のサービスコミットメント及びシステム要求事項を充足することを合理的に保証
する内部統制をいう(A4項参照)。
(15) 「受託会社のシステムに関する記述書及び内部統制のデザインに関する報告書」(本実務指
針では「タイプ1の報告書」と呼称する。)-以下を含む報告書をいう。
① 受託会社のシステムに関する記述書
② 以下の事項に関する受託会社確認書
ア.受託会社のシステムに関する記述書が、適用される規準に基づいて、基準日現在にデザ
インされ業務に適用されている受託会社のシステムを全ての重要な点において適正に表
示していること。
イ.受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社が
サービスコミットメント及びシステム要求事項を充足しているという合理的な保証を提
供する受託会社の内部統制が、基準日現在に全ての重要な点において適切にデザインされ
ていること。
③ 上記②ア及びイに記載された事項について、合理的な保証を提供する受託会社監査人の保
証報告書
(16) 「受託会社のシステムに関する記述書並びに内部統制のデザイン及び運用状況に関する報告
書」(本実務指針では「タイプ2の報告書」と呼称する。)-以下を含む報告書をいう。
① 受託会社のシステムに関する記述書
② 以下の事項に関する受託会社確認書
ア.受託会社のシステムに関する記述書が、適用される規準に基づいて、特定期間にわたり
- 3 -
保証実 3702
デザインされ業務に適用されている受託会社のシステムを全ての重要な点において適正
に表示していること。
イ.受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社が
サービスコミットメント及びシステム要求事項を充足しているという合理的な保証を提
供する受託会社の内部統制が、特定期間にわたって全ての重要な点において適切にデザイ
ンされていること。
ウ.受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社の
サービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供す
る受託会社の内部統制が、適用される規準を充足するよう、特定期間にわたって全ての重
要な点において有効に運用されていること。
③ 以下を含む受託会社監査人の保証報告書
ア.上記②アからウの事項についての合理的な保証
イ.運用評価手続とその結果に関する記述
(17) 「除外方式」-受託会社が受託業務の一部を再委託する場合における、受託会社の内部統制
の保証報告書上での再受託会社の提供する業務の取扱いの方式の一つをいう。除外方式では、
受託会社のシステムに関する記述書に再受託会社に再委託している業務の内容が記載されるが、
再受託会社の適用される規準及び関連する内部統制は、受託会社のシステムに関する記述書及
び受託会社監査人の業務の範囲から除かれる。受託会社のシステムに関する記述書及び受託会
社監査人の業務の範囲には、再受託会社の内部統制の有効性をモニタリングする受託会社の内
部統制が含まれ、これには、受託会社が再受託会社の内部統制の保証報告書を入手して検討す
ることが含まれることがある。
(18) 「内部監査機能」-受託会社の統治、リスク管理及び内部統制プロセスの有効性を評価・
改善するように設計された、保証及び助言活動を実施する受託会社の機能をいう。
(19) 「内部監査人」-内部監査機能の活動に従事する者をいう。内部監査人は内部監査部門又は
それと同様の機能を有する部門に属することがある。
(20) 「想定利用者」-委託会社、予想される委託会社、委託会社監査人及び委託会社又は受託会
社に係る規制当局であり、受託会社によって提供される業務の性質、受託会社のシステムの作
用、内部統制とその限界、相補的な内部統制の作用及び適用される規準に基づいて受託会社の
サービスコミットメント及びシステム要求事項とその充足を脅かすリスクに関する十分な知識
と理解を有すると想定される者をいう。
委託会社は一般的に想定利用者に含まれるが、幾つかの実例(例えば、報告書が受託会社に係
る規制当局によって利用される場合)では、委託会社は想定利用者に含まれない場合がある。
なお、受託会社は想定利用者となることはできるが、唯一の想定利用者となることはできない。
《Ⅱ 要求事項》
《1.本実務指針の遵守》
8.受託会社監査人は、本実務指針と保証業務実務指針 3000 の要求事項を遵守しない限り、本実
務指針を遵守した旨を表明してはならない(保証実 3000 第 15 項参照)。
- 4 -
保証実 3702
《2.我が国における職業倫理に関する規定》
9.受託会社監査人は、保証業務に関連する我が国における職業倫理に関する規定(独立性に関連
するものを含む。)を遵守しなければならない(A6 項参照。保証実 3000 第 20 項参照)。
《3.経営者及び監査役等》
10.受託会社監査人は、本実務指針に基づき、受託会社に対して質問、経営者確認書の提出の要請、
コミュニケーションを行う場合、受託会社の経営者、又は、監査役若しくは監査役会、監査等委員
会又は監査委員会(以下、監査役若しくは監査役会、監査等委員会又は監査委員会を「監査役等」
という。)の誰に対して行うのが適切かを判断しなければならない。受託会社監査人は、確認事項
に対する適切な責任と知識を有する者は誰かを考慮して、この判断を行わなければならない(A7
項参照。保証実 3000 第 78 項参照)。
《4.保証業務契約の新規の締結及び更新》
11.受託会社監査人は、保証業務契約の新規の締結又は更新の前に、以下を行わなければならない
(保証実 3000 第 22 項及び第 24 項参照)。
(1) 以下について判断すること。
① 受託会社監査人が保証業務を実施する能力と適性を有するかどうか(A8項参照)。
② 受託会社がシステムに関する記述書を作成する際に適用する規準が、想定利用者にとって、
適合しており、かつ利用可能であるかどうか。
③ 保証業務及び受託会社のシステムに関する記述書の範囲が限定されていないため、想定利
用者にとって有用でない可能性があるかどうか。
(2) 受託会社が以下の責任を有することを認識し理解していることについて受託会社の合意を得
ること。
① システムに関する記述書及び当該記述書に添付される受託会社確認書を作成すること(記
述書と受託会社確認書の記載内容の網羅性、正確性及び表示の適正性を含む。)(A9項参照)。
② システムに関する記述書に添付される受託会社確認書に対する合理的な基礎を得ること
(A10項参照)。
③ システムに関する記述書の作成において使用した規準を受託会社確認書に記載すること。
④ システムに関する記述書に適用される規準を全て記載すること。
システムに関する記述書に記載するカテゴリーは、通常、想定利用者からの要請を考慮し
て受託会社の経営者によって選択される。
⑤ システムに関する記述書に記載された適用される規準に基づいて受託会社のサービスコ
ミットメント及びシステム要求事項の充足を妨げるおそれがあるリスクを識別すること、及
び、識別したリスクを低減し、適用される規準に基づいて受託会社のサービスコミットメン
ト及びシステム要求事項を充足するという合理的な保証を提供するように内部統制をデザ
インし、業務に適用すること(A11項参照)。
⑥ 以下を受託会社監査人に提供すること。
ア.受託会社がシステムに関する記述書とそれに添付される受託会社確認書に関連すると認
- 5 -
識している記録や証憑書類等の全ての情報。これには、受託会社と委託会社の間で締結し
た業務契約書が含まれる。
イ.受託会社監査人が保証業務の目的に関連して受託会社に依頼する、全ての追加的な情報
ウ.受託会社監査人が証拠を入手するために必要であると判断した、受託会社の構成員への
保証実 3702
制限のない質問や面談の機会
《(1) 保証業務の契約条件の変更の受諾》
12.受託会社監査人は、保証業務の終了前に、業務の内容を変更することを受託会社から依頼され
た場合、その変更に対する正当な理由があるかどうか確かめなければならない(A12 項及び A13 項
参照。保証実 3000 第 29 項参照)。
《5.計画》
《(1) 規準の適合性の評価》
13.受託会社監査人は、システムに関する記述書の作成、適用される規準に関連する内部統制が適
切にデザインされているかどうかの評価及びタイプ2の報告書の場合、適用される規準に関連す
る内部統制が有効に運用されているかどうかの評価において、受託会社が適切な規準を使用して
いるかどうかを評価しなければならない。
14.受託会社監査人は、受託会社のシステムに関する記述書を評価する規準の適合性を評価する際、
当該規準に少なくとも以下が含まれているかどうかを判断しなければならない。
記述書に、受託会社のシステムがどのようにデザインされ、業務に適用されているかが記載さ
れているかどうか。これには、該当する場合、以下が含まれる。
(1) 提供される業務の種類
(2) 主なサービスコミットメント及びシステム要求事項
(3) 次を含む、業務提供に利用されるシステムの構成要素
① インフラストラクチャー
② ソフトウェア
③ 人員
④ 手続
⑤ データ
(4) 記述書の基準日(タイプ1の場合)又は記述書の特定期間(タイプ2の場合)の間に、(a)内
部統制が、適切にデザインされていないか、有効に運用されていない結果、又は(b)それらのサ
ービスコミットメント及びシステム要求事項の一つ以上の達成に重大な失敗をもたらした結果
として、識別されたシステムインシデントに関する次の情報
① 各インシデントの種類
② インシデントに関連する時期
③ インシデントの範囲(又は影響)とその処置
(5) 適用される規準及び受託会社のサービスコミットメント及びシステム要求事項を充足すると
いう合理的な保証を提供するようにデザインされた関連する内部統制
- 6 -
保証実 3702
(6) 受託会社のシステムのデザインにおいて、受託会社の経営者が、特定の内部統制が委託会社
によって実装されると想定し、それらの内部統制が受託会社の内部統制と組み合わせて、受託
会社がサービスコミットメントとシステム要求事項を充足するための委託会社の相補的な内部
統制
(7) 受託会社のサービスコミットメントとシステム要求事項を充足するという合理的な保証を提
供するために、受託会社が再受託会社を使用し、再受託会社の内部統制が必要である場合:
① 受託会社の経営者が一体方式を使用することを選択した場合:
ア.再受託会社によって提供されるサービスの種類
イ.受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保
証を提供するために、受託会社の内部統制と組み合わせて必要とされる再受託会社の内部
統制
ウ.再受託会社のインフラストラクチャー、ソフトウェア、人員、手続及びデータの関連する
側面
エ.再受託会社に帰属するシステムの部分
② 受託会社の経営者が除外方式を使用することを選択した場合
ア.再受託会社によって提供されるサービスの種類
イ.再受託会社の内部統制によって満たされることが意図されている適用される規準
ウ.受託会社のシステムのデザインにおいて、受託会社のサービスコミットメント及びシステ
ム要求事項を充足するという合理的な保証を提供するために必要な再受託会社によって実
装される、受託会社の管理下で想定されている内部制御の種類(一般に、再受託会社の相補
的な内部統制と呼ばれる。)
(8) システムに関連しない適用される規準のうちの特定の規準及びそれが関連しない理由
(9) 記述書の特定期間(タイプ2報告書)における、受託会社のサービスコミットメント及びシ
ステム要求事項に関連する、当該期間中の受託会社のシステム及び内部統制に対する重要な変
更の詳細
15.受託会社監査人は、内部統制のデザインの適切性及び内部統制の運用状況の有効性を評価する
規準の適切性を評価する際、当該規準に適用される規準が含まれているかどうかを判断しなけれ
ばならない。
16.タイプ2の報告書の場合、受託会社監査人は、記述書に記載された適用される規準に基づいて
受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供
する内部統制の運用状況の有効性を評価する規準の適切性を評価する際、当該規準が、少なくと
も、内部統制が特定期間にわたりデザインされたとおりに一貫して業務に適用されていることを
含むかどうかを判断しなければならない(A14 項から A16 項参照)。
《(2) 重要性》
17.受託会社監査人は、保証業務を計画し実施する際に、記述書の適正な表示、内部統制のデザイン
の適切性、及びタイプ2の報告書の場合、内部統制の運用状況の有効性に関して、重要性を考慮し
なければならない(A17 項から A19 項参照)。
- 7 -
保証実 3702
《(3) 受託会社のシステムの理解》
18.受託会社監査人は、内部統制を含め、保証報告書が対象とする業務に関する受託会社のシステ
ムを理解しなければならない(A20 項及び A21 項参照。保証実 3000 第 46 項参照)。
《6.証拠の入手》
《(1) 記述書に関する証拠の入手》
19.受託会社監査人は、受託会社のシステムに関する記述書を入手して通読し、システムに関する
記述が適正に表示されているかどうかを評価しなければならない。当該評価には、以下の事項を
含めなければならない(A22 項及び A23 項参照)。
(1) 受託会社のシステムに関する記述書に記載された適用される規準が、適切かどうか。
(2) 記述書で識別された内部統制が業務に適用されているかどうか。
(3) 委託会社の相補的な内部統制がある場合、それらが適切に記述されているかどうか。
(4) 再受託会社が業務を実施している場合、再受託会社の業務に関して一体方式と除外方式のい
ずれが採用されているかを含め、再受託会社の実施する業務について適切に記載されているか
どうか。
20.受託会社監査人は、質問とその他の手続を組み合わせて実施することにより、受託会社のシス
テムが業務に適用されているかどうかを判断しなければならない。
その他の手続には、どのように受託会社のシステムが運用され、内部統制が適用されているか
について、観察又は記録や他の文書の閲覧を含めなければならない(A24 項参照)。
《(2) 内部統制のデザインに関する証拠の入手》
21.受託会社監査人は、受託会社のシステムに関する記述書に記載された適用される規準に基づい
て受託会社のサービスコミットメント及びシステム要求事項を充足するために必要となる受託会
社の内部統制を判断するとともに、当該内部統制が適用される規準に基づいて受託会社のサービ
スコミットメント及びシステム要求事項を充足するよう適切にデザインされているかどうかを評
価しなければならない。
この評価には、以下の事項を含めなければならない(A25項からA27項参照)。
(1) 受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社のサー
ビスコミットメント及びシステム要求事項の充足を妨げるおそれがあるリスクを識別すること。
(2) 受託会社のシステムに関する記述書において識別された内部統制と当該リスクとの関連性を
評価すること。
《(3) 内部統制の運用状況の有効性に関する証拠の入手》
22.受託会社監査人は、タイプ2の報告書を提供する場合、受託会社のシステムに関する記述書に
記載された適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項
の充足に必要であると判断した内部統制の運用評価手続を実施して、期間を通じた当該内部統制
の運用状況の有効性を評価しなければならない。内部統制が十分に運用されていたことについて
過去の期間において入手した証拠は、たとえ対象期間に入手した証拠によって補完されるとして
- 8 -
も、運用評価手続の実施を縮小させる根拠にはならない(A28 項から A31 項参照)。
23.受託会社監査人は、運用評価手続の立案と実施に当たって、以下の手続を実施しなければなら
ない。
(1) 以下に関する証拠を入手するために、質問とその他の手続を組み合わせて実施する。
保証実 3702
① 内部統制がどのように運用されていたか。
② その運用は一貫していたか。
③ 誰がどのような方法で運用していたか。
(2) 運用評価手続の対象となる内部統制が他の内部統制(間接的な内部統制)に依存しているか
どうか、依存している場合にはこれら間接的な内部統制の運用状況の有効性を裏付ける証拠を
入手する必要があるかどうかを判断する(A32項参照)。
(3) 運用評価手続の目的に適う有効な対象項目の抽出方法を決定する(A33項及びA34項参照)。
24.受託会社監査人は、運用評価手続の範囲の決定に当たり、少なくとも以下の諸事項を含め、母集
団の特性を考慮しなければならない。
(1) 内部統制の性質
(2) 実施頻度(例えば、月次、日次、1日に複数回)
(3) 予想逸脱率
《① サンプリング》
25.受託会社監査人は、サンプリングを利用する場合、以下を実施しなければならない(A33項及び
A34項参照)。
(1) サンプリングを立案する際、手続の目的と、サンプルを抽出する母集団の特性を考慮する。
(2) サンプリングリスクを許容可能な低い水準に抑えるために、十分なサンプル数を決定する。
(3) 母集団の全てのサンプリング単位に抽出の機会が与えられるような方法で、サンプルを抽出
する。
(4) 抽出したサンプルが立案した手続の適用対象として適当でない場合、代わりのサンプルを抽
出して手続を実施する。
(5) 抽出したサンプルに立案した手続又は適切な代替手続を実施できない場合、当該サンプルを
逸脱として扱う。
《② 逸脱の内容と原因》
26.受託会社監査人は、識別した全ての逸脱の内容と原因を調査して、以下のいずれに該当するか
の判断を行わなければならない。
(1) 識別した逸脱が予想逸脱率の範囲内にあり、許容可能である。したがって、実施した運用評
価手続によって、内部統制が対象期間にわたって有効に運用されていると結論付けるための適
切な基礎が得られた。
(2) 特定の適用される規準に関連する内部統制が対象期間にわたり有効に運用されているかどう
かを結論付けるため、当該内部統制又はその他の内部統制に関する追加的な運用評価手続が必
要である(A25項参照)。
- 9 -
保証実 3702
(3) 実施された運用評価手続によって、内部統制が対象期間にわたり有効に運用されていなかっ
たと結論付ける適切な基礎が得られた。
27.受託会社監査人は、サンプルについて発見した逸脱を例外的事象であると考える極めて稀な状
況において、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事
項を対象期間にわたり充足していたと結論付けることのできる他の内部統制が識別されないとき
は、当該逸脱が母集団を代表していないという相当に高い心証を得なければならない。この場合
には、受託会社監査人は、その逸脱が残りの母集団に影響を及ぼさないという十分かつ適切な証
拠を入手するための追加的な手続を実施しなければならない。
《7.内部監査の利用》
《(1) 内部監査機能の理解》
28.受託会社監査人は、受託会社が内部監査機能を有する場合、内部監査機能が受託会社監査人の
保証業務に関連する可能性があるかどうか判断するため、内部監査機能の責任及び実施する活動
の内容について理解しなければならない。なお、独立性に関する重要な阻害要因と考えられるた
め、本実務指針に基づく保証業務においては、受託会社監査人が手続を実施するに当たり、内部監
査人を直接の補助者として利用してはならない(A35 項参照。保証実 3000 第 53 項参照)。
《(2) 内部監査の利用の可否及びその利用の程度の判断》
29.内部監査人の作業が受託会社監査人の保証業務の目的に照らして適切かどうかを判断するに当
たり、受託会社監査人は、以下の事項を判断しなければならない(保証実 3000 第 55 項参照)。
(1) 内部監査人の作業が受託会社監査人の保証業務の目的に照らして適切かどうか。
(2) 内部監査人の作業が適切な場合には、内部監査人の作業が受託会社監査人の手続の種類、時
期又は範囲に及ぼし得る影響
30.内部監査人の作業が受託会社監査人の保証業務の目的に照らして適切かどうかを判断するに当
たり、受託会社監査人は以下の事項を評価しなければならない(保証実 3000 第 55 項参照)。
(1) 内部監査機能の客観性
(2) 内部監査人の専門的能力
(3) 内部監査人が専門職として正当な注意を払い作業を実施するかどうか。
(4) 内部監査人と受託会社監査人との間で有効なコミュニケーションが図れるかどうか。
31.内部監査人の作業が受託会社監査人の手続の種類、時期又は範囲に及ぼし得る影響を判断する
に当たり、受託会社監査人は以下の事項を考慮しなければならない(A36 項参照。保証実 3000 第
55 項参照)。
(1) 内部監査人により実施された、又は実施される予定の特定の作業の内容及び範囲
(2) 受託会社監査人の結論に対する内部監査人の作業の重要性
(3) 受託会社監査人の結論の裏付けとして内部監査人により収集された証拠の評価において、主
観的要素が介在する程度
- 10 -
保証実 3702
《(3) 内部監査人の特定の作業の利用》
32.内部監査人の特定の作業を利用する際に、受託会社監査人は、受託会社監査人の目的に照らし
て適切かどうかを判断するため、当該作業を評価し、それらに対して手続を実施しなければなら
ない(A37 項参照)。
33.内部監査人によって実施された特定の作業が受託会社監査人の目的に照らして適切かどうか判
断するために、受託会社監査人は以下の事項を評価しなければならない。
(1) 当該作業が、十分な専門的研修を受け、経験を有している内部監査人によって実施されたか
どうか。
(2) 当該作業が適切に監督、査閲、文書化されたかどうか。
(3) 内部監査人が合理的な結論を得るのに十分な証拠を入手したかどうか。
(4) 到達した結論がその状況に応じて適切であるかどうか、及び内部監査人により作成された全
ての報告書が実施された作業の結果と整合しているかどうか。
(5) 受託会社監査人の保証業務に関連する内部監査上の指摘事項(通例でない事項を含む。)が、
適切に解決されているかどうか。
《(4) 受託会社監査人の保証報告書に及ぼす影響》
34.受託会社監査人は、内部監査機能を利用した場合に、受託会社監査人の保証報告書の意見区分
において、内部監査人の作業に関して言及してはならない(A38 項参照)。
35.タイプ2の報告書において、運用評価手続の実施に際して内部監査人の作業を利用した場合に
は、受託会社監査人の保証報告書の運用評価手続及びその結果の記述に、内部監査人の作業及び
当該作業に関して受託会社監査人が実施した手続についての記載を含めなければならない(A39 項
参照)。
《8.経営者確認書》
36.受託会社監査人は、受託会社(一体方式の場合、再受託会社を含む。)において、受託業務に対
する最終的な責任を有し、以下の確認事項についての知識を有する経営者に対して経営者確認書
を提出するように要請しなければならない(A40 項参照。保証実 3000 第 56 項参照)。
(1) システムに関する記述書に添付する受託会社確認書は適正に作成されている旨
(2) 保証業務契約書で合意したとおり(第11項(2)⑥参照)、受託会社が全ての関連する情報及び
情報を入手する機会を受託会社監査人に提供した旨
(3) 以下のいずれかに気付いている場合、それを受託会社監査人に示した旨
① 違法行為、不正又は受託会社に起因し、委託会社に影響を及ぼす可能性のある未修正の誤謬
② 内部統制のデザインの不備
③ 内部統制が記述されたとおりに運用されていない事例
④ 受託会社のシステムに関する記述書が対象とする基準日(又はタイプ2の報告書の場合、
対象期間の最終日)の翌日から、受託会社監査人の保証報告書の日付までの間に発生し、受
託会社のシステムに重要な影響を及ぼす可能性のある全ての事象
37.経営者確認書は、受託会社監査人を宛先とする書簡でなければならない。経営者確認書の日付
- 11 -
保証実 3702
は、受託会社監査人の保証報告書の日付より後であってはならず、通常、保証報告書の日付と同一
の日付とする(保証実 3000 第 59 項参照)。
38.受託会社監査人が本実務指針の第 36 項(1)及び(2)に基づき経営者確認書において確認を要請し
た事項の全部又は一部について、受託会社との協議を行ってもなお受託会社から確認を得られな
い場合、受託会社監査人は、意見を表明してはならない(A41 項参照)。
《9.その他の記載内容》
39.受託会社監査人は、タイプ1又はタイプ2の報告書に、受託会社のシステムに関する記述書、受
託会社確認書及び受託会社監査人の保証報告書以外のその他の記載内容が含まれる場合、システ
ムに関する記述書との重要な相違を識別するため、その他の記載内容を通読しなければならない。
受託会社監査人は、重要な相違を識別するためにその他の記載内容を通読することにより、当該
その他の記載内容に関する明らかな事実の虚偽記載に気付くことがある(保証実3000第62項参照)。
40.受託会社監査人は、その他の記載内容の重要な相違又は明らかな事実の虚偽記載に気付いた場合、
受託会社と当該事項について協議しなければならない。受託会社監査人は、その他の記載内容に重
要な相違又は事実の虚偽記載が存在すると判断したが受託会社がそれを修正することに同意しない
場合、適切な措置を講じなければならない(A42 項及び A43 項参照。保証実 3000 第 62 項参照)。
《10.後発事象》
41.受託会社監査人は、受託会社のシステムに関する記述書が対象とする基準日又は対象期間の最
終日の翌日から受託会社監査人の保証報告書の日付までの間に、受託会社確認書に重要な影響を
及ぼす可能性がある事象に受託会社が気付いたかどうか質問しなければならない。また、受託会
社監査人は、その性質及び重要性からタイプ1又はタイプ2の報告書の利用者に誤解を与えない
ようにするため開示することが必要と考えられる受託会社のシステムに関する開示後発事象の有
無について質問し、受託会社が当該事象に気が付いているがタイプ1又はタイプ2の報告書にお
いて当該情報をシステムに関する記述書において開示しない場合、受託会社監査人の保証報告書
で開示しなければならない(保証実 3000 第 61 項参照)。
42.受託会社監査人は、受託会社監査人の保証報告書の日付の翌日以降、受託会社のシステムに関
する記述、内部統制のデザインの適切性又は運用状況の有効性に関して、いかなる手続を実施す
る義務も負わない(保証実 3000 第 61 項参照)。
《11.調書》
43.受託会社監査人は、経験豊富な受託会社監査人が、以前に当該業務に関与していなくとも以下
の事項を理解できるように、調書を作成しなければならない(保証実 3000 第 79 項参照)。
業務に関する調書は、適時に作成され、十分かつ適切である場合、保証報告書の基礎となる記録
を提供する。
(1) 本実務指針及び適用される法令等に準拠して実施した手続の種類、時期及び範囲
(2) 手続を実施した結果及び入手した証拠
(3) 保証業務の過程で生じた重要な事項、その結論及びその際になされた職業的専門家としての
- 12 -
重要な判断
44.受託会社監査人は、実施した手続の種類、時期及び範囲の文書化において、以下の事項を記録し
保証実 3702
なければならない。
(1) 運用評価手続を実施した対象を識別するための特性
(2) 手続を実施した者及びその完了日
(3) 査閲をした者、査閲日及び査閲の対象
45.受託会社監査人は、内部監査人の特定の作業を利用する場合、内部監査人の作業の適切性の評
価に関する結論及び実施した手続を調書に記載しなければならない。
46.受託会社監査人は、受託会社及びその他の者と重要な事項について協議した場合には、重要な
事項の内容、協議を実施した日及び協議の相手方等について文書化しなければならない。
47.受託会社監査人は、重要な事項に関する結論を形成する過程において、矛盾した情報を識別し
た場合には、受託会社監査人がどのようにその矛盾した情報に対応したかについて、文書化しな
ければならない。
48.受託会社監査人は、受託会社監査人の保証報告書日付後、適切な期限内に、業務ファイルにおけ
る調書を整理し、業務ファイルの最終的な整理についての事務的な作業を完了しなければならな
い(A44 項参照。保証実 3000 第 81 項参照)。
49.受託会社監査人は、業務ファイルの最終的な整理が完了した後、その保存期間が終了するまで、
いかなる調書であっても、削除又は廃棄してはならない(保証実 3000 第 82 項参照)。
50.受託会社監査人は、業務ファイルの最終的な整理が完了した後に、既存の調書の修正又は新た
な調書の追加が必要となった場合には、その修正や追加の内容にかかわらず、以下の事項を文書
化しなければならない(保証実 3000 第 83 項参照)。
(1) 修正又は追加が必要となった具体的理由
(2) 修正又は追加を実施した者及び実施日並びにそれらを査閲した者及び査閲日
《12.受託会社監査人の保証報告書の作成》
《(1) 受託会社監査人の保証報告書の記載内容》
51.受託会社監査人の保証報告書には、以下の基本的な事項を含めなければならない(A45 項参照)。
(1) 独立した受託会社監査人の保証報告書であることを明瞭に示す表題
(2) 宛先
(3) 以下についての特定
① 受託会社のシステムに関する記述書及び受託会社確認書。タイプ2の報告書の場合には第
7項(16)②に記載されている事項、タイプ1の報告書の場合には第7項(15)②に記載されて
いる事項が受託会社確認書に含まれる。
② 受託会社のシステムに関する記述書のうち、受託会社監査人の意見の対象でない部分
③ 受託会社の内部統制のデザインの適切性、運用の有効性を評価する、適用される規準
④ 保証報告書がプライバシーのカテゴリー規準を対象としている場合、受託会社のプライバ
シー実務の声明
⑤ 記述書に委託会社の相補的な内部統制が必要であることが記載されている場合、受託会社
- 13 -
保証実 3702
監査人は委託会社の相補的な内部統制のデザインの適切性や運用状況の有効性を評価して
いない旨、及び、受託会社の内部統制に加えて委託会社の相補的な内部統制が適切にデザイ
ンされている、又は有効に運用されている場合にのみ、受託会社のシステムに関する記述書
に記載された、適用される規準に基づいて受託会社のサービスコミットメント及びシステム
要求事項を充足する旨
⑥ 再受託会社が業務を実施している場合、受託会社のシステムに関する記述書に記載されて
いる再受託会社が実施している業務の内容及び取扱いの方式(一体方式又は除外方式)。な
お、取扱いの方式の記載には以下が含まれる。
ア.除外方式の場合、受託会社のシステムに関する記述書から関連する再受託会社の適用さ
れる規準及び関連する内部統制が除外されている旨、及び受託会社監査人は再受託会社の
内部統制について手続を実施していない旨
イ.一体方式の場合、受託会社のシステムに関する記述書に再受託会社の適用される規準及
び関連する内部統制が含まれている旨、及び受託会社監査人は再受託会社の内部統制に対
する手続を実施している旨
(4) カテゴリー及び適用される規準を選択した者(ただし、受託会社が指定している場合は記載
を省略できる。)
(5) 保証報告書及びタイプ2の報告書の場合の運用評価手続の記述は、利用者として、想定利用
者のみを想定している旨。また、想定利用者は、適用される規準による評価において、委託会社
自身が運用する内部統制に関する情報を含めたその他の情報とともに、当該保証報告書及び運
用評価手続の記述を利用するための十分な理解を有していることが想定されている旨(A46項参照)
(6) 受託会社が以下に対する責任を有する旨
① 受託会社のシステムに関する記述書及び記述書に添付される受託会社確認書の作成(記述
書と受託会社確認書の網羅性、正確性及び表示の適正性を含む。)
② 受託会社のシステムに関する記述書が対象とする業務の提供
③ 適用される規準の記載
④ 受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社の
サービスコミットメント及びシステム要求事項を充足するための内部統制のデザインと業
務への適用
⑤ 規準のうち、一部に関連する該当業務がないなどの理由から対応するものがなく、規準の
記載を省略する場合にはその理由の記載
(7) 受託会社監査人の責任は、受託会社監査人が実施した手続に基づいて、受託会社のシステムに
関する記述書、記述書に記載された適用される規準に関連する内部統制のデザイン、及び、タイ
プ2の報告書の場合、当該内部統制の運用状況の有効性に対して意見を表明することにある旨
(8) 監査事務所は、品質管理基準報告書第1号を適用している旨
(9) 受託会社監査人は、我が国における職業倫理に関する規定を遵守している旨
(10) 本実務指針に準拠して業務を実施した旨及び、本実務指針が、受託会社監査人に、全ての重
要な点において、受託会社のシステムに関する記述書が適正に表示されているかどうか、内部
統制が適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を
- 14 -
保証実 3702
充足するよう適切にデザインされているかどうか、また、タイプ2の報告書の場合、内部統制が
適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足す
るよう有効に運用されているかどうかについて合理的な保証を得るために手続を計画し実施す
ることを求めている旨
(11) 合理的な保証を得るための受託会社監査人の手続の要約、受託会社監査人が意見表明の基礎
となる十分かつ適切な証拠を得たと判断している旨、及び、タイプ1の報告書の場合、受託会社
監査人は、内部統制の運用状況の有効性に関する手続を実施しておらず、したがって、それに対
する意見を表明しない旨
(12) 内部統制の限界の記載及びタイプ2の報告書の場合、将来の期間にわたる内部統制の運用状
況に関する有効性の評価の予測に伴うリスク
(13) 適用される規準に基づいて積極的形式により以下に関して表明される受託会社監査人の意見
① タイプ2の報告書の場合
ア.受託会社のシステムに関する記述書が、対象期間にわたりデザインされ業務に適用され
ていた受託会社のシステムを全ての重要な点において適正に表示しているかどうか。
イ.受託会社のシステムに関する記述書に記載された受託会社の内部統制は、適用される規準
に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合
理的な保証を提供するように、対象期間にわたって、全ての重要な点において適切にデザイ
ンされているかどうか。なお、委託会社の相補的な内部統制が受託会社のサービスコミット
メント及びシステム要求事項の充足に必要な場合は、その条件についても記載する。
ウ.受託会社のシステムに関する記述書に記載された受託会社の内部統制は、適用される規
準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するとい
う合理的な保証を提供するように、対象期間にわたって、全ての重要な点において有効に
運用されているかどうか。なお、委託会社の相補的な内部統制が受託会社のサービスコミ
ットメント及びシステム要求事項の充足に必要な場合は、その条件についても記載する。
② タイプ1の報告書の場合
ア.受託会社のシステムに関する記述書が、基準日現在でデザインされ業務に適用されてい
る受託会社のシステムを、全ての重要な点において適正に表示しているかどうか。
イ.受託会社のシステムに関する記述書に記載された受託会社の内部統制が、適用される規
準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するとい
う合理的な保証を提供するように、基準日現在で、全ての重要な点において適切にデザイ
ンされているかどうか。
(14) 受託会社監査人の保証報告書の日付。受託会社監査人の保証報告書の日付は、以下の日付よ
りも前の日付としてはならない。
① 受託会社監査人の意見表明の基礎となる証拠を入手した日
② 品質管理基準報告書第1号並びに監査事務所の方針又は手続に従って審査が要求される場
合、当該審査が完了した日
(15) 受託会社監査人の名称及び受託会社監査人の事務所の所在地。ただし、国内のみで流通する
ことを前提に日本語で作成された保証報告書は、保証報告書に受託会社監査人の事務所の所在
- 15 -
保証実 3702
地を記載する必要性は乏しいためその記載を省略することができる。
52.タイプ2の報告書の場合、受託会社監査人の報告書には、意見の後に別の区分を設け、又は別紙
として、実施した運用評価手続及び当該手続の結果を記載しなければならない。受託会社監査人
は、運用評価手続の記述に、以下を明確に記載しなければならない。
(1) どの内部統制に運用評価手続を実施したか。
(2) 手続の実施対象が母集団の全項目か又は一部の抽出項目か。
(3) 運用評価手続の内容。運用評価手続の内容は、当該手続が想定利用者の目的に与える影響を
想定利用者が判断できるように十分詳細なものでなければならない。
受託会社監査人は、逸脱を識別した場合には、逸脱が識別される結果となった運用評価手続の
実施範囲(サンプリングを利用した場合にはサンプル数を含む。)及び発見された逸脱の数と内容
を記載しなければならない。受託会社監査人は、実施した運用評価手続に基づき、適用される規準
に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足していたと結論付け
た場合でも、逸脱について報告しなければならない(A19項及びA47項参照)。
《(2) 除外事項付意見》
53.受託会社監査人は、以下の状況が存在する場合には、除外事項付意見を表明しなければならな
い。また、受託会社監査人の保証報告書において、除外事項付意見の理由について全て明記しなけ
ればならない(A48 項から A50 項参照)。
(1) 受託会社監査人の手続実施に以下の事由により制約が存在し、その影響が重要と判断される
場合には、その程度に応じて、限定意見を表明するか、又は意見を表明しない。
① 保証業務リスクを許容可能な低い水準に抑えるために必要な十分かつ適切な証拠を入手
できない状況
② 十分かつ適切な証拠の入手を受託会社が妨げるような状況
(2) 以下の状況又は事項が存在し、その影響が重要と判断される場合には、その程度に応じて、
限定意見を表明するか、又は否定的意見を表明する。
① 受託会社のシステムに関する記述書が、全ての重要な点においてデザインされ業務に適用
されていたとおりに、受託会社のシステムを適正に表示しているとはいえない。
② 受託会社のシステムに関する記述書に記載された受託会社の内部統制が、適用される規準
に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するという合
理的な保証を提供するように、全ての重要な点において適切にデザインされているとはいえ
ない。
③ タイプ2の報告書の場合、受託会社のシステムに関する記述書に記載された受託会社の内
部統制が、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求
事項の充足について合理的な保証を提供するように、全ての重要な点において有効に運用さ
れているとはいえない。
(3) 受託会社監査人の保証報告書において、別の区分を設け、除外事項付意見の理由について全
て明記しなければならない。
- 16 -
《13.その他のコミュニケーションの責任》
54.受託会社監査人は、受託会社に起因し、委託会社に影響を及ぼす可能性がある違法行為、不正又
は未修正の誤謬で、明らかに僅少ではないものに気付いた場合、当該事項により影響を受ける委
託会社に適切に伝達されたかどうか判断しなければならない。当該事項が適切に伝達されておら
ず、受託会社にその意思がない場合には、受託会社監査人は適切な措置を講じなければならない
保証実 3702
(A51項参照)。
《Ⅲ 適用指針》
《1.本実務指針の適用範囲》(第1項及び第3項参照)
A1.本実務指針において、受託会社によって提供される業務の例は以下のとおりである。
・ クラウドコンピューティングの業務:自由に構成可能なコンピューティング資源(例えば、ネ
ットワーク、サーバー、記憶装置、アプリケーション、サービス)の共有プールへのオン・デマ
ンドのネットワーク・アクセスを提供すること。
・ セキュリティの管理:委託会社のネットワーク及びコンピューティング・システムへのアクセ
スの管理(システムへのアクセス権を付与し、システムへの侵入を阻止、発見及び極小化するこ
と。)
・ 顧客口座サービス:銀行や投資会社の顧客に代わり金融取引を処理すること(インターネット
を通した顧客の証券取引の処理、顧客口座記録の維持、顧客への処理、取引報告の確認等の提
供)。
・ カスタマー・サポート:委託会社の顧客にオンライン又は電話で販売後の支援及びサービス管
理を提供すること(苦情に関する質問、調査、回答等)。
・ 営業活動の自動化:営業組織を持っている委託会社のために、ビジネスの手続を自動化するた
めのソフトウェアを提供し維持すること(注文処理、情報共有、注文追跡、連絡先の管理、顧客
管理、販売予測分析、従業員業務評価等)。
・ 企業のIT業務の外部委託サービス:委託会社のIT業務を管理、運用し、維持すること(I
Tデータ・センター、インフラ、アプリケーション・システム及びネットワーク、システム開発、
セキュリティ、変更管理、ハードウェア、環境管理活動のようなIT活動の支援等)。
・ フィンテック・サービス:ローン・プロセッシング、P2P レンディング、ペイメント・プロセ
ッシング、クラウド・ファンディング、ビッグデータ分析やアセット・マネージメント等のIT
を利用した取引処理に係る金融サービスの提供
A2.委託会社の経営者は、財務報告、法令遵守、業務の有効性・効率性と関連する委託会社が直面す
るリスクを評価し対処する実施責任がある。委託会社が重要なプロセスを実施するために受託会
社と契約する場合、委託会社は受託会社のシステムと関連する追加的なリスクにさらされる。委
託会社の経営者は受託会社にタスク又は機能を委託することができるが、委託会社の顧客に提供
される製品やサービスに対する実施責任は委託することができない。通常、委託会社の経営者は、
顧客、株主及び規制当局に対して外部委託された機能に関する有効な内部統制を確立することの
実施責任を負うと考えられる。
A3.委託会社がデザインしたシステム又は委託会社と受託会社の間の契約で規定されているシステ
- 17 -
保証実 3702
ムを受託会社が運用している場合、受託会社はシステムのデザインの適切性について受託会社確
認書において確認できないことがある。内部統制のデザインの適切性とそれらの運用状況の有効
性には切り離せないつながりがある。したがって、受託会社監査人は、デザインの適切性に関する
受託会社の確認が欠如している場合、適用される規準に基づいて受託会社のサービスコミットメ
ント及びシステム要求事項を充足するという合理的な保証を内部統制が提供していると結論付け
ることができず、内部統制の運用状況の有効性に関する意見を表明できない可能性が高い。
そのような場合、受託会社監査人は、運用評価手続を合意された手続業務として実施するか、又
は、内部統制が記述されたとおりに運用されていたかどうかに関する結論を運用評価手続に基づ
いて報告する保証業務を実施することを選択する場合があるが、これらの業務はいずれも本実務
指針の対象外である。
《2.定義》(第7項(4)及び第7項(14)参照)
A4.「受託会社の内部統制」の定義には、受託会社が保持する委託会社の情報システムとしての側面
が含まれる。また、受託会社の内部統制の構成要素のうちの一つ又は複数の側面が含まれること
がある。例えば、統制環境、モニタリング活動、統制活動の側面が受託会社の提供する業務に関連
する場合、それらは「受託会社の内部統制」に含まれることがある。一方、受託会社のシステムに
関する記述書に記載された適用される規準の充足に関連しない内部統制は、「受託会社の内部統制」
には含まれない。例えば、受託会社自身の情報システムに関連する内部統制は、「受託会社の内部
統制」には含まれない。
A5.一体方式が使用される場合、本実務指針の要求事項は再受託会社に対しても適用される。これ
には、第 11 項(2)①から⑥に記載されている事項について、受託会社のみならず再受託会社の合
意を得ることが含まれる。再受託会社で手続を実施する場合には、受託会社、再受託会社及び受託
会社監査人の間での調整とコミュニケーションが必要である。一体方式は、一般的に、受託会社と
再受託会社の間に資本関係がある、又は受託会社と再受託会社の間の契約において手続の実施が
規定されている場合のみ可能である。
《3.我が国における職業倫理に関する規定》(第9項参照)
A6.受託会社監査人は、日本公認会計士協会が公表する倫理規則に従う。当該倫理規則は、本実務指
針に基づく保証業務の実施において、受託会社監査人が委託会社に対して独立性を保持すること
を要求していない。
《4.経営者及び監査役等》(第 10 項参照)
A7.経営と企業統治の構造は、異なる文化及び法的な背景、並びに規模や所有権の特徴等の影響を
反映して、国や企業によって様々である。このような多様性が存在するため、受託会社監査人が特
定の事項に関して誰に対してコミュニケーションを行うべきか、本実務指針において、全ての業
務に対して規定することは不可能である。例えば、受託会社は、法人の一部門であることもある
が、複数の法人を含むこともある。そのような場合、経営者確認書の要請先として適切な経営者を
特定する際には、職業的専門家としての判断を要することがある。
- 18 -
保証実 3702
《5.保証業務契約の新規の締結及び更新》
《(1) 保証業務を実施するための能力と適性》(第 11 項(1)①参照)
A8.保証業務の実施に関連する能力と適性には、以下のような事項が含まれる。
・ 関連する業界の知識
・ ITと情報システムの理解
・ 適用される規準の理解
・ 適用される規準に係る内部統制の適切なデザインに関連するリスクの評価の経験
・ 適用される規準に係る内部統制の運用評価手続の立案及び実施並びにその結果の評価の経験
《(2) 受託会社確認書》(第 11 項(2)①参照)
A9.業務契約の新規の締結又は更新に関して受託会社監査人が合意した後、受託会社が受託会社確
認書の提供を拒否することは範囲の制約となり、受託会社監査人が保証業務契約を解除する理由
となる。なお、保証業務契約を解除することが実務的に困難な場合、受託会社監査人は意見を表明
しない。
《(3) 受託会社確認書に対する合理的な基礎》(第 11 項(2)②参照)
A10.タイプ2の報告書の場合、受託会社確認書には、受託会社のシステムに関する記述書に記載さ
れた適用される規準に関連する内部統制が、対象期間にわたって適用される規準に基づいて受託
会社のサービスコミットメント及びシステム要求事項を充足するよう有効に運用されている旨の
記述が含まれる。受託会社のモニタリング活動は、内部統制のデザインの適切性及び運用状況の
有効性に関する受託会社確認書の基礎となることがある。
モニタリング活動は、期間を通じて内部統制の有効性を評価するプロセスである。モニタリン
グ活動には、内部統制の有効性の評価を適時に行うこと、不備を識別し受託会社内部の適切な者
に報告すること、必要な是正措置を実施することが含まれている。受託会社は、日常的モニタリン
グ活動と独立的評価、又はその組合せを通じて、モニタリング活動を実施する。日常的モニタリン
グ活動の度合いとその有効性が高ければ、独立的評価の必要性は少なくなる。日常的モニタリン
グ活動は、しばしば受託会社の日常の反復継続的な活動の中に組み込まれており、経営者や部門
責任者等が通常行う経営管理活動を含むものである。
内部監査人又は同様の機能を担う者は、受託会社の活動のモニタリングに貢献していることが
ある。また、モニタリング活動には、顧客からの苦情や規制当局からの改善勧告等、問題点を指摘
し、改善の必要のある点を示唆する外部者からの情報の利用も含まれる。
受託会社監査人が内部統制の運用状況の有効性に関して報告するという事実は、受託会社が受
託会社確認書に対する合理的な基礎を得るために自ら実施するプロセスを代替するものではない。
《(4) リスクの識別》(第 11 項(2)⑤参照)
A11.第7項(6)の該当する規準は、内部統制が低減しようとするリスクに関連付けられる。
- 19 -
保証実 3702
《(5) 保証業務の契約条件の変更の受諾》(第 12 項参照)
A12.保証業務の範囲の変更の要請に正当な理由がないことがある。例えば、受託会社監査人の意見
が除外事項付意見となる可能性があるため、特定の適用される規準を除くことを要請される場合、
又は、受託会社確認書が受託会社監査人に提供されず、本実務指針の対象外となる保証業務を実
施することを要請される場合などがある。
A13.一方、保証業務の範囲の変更の要請に正当な理由があることがある。例えば、受託会社が受託
会社監査人による再受託会社へのアクセスについて再受託会社の合意を得られない場合に、保証
業務の範囲から再受託会社を除外し、当該再受託会社の提供する業務について一体方式から除外
方式に変更する要請を受ける場合などがある。
《6.規準の適合性の評価》(第 13 項から第 16 項参照)
A14.規準は、想定利用者にとって利用可能である必要がある。これは、システムに関する記述書の
適正な表示、適用される規準に関連する内部統制のデザインの適切性、及び、タイプ2の報告書の
場合、適用される規準に関連する内部統制の運用状況の有効性に関する受託会社の確認の基礎を、
想定利用者が理解できるようにするためである。
A15.保証業務では、受託会社監査人は、規準の適合性と主題の適切性を評価することが求められて
いる。主題は、保証報告書の想定利用者の関心の対象となる状況である。
A16.受託会社監査人は、受託業務に該当するものとして受託会社が選択した規準が全て経営者の記
述書に含まれることを確認する。
例えば、受託会社監査人が委託会社の情報セキュリティに関連する受託会社における内部統制
のデザインの適切性及び運用状況の有効性について報告する場合、受託会社監査人は、「適用され
る規準」として、セキュリティと関連する規準に関連するリスクを軽減する上で重要な内部統制
を示すものが全て記述書に含まれることを確認する。
《7.重要性》(第 17 項及び第 52 項参照)
A17.受託会社の内部統制について報告する保証業務において、重要性の概念は、報告対象であるシ
ステムに関係する。受託会社監査人は、以下の事項を判断するための手続を計画し、実施する。
・ 受託会社のシステムに関する記述書が、全ての重要な点において適正に表示されているかど
うか。
・ 受託会社の内部統制が、全ての重要な点において適用される規準に基づいて受託会社のサー
ビスコミットメント及びシステム要求事項を充足するよう適切にデザインされているかどうか。
・ タイプ2の報告書の場合、受託会社の内部統制が、全ての重要な点において適用される規準に
基づいて受託会社のサービスコミットメント及びシステム要求事項を充足するよう有効に運用
されているかどうか。
受託会社の保証報告書における重要性の概念では、受託会社のシステムの利用に関する知識を
有する広範囲の想定利用者に共通するニーズを満たすように、保証報告書が受託会社のシステム
に関する情報を提供することが考慮されている。
A18.受託会社のシステムに関する記述書の適正な表示に関する重要性及び内部統制のデザインの適
- 20 -
保証実 3702
切性に関する重要性には、主として質的要因の検討が含まれる。例えば、記述書に重要な取引の処
理における重要な側面が含まれているかどうか、記述書において関連する情報が省略又は歪曲さ
れていないかどうか、内部統制のデザインが適用される規準に基づいて受託会社のサービスコミ
ットメント及びシステム要求事項を充足するという合理的な保証を提供しているかどうか等の検
討が含まれる。内部統制の運用状況の有効性に対する受託会社監査人の意見に関する重要性には、
量的要因と質的要因の両方の検討が含まれる。例えば、許容逸脱率と実際の逸脱率(量的要因)、
発見した逸脱の性質と原因(質的要因)の検討が含まれる。
A19.運用評価手続の記述において、手続実施の結果、識別した逸脱を開示する場合には、重要性の
概念は適用しない。これは、受託会社監査人の意見において逸脱が内部統制の有効な運用を妨げ
ると判断されるかどうかにかかわらず、特定の想定利用者の個別の状況においては、その逸脱が
重要性を有することがあるためである。例えば、逸脱が識別された内部統制は、想定利用者の目的
に係る特定の状況において重要となる可能性のある誤謬を防止するために特に重要である場合が
ある。
《8.受託会社のシステムの理解》(第 18 項参照)
A20.保証業務の範囲に含まれる受託会社のシステム(内部統制を含む。)を理解することは、受託会
社監査人が以下を行う上で役立つ。
・ 受託会社のシステムの対象領域と、他のシステムとのインターフェースの方法の特定
・ 受託会社の記述書が、デザインされ業務に適用されているシステムを適正に表示しているか
どうかの評価
・ 受託会社確認書の作成に関する内部統制の理解
・ 受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社のサー
ビスコミットメント及びシステム要求事項を充足するために必要となる内部統制の特定
・ 内部統制が適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求
事項を充足するよう適切にデザインされているかどうかの評価
・ タイプ2の報告書の場合、内部統制が適用される規準に基づいて受託会社のサービスコミッ
トメント及びシステム要求事項を充足するよう有効に運用されているかどうかの評価
A21.受託会社のシステムを理解するための受託会社監査人の手続には以下の事項が含まれる。
・ 関連する情報を持っている可能性があると受託会社監査人が判断する、受託会社の構成員へ
の質問
・ 運用状況の観察並びに文書、報告書、取引の処理に関する紙媒体及び電子媒体による記録の閲
覧
・ 受託会社と複数の委託会社との間に共通する契約条項を識別するための契約書の閲覧
・ 統制手続の再実施
《9.証拠の入手》
《(1) 記述書に関する証拠の入手》(第 19 項及び第 20 項参照)
A22.以下の事項を検討することは、受託会社監査人が、保証業務の範囲に含まれる受託会社のシス
- 21 -
保証実 3702
テムの記述が全ての重要な点において適正に表示されているかどうかを判断する際に役立つこと
がある。
・ 記述書は、委託会社が受託会社に業務の委嘱を計画する際に広範囲の想定利用者に共通する
ニーズに関連すると合理的に見込まれる(本保証業務の範囲内の)受託会社が提供する業務の
主要な側面を扱っているか。
・ 記述書は、広範囲の想定利用者が、受託会社の提供する業務の内部統制の理解を得るために十
分な情報を提供すると合理的に見込まれる程度の詳細さで作成されているか。
記述書は、受託会社のプロセスや委託会社に提供される業務の全ての側面を扱う必要はなく、
また、受託会社のセキュリティや他の内部統制を脅かすほど詳細である必要もない。
・ 記述書は、広範囲の想定利用者の判断に共通するニーズに影響を与える可能性のある情報を
省略する又は歪曲するような方法で作成されていないか。例えば、記述書に、受託会社監査人が
気付いた重要な情報の省略や不正確な記述がないか。
・ 受託会社のシステムに関する記述書に記載された適用される規準の一部が受託会社監査人の
業務の範囲から除かれている場合、記述書はその旨を明記しているか。
・ 記述書で特定されている内部統制は業務に適用されているか。
・ 委託会社の相補的な内部統制がある場合、それらが十分に記述されているか。
多くの場合、適用される規準の記述は、受託会社が業務に適用する内部統制が有効に運用され
ていれば、受託会社のみで適用される規準に基づいて受託会社のサービスコミットメント及び
システム要求事項を充足できるように記載される。一方、場合によっては、委託会社が特定の内
部統制を業務に適用することが受託会社のシステムに関する記述書に記載された適用される規
準に基づいて受託会社のサービスコミットメント及びシステム要求事項の充足に必要なため、
受託会社のみでは適用される規準に基づいて受託会社のサービスコミットメント及びシステム
要求事項を充足できないことがある。記述書に委託会社の相補的な内部統制が含まれる場合、受
託会社のみでは充足できない特定の規準と関連付けて委託会社の相補的な内部統制が受託会社
の内部統制とは別に特定される。
・ 一体方式の場合、記述書に、受託会社の内部統制と再受託会社の内部統制が区別して特定され
ているか。除外方式の場合、記述書には、再受託会社の機能が特定されているか。
除外方式の場合、記述書に、再受託会社の具体的なプロセスや内部統制について記載する必要
はない。
A23.記述書の適正な表示を評価するための受託会社監査人の手続には、以下が含まれることがある。
・ 例えば、委託会社が規制当局による規制を受ける特定の業界に属しているかどうか等、委託会
社の性質及び受託会社の提供する業務が委託会社にどのような影響を与える可能性があるのか
の検討
・ 受託会社の契約上の義務について理解するための、委託会社との標準的な契約書又は標準的
な契約条件の通読
・ 受託会社の構成員が実施する手続の観察
・ 受託会社の方針や手続に関するマニュアル及びフローチャートや説明書等その他のシステム
に関する文書の閲覧
- 22 -
保証実 3702
A24.受託会社のシステムが業務に適用されているかどうかを判断するための受託会社監査人の手続
は、システムを理解するための手続と同様である場合があり、その場合、これらの手続は併せて行
われることがある。これらの手続は、受託会社のシステムにより処理される項目の追跡を含むこ
とがあり、また、タイプ2の報告書の場合、期間中に業務に適用されている内部統制の変更に関す
る特定の質問を含むことがある。想定利用者にとって重要な変更は、受託会社のシステムに関す
る記述書に記載されることとなる。
《(2) 内部統制のデザインに関する証拠の入手》(第 21 項及び第 26 項(2)参照)
A25.想定利用者の観点からは、ある内部統制が十分に遵守された場合に、単独で又は他の幾つかの
内部統制との組合せで、適用される規準に基づいて受託会社のサービスコミットメント及びシス
テム要求事項を充足するという合理的な保証を提供するのであれば、当該内部統制は適切にデザ
インされていると考える。しかしながら、受託会社又は受託会社監査人は、内部統制の逸脱に起因
する虚偽表示が委託会社にとって重要であるか否かを判断するための個々の委託会社の事情を認
識していない。したがって、受託会社監査人の観点からは、ある内部統制が十分に遵守された場合
に、単独で又は他の幾つかの内部統制との組合せで、受託会社のシステムに関する記述書に記載
された適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充
足するという合理的な保証を提供するのであれば、当該内部統制は適切にデザインされていると
考える。
A26.受託会社監査人は、内部統制のデザインの理解を促進するために、フローチャート、質問書又
は職務権限一覧の利用を検討することがある。
A27.内部統制は、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求
事項を充足することに向けた複数の活動によって構成されていることがある。その結果、受託会
社監査人は、ある活動が特定の適用される規準に基づいて受託会社のサービスコミットメント及
びシステム要求事項を充足するために有効でないと評価した場合でも、他の活動が存在すること
によって、適用される規準に関連する内部統制は適切にデザインされていると結論付けることが
可能な場合がある。
《(3) 内部統制の運用状況の有効性に関する証拠の入手》
《運用状況の有効性の評価》(第22項参照)
A28.想定利用者の観点からは、ある内部統制が、単独で又は他の幾つかの内部統制との組合せによ
り、適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足
するという合理的な保証を提供する場合、当該内部統制は有効に運用されていると考える。しか
しながら、受託会社又は受託会社監査人は、受託会社における内部統制の逸脱が想定利用者にと
って重要であるかどうかを判断するための個々の委託会社の事情を認識していない。したがって、
受託会社監査人の観点からは、ある内部統制が、単独で又は他の幾つかの内部統制との組合せに
より、受託会社のシステムに関する記述書に記載された適用される規準に基づいて受託会社のサ
ービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供する場合、当
該内部統制は有効に運用されている。また、受託会社又は受託会社監査人は、発見した内部統制の
- 23 -
保証実 3702
逸脱が、個々の委託会社の観点から重要であるかどうかを判断できる立場にはない。
A29.想定利用者にとって有益なものとするため、タイプ2の報告書は、通常、6か月以上の期間を
対象とする。対象期間が6か月未満の場合、受託会社監査人は、受託会社監査人の保証報告書に対
象期間が6か月より短い理由を記載することが適切と考えることがある。以下の場合には、報告
書の対象期間が6か月未満になることがある。
(1) 内部統制に対する報告書を発行する日と保証業務契約締結日が近いため、6か月間より短い
期間を対象とした運用評価手続しか実施できない場合
(2) 受託会社が業務を行っていた期間(又は特定のシステム若しくはアプリケーションが運用さ
れていた期間)が6か月より短い場合
(3) 内部統制に重要な変更が行われ、かつ、報告書の発行を6か月遅らせること、又は変更前と
変更後の双方のシステムを対象とした報告書を発行することが実務的でない場合
A30.一部の内部統制手続は、運用評価手続を後日実施することを可能にする運用状況に関する証跡
を残さないことがあり、したがって、受託会社監査人は、対象期間を通じた様々な時点において、
当該内部統制手続の運用評価手続を実施することが必要であると考えることがある。
A31.受託会社監査人は、対象期間ごとに内部統制の運用状況の有効性に対する意見を提供する。し
たがって、受託会社監査人が当該意見を表明するためには、それぞれの対象期間における内部統
制の運用状況に関する十分かつ適切な証拠が必要である。なお、過去の期間の業務において逸脱
を識別している場合、受託会社監査人は、対象期間における運用評価手続の範囲を拡大させるこ
とがある。
《間接的な内部統制の運用評価手続》(第23項(2)参照)
A32.ある状況では、間接的な内部統制の有効な運用状況を裏付ける証拠の入手が必要であることが
ある。例えば、受託会社監査人が、システムの障害に関する例外処理報告書の査閲手続の有効性を
評価すると決定したときは、その担当者による査閲及びそのフォローアップが、受託会社監査人
に直接的に関連する内部統制であり、例外処理報告書の情報の正確性に関する内部統制が、間接
的な内部統制である。
《運用評価手続の実施のための項目の抽出方法》(第23項(3)及び第25項参照)
A33.受託会社監査人が利用可能な、運用評価手続の対象項目の抽出方法には、以下のものがある。
(1) 精査(100%の検討)
精査は、四半期ごと等、実施頻度が低い内部統制の場合又は内部統制の適用に関する証拠を全
て検討することが効率的である場合には適切なことがある。
(2) 特定項目抽出による試査
特定項目抽出による試査は、実施頻度が低く、サンプリングによる試査を行うほど十分な大き
さの母集団とはならない内部統制(例えば、月次又は週次で適用される内部統制)の運用評価手
続等、精査が効率的でなく、かつ、サンプリングによる試査が有効でない場合に適切であること
がある。
(3) サンプリングによる試査
- 24 -
保証実 3702
サンプリングによる試査は、定型的な方法で頻繁に業務に適用され、かつ、運用の証跡が文書
で残される内部統制の運用評価手続に対して適切であることがある。
A34.特定項目抽出による試査は、証拠を入手する効率的な方法ではあるが、それはサンプリングに
よる試査には該当しない。特定項目抽出による試査によって抽出した項目に対して実施した手続
の結果からは、母集団全体にわたる一定の特性を推定することはできない。したがって、特定項目
抽出による試査は、抽出されない母集団の残余部分に関する証拠を提供しない。他方、サンプリン
グによる試査は、母集団からその一部の項目を抽出してテストすることによって、母集団全体に
関する結論を導き出すことができるようにデザインされている。
《10.内部監査人の作業》
《(1) 内部監査機能の理解》(第 28 項参照)
A35.内部監査機能は、経営者及び監査役等に対して、分析、評価、保証、勧告及びその他の情報提
供を行う責任を有する場合がある。受託会社の内部監査機能は、受託会社自体の内部統制システ
ムに関係する活動を実施している場合もあれば、受託会社が委託会社に対して提供する業務及び
システム(内部統制を含む。)に関係する活動を実施している場合もある。
《(2) 内部監査の利用の可否及びその利用の程度の判断》(第 31 項参照)
A36.内部監査人の作業が受託会社監査人の手続の種類、時期又は範囲に及ぼし得る影響を判断する
に当たり、以下の場合には、内部監査の利用に関して必要な手続が通常とは異なる又はより限定
的となることがある。
・ 内部監査人によって実施された、又は実施される予定の特定の作業の内容と範囲が極めて限
定されている。
・ 内部監査人の作業が、受託会社監査人の結論に対する重要性が相対的に高くない内部統制に
関係している。
・ 内部監査人によって実施された、又は実施される予定の特定の作業が、主観的又は複雑な判断
を必要としない。
《(3) 内部監査人の特定の作業の利用》(第 32 項参照)
A37.内部監査人の特定の作業について受託会社監査人が実施する手続の種類、時期及び範囲は、受
託会社監査人の結論に対する内部監査人の作業の重要性についての受託会社監査人の評価(例え
ば、運用評価手続の対象とする内部統制が軽減しようとするリスクの重要性)、内部監査機能の評
価及び内部監査人の特定の作業に対する評価に依存する。当該手続は以下の手続を含むことがある。
(1) 内部監査人により既に検討された項目を検討する。
(2) (1)が対象としている母集団について内部監査人により検討された項目以外の項目を抽出し
て検討する。
(3) 内部監査人により実施される手続を観察する。
- 25 -
保証実 3702
《(4) 受託会社監査人の保証報告書に及ぼす影響》(第 34 項及び第 35 項参照)
A38.内部監査機能には、その自主性及び客観性の程度にかかわらず、受託会社監査人が保証業務を
実施する時に求められるような受託会社からの独立性はない。受託会社監査人は、受託会社監査
人の保証報告書で表明した意見に単独で責任を負うものであり、その責任は、内部監査人の作業
を利用したとしても軽減されるものではない。
A39.受託会社監査人が、内部監査機能によって実施される作業について記述する方法は様々である
が、例えば、以下の方法が挙げられる。
・ 運用評価手続の記述の冒頭部分に、内部監査機能の作業の一部を運用評価手続の実施に際し
て利用した旨を記載する。
・ 運用評価手続の個々の記述部分でそれぞれ記載する。
《11.経営者確認書》(第 36 項及び第 38 項参照)
A40.第36項で要求される経営者確認書は、第7項(12)で定義されている受託会社確認書とは別個に
追加して要求されるものである。
A41.受託会社監査人が第36項(3)に基づき経営者確認書において確認を要請した事項の全部又は一
部について受託会社から確認を得られない場合、受託会社監査人は、第53項(1)に従って、除外事
項付意見を表明することが適切なことがある。
《12.その他の記載内容》(第 40 項参照)
A42.受託会社監査人は、日本公認会計士協会が公表する倫理規則R111.2項において、以下のような
情報であると認識しながら、その作成や開示に関与してはならないことが求められている。
(1) 重要な虚偽又は誤解を招く情報
(2) 思慮なく提供された情報
(3) 必要な情報を省略する、又は曖昧にすることにより誤解を生じさせるような場合において、
当該情報を省略する、又は曖昧にする情報
受託会社のシステムに関する記述書、受託会社確認書及び受託会社監査人の保証報告書以外の
その他の記載内容に、復旧計画や危機管理計画等の将来情報、受託会社監査人の保証報告書で識
別された逸脱に対処するためのシステムの改善計画及び合理的に実証することができない受託業
務の宣伝の性質を有する記述が含まれる場合、受託会社監査人は、当該情報の削除又は修正を要
請することがある。
A43.受託会社がその他の情報の削除又は修正に同意しない場合の適切な追加の措置には、例えば、
以下が含まれる。
・ 適切な対応について顧問弁護士と相談するよう受託会社に要請すること。
・ 重要な相違又は重要な事実の虚偽記載の内容を保証報告書に記載すること。
・ 問題が解決するまで保証報告書を発行しないこと。
・ 保証業務契約を解除すること。
- 26 -
保証実 3702
《13.調書》(第 48 項参照)
A44.品質管理基準報告書第1号では、監査事務所は、調書を報告書提出日後に適時に整理するとい
う品質目標を設定することを要求している。なお、保証業務ファイルの最終的な整理を完了する
期限は、受託会社監査人の報告書の日付から、通常60日程度を超えないものとされている(品基報
第1号のA83項参照)。
《14.受託会社監査人の保証報告書の作成》
《(1) 受託会社監査人の保証報告書の記載内容》(第 51 項参照)
A45.付録1と付録2は、受託会社確認書の記載例及び受託会社監査人の保証報告書の文例を示して
いる。
《(2) 受託会社監査人の保証報告書の想定利用者と目的》(第 51 項(5)参照)
A46.適用される規準は、以下を理解する想定利用者に対して、内部統制を含む受託会社のシステム
に関する情報を提供する目的にのみ適合する。
・ 受託会社によって提供される業務の性質
・ 委託会社、再受託会社等と、受託会社のシステムとの相互作用
・ 内部統制とその限界
・ 相補的な委託会社の内部統制と関連する受託会社の内部統制
・ 適用される規準
・ 適用される規準に基づいて受託会社のサービスコミットメント及びシステム要求事項を充足
することを脅かすリスク及びそれらのリスクへの対処
したがって、その旨が、受託会社監査人の保証報告書に記載される。
さらに、受託会社監査人は、想定利用者以外への保証報告書の配布、想定利用者以外の使用又は
他の目的での使用を明確に制限する表現を含めることが適切と考えることがある。
《(3) 運用評価手続の記述》(第 52 項参照)
A47.タイプ2の報告書における運用評価手続の内容の記述において、受託会社監査人が以下を記載
することは、受託会社監査人の報告書の利用者にとって有益である。
・ 逸脱が識別された全ての運用評価手続の結果(その他の内部統制により適用される規準に基
づいて受託会社のサービスコミットメント及びシステム要求事項を充足していたと受託会社監
査人が結論付けることのできる場合又は運用評価手続を実施した内部統制が、その後受託会社
のシステムに関する記述書から削除された場合も含む。)
・ 受託会社監査人が識別した範囲において、識別した逸脱の原因に関する情報
《(4) 除外事項付意見》(第 53 項参照)
A48.付録3は、除外事項付意見を表明する場合の受託会社監査人の保証報告書の文例を示している。
記述書の表示が適正でない場合には、当該除外事項の内容を除外事項付意見の根拠区分に明瞭に
記載することとなる。また、内部統制が適切にデザインされていない場合、又は内部統制が有効に
- 27 -
保証実 3702
運用されていない場合、当該除外事項の内容、期間(タイプ2の場合)、影響する適用される規準
を除外事項付意見の根拠区分に明瞭に記載することが適切である。
A49.受託会社監査人は、否定的意見を表明する、又は意見を表明しない場合であっても、否定的意
見や意見不表明の原因となった事項以外で除外事項付意見の原因となり得る事項について受託会
社監査人が気付いている場合には、当該事項についても全て、除外事項付意見の根拠区分に、その
内容及びそれによる影響を記載することが適切な場合がある。
A50.業務範囲の制約のために意見不表明とする場合、通常、実施した手続を記載したり、受託会社
監査人の実施した保証業務の内容について記載したりすることは適切ではない。これは、意見不
表明の事実が不明瞭になるおそれがあるためである。
《15.その他のコミュニケーションの責任》(第 54 項参照)
A51.第54項に記載した状況に対応する適切な措置には、以下が含まれる。
・ 受託会社監査人の講じる措置について、法律専門家に助言を求める。
・ 受託会社の監査役等とコミュニケーションを行う。
・ 第三者(例えば、規制当局)とコミュニケーションを行う必要があるかを判断する。
・ 受託会社監査人の保証報告書において、除外事項付意見を表明する、又は「その他の事項」区
分を追加する。
・ 保証業務契約を解除する。
《Ⅳ 適用》
・ 本実務指針は、以下の業務から適用する。
- タイプ1の報告書の場合、2021 年1月1日以後に基準日の到来する業務
- タイプ2の報告書の場合、2021 年1月1日以後に特定期間の開始日の到来する業務
ただし、2021 年1月1日以後に特定期間の終了日の到来する業務(タイプ2の報告書の場合)
に適用することができる。なお、保証業務実務指針 3852「受託業務のセキュリティ、可用性、
処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務
指針」(以下「保証実 3852」という。)の保証報告書について、2021 年 12 月 31 日までに基準日
の到来する業務(タイプ1の報告書の場合)又は特定期間の終了日の到来する業務(タイプ2の
報告書の場合)に関しては、保証実 3852 に基づく従前の取扱いによることができる。
・ 2021 年 12 月 28 日改正後の本実務指針は、以下の業務から適用する。
- タイプ1の報告書の場合、2021 年 12 月 28 日以後に基準日の到来する業務
- タイプ2の報告書の場合、2021 年 12 月 28 日以後に特定期間の開始日の到来する業務
ただし、2021 年 12 月 28 日以後に特定期間の終了日の到来する業務(タイプ2の報告書の場
合)に適用することができる。
・ 本実務指針(2022 年 10 月 13 日)は、以下の業務から適用する。
- タイプ1の報告書の場合、2022 年 10 月 13 日以後に基準日の到来する業務
- タイプ2の報告書の場合、2022 年 10 月 13 日以後に特定期間の開始日の到来する業務
ただし、2022 年 10 月 13 日以後に特定期間の終了日の到来する業務(タイプ2の報告書の
- 28 -
保証実 3702
場合)に適用することができる。
なお、倫理規則に関する事項は、2023 年4月1日以後に特定期間の開始日の到来する業務(タ
イプ2の報告書の場合)から適用する。ただし、本実務指針を、倫理規則(2022 年7月 25 日変
更)と併せて 2023 年4月1日以後に特定期間の終了日の到来する業務(タイプ2の報告書の場
合)から早期適用することを妨げない。
・ 本実務指針(2023 年3月 16 日)は、以下のとおり適用する。
- タイプ1の報告書の場合、2024 年7月1日以後に基準日の到来する業務
- タイプ2の報告書の場合、2024 年7月1日以後に特定期間の開始日の到来する業務
ただし、本実務指針を、品質管理基準報告書第1号「監査事務所における品質管理」(2023
年1月 12 日)及び品質管理基準報告書第2号「監査業務に係る審査」(2023 年1月 12 日)と
併せて、2024 年7月1日以後に特定期間の終了日の到来する業務(タイプ2の報告書の場合)
から早期適用することを妨げない。
以 上
・ 本実務指針(2023 年3月 16 日改正)は、次の公表物の公表に伴う修正を反映している。
- 品質管理基準報告書第1号「監査事務所における品質管理」(2023 年1月 12 日改正)
- 品質管理基準報告書第2号「監査業務に係る審査」(2023 年1月 12 日改正)
- 29 -
保証実 3702
《付録1》(A45 項参照)
この付録は、記載例1として、タイプ2のセキュリティ、可用性、処理のインテグリティ及び機密
保持に関連する受託会社確認書の記載例を示す。記載例2として、記載例1のケースのタイプ1の
受託会社確認書の記載例を示す。
以下は、米国公認会計士協会が公表する Trust Services Criteria の適用を想定した報告書の文
例であり、必ずしも全ての状況を網羅するものではなく、また、全ての状況に適用できることを意
図したものではない。
《受託会社確認書の記載例》
以下は、受託会社確認書の記載例であり、必ずしも全ての状況を網羅するものではなく、また、
全ての状況に適用できることを意図したものではない。
《記載例1:タイプ2のセキュリティ、可用性、処理のインテグリティ及び機密保持に関する受託
会社確認書》
セキュリティ、可用性、処理のインテグリティ及び機密保持(注1)に関する
受託会社確認書
受託会社名:○○○○株式会社
当社は、米国公認会計士協会のDCセクション200, 2018 “Description Criteria for a
Description of a Service Organization’s System in a SOC 2® Report”に規定されている
規準(以下「記述規準」という。)に基づいて、添付の記述書を作成しております。
この記述書は、米国公認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリテ
ィ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」(Trust
Services Criteria for Security, Availability, Processing Integrity, Confidentiality,
and Privacy)のうち、セキュリティ、可用性、処理のインテグリティ及び機密保持の規準(注
1)(以下「適用される規準」という。)に基づいて、当社のサービスコミットメント及びシステ
ム要求事項を充足するように意図された内部統制に関する情報を、××年×月×日から××年
×月×日までの期間にわたって当社の[受託業務の種類又は名称]システムを使用する委託会
社、予想される委託会社、委託会社の監査人及び委託会社又は受託会社に係る規制当局(以下
「想定利用者」という。)に提供するために作成されています。
想定利用者は、委託会社自身が運用する内部統制に関する情報を含めたその他の情報ととも
に、記述書を検討するための十分な理解を有することが想定されています。
当社は下記のとおりであることを確認します。
- 30 -
記
保証実 3702
1.××頁から××頁に添付されている記述書には、××年×月×日から××年×月×日まで
の期間にわたって、委託会社の[受託業務の種類又は名称]のシステムが記述規準に基づいて
表示されています。
2.記述書に記載された内部統制は、その内部統制が××年×月×日から××年×月×日まで
の期間にわたって有効に運用されていれば、適用される規準に基づいて受託会社のサービス
コミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、×
×年×月×日から××年×月×日までの期間にわたって、適切にデザインされております。
3.記述書に記載された内部統制は、適用される規準に基づいて受託会社のサービスコミット
メント及びシステム要求事項を充足するという合理的な保証を提供するように、××年×月
×日から××年×月×日までの期間にわたって、有効に運用されております。
以 上
(注1)記載例はセキュリティ、可用性、処理のインテグリティ及び機密保持のカテゴリーを選択
した文例であり、それ以外の場合は選択したカテゴリーのみ記載する。受託会社の要請に
より、主題情報を追加した場合、当該追加された主題情報についても該当事項を記載する。
- 31 -
《記載例2:タイプ1のセキュリティ、可用性、処理のインテグリティ及び機密保持に関する受託
会社確認書》
保証実 3702
セキュリティ、可用性、処理のインテグリティ及び機密保持(注1)に関する
受託会社確認書
受託会社名:○○○○株式会社
当社は、米国公認会計士協会のDCセクション200, 2018 “Description Criteria for a
Description of a Service Organization’s System in a SOC 2® Report”に規定されている
規準(以下「記述規準」という。)に基づいて、添付の記述書を作成しております。
この記述書は、米国公認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリテ
ィ、機密保持及びプライバシーに係る内部統制の評価のためのTrustサービス規準」(Trust
Services Criteria for Security, Availability, Processing Integrity, Confidentiality,
and Privacy)のうち、セキュリティ、可用性、処理のインテグリティ及び機密保持の規準(注
1)(以下「適用される規準」という。)に基づいて、当社のサービスコミットメント及びシステ
ム要求事項を充足するように意図された内部統制に関する情報を、××年×月×日現在の当社
の[受託業務の種類又は名称]システムを使用する委託会社、予想される委託会社、委託会社の
監査人及び委託会社又は受託会社に係る規制当局(以下「想定利用者」という。)に提供するた
めに作成されています。
想定利用者は、委託会社自身が運用する内部統制に関する情報を含めたその他の情報ととも
に、記述書を検討するための十分な理解を有することが想定されています。
当社は下記のとおりであることを確認します。
記
1.××頁から××頁に添付されている記述書には、××年×月×日現在の受託会社の[受託業
務の種類又は名称]のシステムが記述規準に基づいて表示されております。
2.記述書に記載された内部統制は、その内部統制が××年×月×日現在において有効に運用
されていれば、適用される規準に基づいて受託会社のサービスコミットメント及びシステム
要求事項を充足するという合理的な保証を提供するように、××年×月×日現在において、
適切にデザインされております。
(注1)記載例は、セキュリティ、可用性、処理のインテグリティ及び機密保持のカテゴリーの規準
を選択した文例であり、それ以外の場合は選択したカテゴリーのみ記載する。受託会社の
要請により、主題情報を追加した場合、当該追加された主題情報についても該当事項を記
載する。
以 上
- 32 -
保証実 3702
《付録2》(A45 項参照)
《受託会社監査人の保証報告書の文例》
以下は、米国公認会計士協会が公表する Trust Services Criteria の適用を想定した報告書の
文例であり、必ずしも全ての状況を網羅するものではなく、また、全ての状況に適用できることを
意図したものではない。
《文例1:タイプ2のセキュリティ、可用性、処理のインテグリティ及び機密保持に関する受託会
社監査人の保証報告書》
受託会社のシステムに係るセキュリティ、可用性、処理のインテグリティ及び
機密保持(注1)の記述書並びに内部統制のデザイン及び運用状況に関する
独立受託会社監査人の保証報告書
○○○○株式会社(受託会社) 御中
××年×月×日
○ ○監査法人
[○○事務所(注2)]
代 表 社 員
業務執行社員
公認会計士
○ ○ ○ ○
業務執行社員 公認会計士
○ ○ ○ ○
(注2)(注3)
範囲
当監査法人(注5)は、××頁から××頁(注6)に記載されている、××年×月×日から×
×年×月×日までの期間(以下「対象期間」という。)にわたり○○○○株式会社(以下「受託
会社」という。)の「[受託業務の種類又は名称]のシステムの記述書」(以下「記述書」という。)
に対して、米国公認会計士協会のDCセクション200, 2018 “Description Criteria for a
Description of a Service Organization’s System in a SOC 2® Report”に規定されている
規準(以下「記述規準」という。)に準拠して記述書並びに米国公認会計士協会「受託業務のセ
キュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価
のためのTrustサービス規準」(Trust Services Criteria for Security, Availability,
Processing Integrity, Confidentiality, and Privacy)のうち、セキュリティ、可用性、処
理のインテグリティ及び機密保持の規準(以下「適用される規準」という。)(注5)に基づい
て、受託会社のサービスコミットメント及びシステム要求事項を充足するという合理的な保証
を提供する内部統制のデザインの適切性及び運用状況の有効性について報告する業務を実施し
た。(注7)
記述書には、適用される規準に基づいて、記述書に記載された受託会社のサービスコミット
メント及びシステム要求事項は、受託会社の内部統制とともに、受託会社の内部統制のデザイ
- 33 -
保証実 3702
ンにおいて想定された委託会社の相補的な内部統制が適切にデザインされ、有効に運用されて
いる場合のみ、充足される旨が記載されている。当監査法人の手続は、委託会社の相補的な内部
統制にまで及ぶものではない。また、当監査法人は、委託会社の相補的な内部統制のデザインの
適切性や運用状況の有効性を評価していない。(注8)
受託会社の責任
受託会社の責任は、記述書及び記述書に添付される××頁(注6)の受託会社確認書を作成し
(記述書と受託会社確認書の網羅性、正確性及び表示の方法を含む。)、記述書が対象とする業
務を提供し、適用される規準を選択し、受託会社のサービスコミットメント及びシステム要求
事項を充足するという合理的な保証を提供する内部統制を記述書に記載し、受託会社のサービ
スコミットメント及びシステム要求事項の充足を脅かすリスクを特定し、受託会社のサービス
コミットメント及びシステム要求事項を充足するという合理的な保証を提供するための内部統
制をデザインし、業務へ適用し、更に有効に運用することにある。
職業倫理、独立性及び品質管理
当監査法人は、日本公認会計士協会の公表する倫理規則及びその他の職業倫理に関する規定
を遵守して業務を実施した。当該規則及び規定は、誠実性、客観性、職業的専門家としての能力
及び正当な注意、守秘義務並びに職業的専門家としての行動の原則、並びに独立性に関する規
定を提供している。また、当監査法人は、日本公認会計士協会が公表した品質管理基準報告書第
1号「監査事務所における品質管理」に準拠して、職業的専門家としての基準及び適用される法
令等の遵守に関する方針又は手続を含む品質管理システムを整備及び運用して業務を実施した。
受託会社監査人の責任
当監査法人(注5)の責任は、実施した手続に基づき、記述書及び当該記述書に記載されたサ
ービスコミットメント及びシステム要求事項に関連する内部統制のデザインの適切性と運用状
況の有効性に対する意見を表明することにある。
当監査法人(注5)は、日本公認会計士協会が公表した保証業務実務指針3702「情報セキュリ
ティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に準拠して業
務を実施した。
当該実務指針は、当監査法人(注5)に、全ての重要な点において、記述書が記述規準に基づ
いて表示されているかどうか、及び適用される規準に基づいて受託会社のサービスコミットメ
ント及びシステム要求事項を充足する内部統制が適切にデザインされ、有効に運用されている
かどうかについて合理的な保証を得るための手続を計画し実施することを求めている。実施し
た手続の種類、時期及び範囲は受託会社監査人の判断により行われ、これには、不正又は誤謬に
よる重要な虚偽表示リスクの評価を含んでいる。
当監査法人(注5)は、意見表明の合理的な基礎となる十分かつ適切な証拠を得たと判断して
いる。
受託会社のシステムに関する記述書並びに内部統制のデザインの適切性及び運用状況の有効
- 34 -
保証実 3702
性について実施する手続には、以下が含まれる。
・ 会社のシステム、サービスコミットメント及びシステム要求事項の理解
・ 手続を実施し、記述書が記述規準に準拠して表示されていることに関する証拠を入手する
こと。
・ 手続を実施し、適合する Trust サービス規準に基づき会社のサービスコミットメント及び
システム要求事項が充足されているという合理的な保証を提供するように記述書に記載され
た内部統制が適切にデザインされているかどうかに関する証拠を入手すること。
・ 記述書が記述規準に準拠して表示されていないリスク及び適合する Trust サービス規準を
充足する内部統制が適切にデザインされていない又は有効に運用されていないリスクを評価
すること。
・ 適合する Trust サービス規準に基づき記述書に記載された内部統制に関して運用状況をテ
ストすること。
・ 記述書の全体的な表示の妥当性を評価すること。
なお、上記以外にも状況に応じ必要と判断した手続を含んでいる。
受託会社の内部統制の限界
記述書は、広範囲の報告書の利用者に共通するニーズを満たすために作成されている。した
がって、記述書には、個々の利用者がその特定の環境において重要と考える受託会社のシステ
ムの全ての側面が含まれているわけではない。
また、受託会社の内部統制は、内部統制の性質及び固有の限界により、必ずしも適用される規
準に基づいてサービスコミットメント及びシステム要求事項を充足し、合理的な保証を提供す
るように運用されない可能性がある。
さらに、内部統制のデザインの適切性及び運用状況の有効性の評価に基づき将来を予測する
ことには、受託会社の内部統制が不適切になる又は機能しなくなるというリスクが伴う。
意見
当監査法人(注5)の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。
当監査法人(注5)が意見形成において使用した規準は、××頁(注6)の受託会社確認書に
記載されている。
当監査法人(注5)の意見は次のとおりである。
(1) 記述書は、対象期間にわたってデザインされ業務に適用されている[受託業務の種類又は
名称]システムを、全ての重要な点において記述規準に基づいて表示している。
(2) 記述書に記載された受託会社の内部統制は、その内部統制が対象期間にわたって有効に運
用されていれば、適用される規準に基づいて受託会社のサービスコミットメント及びシステ
ム要求事項を充足するという合理的な保証を提供するように、対象期間にわたって、全ての
重要な点において適切にデザインされている。
(3) 記述書に記載された受託会社の内部統制は、適用される規準に基づいて受託会社のサービ
- 35 -
保証実 3702
スコミットメント及びシステム要求事項を充足するという合理的な保証を提供するように、
対象期間にわたって、全ての重要な点において有効に運用されている。
運用評価手続の記述
運用評価手続を実施した特定の内部統制と、当該運用評価手続の種類、時期及び結果は、××
頁から××頁(注6)に記載されている。
想定利用者と目的
本保証報告書及び××頁から××頁(注6)に記載された運用評価手続の記述は、利用者とし
て、受託会社並びに、対象期間に受託会社の[受託業務の種類又は名称]システムを使用する委
託会社、予想される委託会社、委託会社の監査人及び委託会社又は受託会社に係る規制当局の
みを想定している。また、想定利用者は、委託会社自身が運用する内部統制に関する情報を含め
たその他の情報と共に、本保証報告書及び上記の運用評価手続の記述を利用するための十分な
理解を有することが想定されている。
以 上
(注1)この文例は、セキュリティ、可用性、処理のインテグリティ及び機密保持のカテゴリーを選
択した文例であり、それ以外の場合は選択したカテゴリーのみ記載する。受託会社の要請
により主題情報を追加した場合、範囲及び意見に関する記述は区分して記載する。また、追
加された主題情報について受託会社監査人が実施した追加の検証手続及びその結果につい
ても保証報告書に区分して記載する。
(注2)事業所の都市名を記載する場合は、「○○県□□市」のように記載する。
(注3)受託会社監査人が電子署名を行う場合には、保証報告書にその氏名を表示すると考えられる。
(注3)① 保証業務契約において受託会社監査人が特定されている場合又は監査法人の場合にお
いて報告書署名者に関する内規がある場合には、これらに応じて代表社員の肩書を省略
するなど、適宜必要な修正を行う。
② 受託会社監査人が公認会計士の場合には、以下とする。
○○○○ 公認会計士事務所
○○県□□市
公認会計士 ○○○○
○○○○ 公認会計士事務所
○○県□□市
公認会計士 ○○○○
(注5)受託会社監査人が公認会計士の場合には、「私」又は「私たち」とする。
(注6)該当箇所を明示していれば、頁番号ではなくタイプ2の報告書の部又は章などの該当箇所
を記載することができる。
(注7)記述書の一部が受託会社監査人の業務の範囲に含まれない場合、その旨を保証報告書に明
記する。
- 36 -
《文例2:タイプ1のセキュリティ、可用性、処理のインテグリティ及び機密保持に関する受託会
社監査人の保証報告書》
保証実 3702
受託会社のシステムに係るセキュリティ、可用性、処理のインテグリティ及び
機密保持(注1)の記述書並びに内部統制のデザインに関する
独立受託会社監査人の保証報告書
○○○○株式会社(受託会社) 御中
××年×月×日
○ ○監査法人
[○○事務所(注2)]
代 表 社 員
業務執行社員
公認会計士
○ ○ ○ ○
業務執行社員 公認会計士
○ ○ ○ ○
(注3)(注4)
範囲
当監査法人(注5)は、××頁から××頁(注6)に記載されている、××年×月×日現在に
おける○○○○株式会社(以下「受託会社」という。)「[受託業務の種類又は名称]のシステムの
記述書」(以下「記述書」という。)に対して、米国公認会計士協会のDCセクション200, 2018
“Description Criteria for a Description of a Service Organization’s System in a SOC
2® Report”に規定されている規準(以下「記述規準」という。)に準拠して記述書並びに米国公
認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライ
バシーに係る内部統制の評価のためのTrustサービス規準」(Trust Services Criteria for
Security, Availability, Processing Integrity, Confidentiality, and Privacy)のうち、
セキュリティ、可用性、処理のインテグリティ及び機密保持の規準(注1)(以下「適用される
規準」という。)に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足
するという合理的な保証を提供する内部統制のデザインの適切性について報告する業務を実施
した。(注7)
記述書には、適用される規準に基づいて、記述書に記載された受託会社のサービスコミット
メント及びシステム要求事項は、受託会社の内部統制とともに、受託会社の内部統制のデザイ
ンにおいて想定された委託会社の相補的な内部統制が適切にデザインされ、有効に運用されて
いる場合のみ、充足される旨が記載されている。当監査法人の手続は、委託会社の相補的な内部
統制にまで及ぶものではない。また、当監査法人は、委託会社の相補的な内部統制のデザインの
適切性や運用状況の有効性を評価していない。
受託会社の責任
受託会社の責任は、記述書及び記述書に添付される××頁(注6)の受託会社確認書を作成し
- 37 -
保証実 3702
(記述書と受託会社確認書の記載内容の網羅性、正確性及び表示の方法を含む。)、記述書が対
象とする業務を提供し、適用される規準を選択し、受託会社のサービスコミットメント及びシ
ステム要求事項を充足するという合理的な保証を提供する内部統制を記述書に記載し、受託会
社のサービスコミットメント及びシステム要求事項の充足を脅かすリスクを特定し、受託会社
のサービスコミットメント及びシステム要求事項を充足するという合理的な保証を提供するよ
うに内部統制をデザインし、業務へ適用し、更に有効に運用することにある。
職業倫理、独立性及び品質管理
当監査法人は、日本公認会計士協会の公表する倫理規則及びその他の職業倫理に関する規定
を遵守して業務を実施した。当該規則及び規定は、誠実性、客観性、職業的専門家としての能力
及び正当な注意、守秘義務並びに職業的専門家としての行動の原則、並びに独立性に関する規
定を提供している。また、当監査法人は、日本公認会計士協会が公表した品質管理基準報告書第
1号「監査事務所における品質管理」に準拠して、職業的専門家としての基準及び適用される法
令等の遵守に関する方針又は手続を含む品質管理システムを整備及び運用して業務を実施し
た。
受託会社監査人の責任
当監査法人(注5)の責任は、実施した手続に基づき、記述書及び当該記述書に記載されたサ
ービスコミットメント及びシステム要求事項に関連する内部統制のデザインの適切性に対する
意見を表明することにある。
当監査法人(注5)は、日本公認会計士協会が公表した保証業務実務指針 3702「情報セキュ
リティ等に関する受託業務の Trust に係る内部統制の保証報告書に関する実務指針」に準拠し
て業務を実施した。当該実務指針は、当監査法人(注5)に、全ての重要な点において、記述書
が記述規準に基づいて表示されているかどうか、及び適用される規準に基づいて受託会社のサ
ービスコミットメント及びシステム要求事項を充足するという内部統制が適切にデザインされ
ているかどうかについて合理的な保証を得るための手続を計画し実施することを求めている。
実施した手続の種類、時期及び範囲は受託会社監査人の判断により行われ、これには、不正又は
誤謬による重要な虚偽表示リスクの評価を含んでいる。
当監査法人(注5)は、意見表明の合理的な基礎となる十分かつ適切な証拠を得たと判断して
いる。
受託会社のシステムに関する記述書並びに内部統制のデザインの適切性及び運用状況の有効
性について実施する手続には、以下が含まれる。
・ 会社のシステム、サービスコミットメント及びシステム要求事項の理解
・ 手続を実施し、記述書が記述規準に準拠して表示されていることに関する証拠を入手する
こと。
・ 手続を実施し、適合する Trust サービス規準に基づき会社のサービスコミットメント及び
システム要求事項が充足されているという合理的な保証を提供するように記述書に記載され
た内部統制が適切にデザインされているかどうかに関する証拠を入手すること。
- 38 -
保証実 3702
・ 記述書が記述規準に準拠して表示されていないリスク及び適合する Trust サービス規準を
充足する内部統制が適切にデザインされていないリスクを評価すること。
・ 記述書の全体的な表示の妥当性を評価すること。
なお、上記以外にも状況に応じ必要と判断した手続を含んでいる。
受託会社の内部統制の限界
記述書は、広範囲の報告書の利用者に共通するニーズを満たすために作成されている。した
がって、記述書には、個々の委託会社がその特定の環境において重要と考える受託会社のシス
テムの全ての側面が含まれているわけではない。
また、受託会社の内部統制は、内部統制の性質及び固有の限界により、必ずしも適用される規
準に基づいてサービスコミットメント及びシステム要求事項を充足し、合理的な保証を提供す
るように運用されない可能性がある。
意見
当監査法人(注5)の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監
査法人(注5)が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人(注5)の意見は次のとおりである。
(1) 記述書は、××年×月×日現在においてデザインされ業務に適用されている[受託業務の
種類又は名称]システムを、全ての重要な点において記述規準に基づいて表示している。
(2) 記述書に記載された受託会社の内部統制は、その内部統制が××年×月×日現在において
有効に運用されていれば、適用される規準に基づいて受託会社のサービスコミットメント及
びシステム要求事項を充足するという合理的な保証を提供するように、××年×月×日現在
において、全ての重要な点において適切にデザインされている。
想定利用者と目的
本保証報告書は、利用者として、受託会社並びに、××年×月×日において受託会社の[受託
業務の種類又は名称]システムを使用する委託会社、予想される委託会社、委託会社の監査人及
び委託会社又は受託会社に係る規制当局のみを想定している。また、想定利用者は、委託会社自
身が運用する内部統制に関する情報を含めたその他の情報と共に、本保証報告書を利用するた
めの十分な理解を有することが想定されている。
(注1)この文例は、セキュリティ、可用性、処理のインテグリティ及び機密保持のカテゴリーの規
準を選択した文例であり、それ以外の場合は選択したカテゴリーの規準のみ記載する。受
託会社の要請により主題情報を追加した場合、範囲及び意見に関する記述は区分して記載
する。また、追加された主題情報について受託会社監査人が実施した追加の検証手続及び
その結果についても保証報告書に区分して記載する。
以 上
- 39 -
保証実 3702
(注2)事業所の都市名を記載する場合は、「○○県□□市」のように記載する。
(注3)受託会社監査人が電子署名を行う場合には、保証報告書にその氏名を表示すると考えられ
る。
(注4)① 業務契約において受託会社監査人が特定されている場合又は監査法人の場合において
報告書署名者に関する内規がある場合には、これらに応じて代表社員の肩書を省略する
など、適宜必要な修正を行う。
② 受託会社監査人が公認会計士の場合には、以下とする。
○○○○ 公認会計士事務所
公認会計士 ○○○○
○○○○ 公認会計士事務所
公認会計士 ○○○○
(注5)受託会社監査人が公認会計士の場合には、「私」又は「私たち」とする。
(注6)該当箇所を明示していれば、頁番号ではなくタイプ1の報告書の部又は章などの該当箇所
を記載することができる。
(注7)記述書の一部が受託会社監査人の業務の範囲に含まれない場合、その旨を保証報告書に明
記する。
(注8)記述書において、委託会社の相補的な内部統制が記載されていない場合、削除する。
- 40 -
保証実 3702
《付録3》(A48 項参照)
《除外事項付意見を表明する場合の受託会社監査人の保証報告書の文例》
以下は、限定意見を表明する場合の受託会社監査人の保証報告書の文例であり、付録2の報告
書の文例からの変更点のみを示している。これらは、必ずしも全ての状況を網羅するものではな
く、また、全ての状況に適用できることを意図したものではない。
《文例1:限定意見‐受託会社のシステムに関する記述書が適正に表示されていない場合》
…
受託会社監査人の責任
…
当監査法人は、限定意見表明の基礎となる十分かつ適切な証拠を得たと判断している。
限定意見の根拠
添付の記述書の××頁には、受託会社が、アプリケーションに対する未承認のアクセスを
防止するため、オペレーターのIDとパスワードによる管理について記載されている。
当監査法人が実施した受託会社の職員に対する質問及び活動状況の観察等の手続に基づ
き、当監査法人は、オペレーターのIDとパスワードによる管理がアプリケーションAとB
では採用されているが、アプリケーションCとDでは採用されていないと判断した。
限定意見
当監査法人の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監査法
人が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人の意見は、「限定意見の根拠」に記載した事項を除き、次のとおりである。
(1) …
- 41 -
保証実 3702
《文例2:限定意見‐内部統制が適切にデザインされていない場合》
…
受託会社監査人の責任
…
当監査法人は、限定意見表明の基礎となる十分かつ適切な証拠を得たと判断している。
限定意見の根拠
受託会社は、記述書において、「セキュリティポリシーへの遵守性違反を識別しその是正措
置をタイムリーに行うための手続がある」と記載している。
しかしながら、セキュリティポリシーへの遵守性違反を識別する内部統制が整備されてい
なかった。
限定意見
当監査法人の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監査法
人が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人の意見は、「限定意見の根拠」に記載した事項を除き、次のとおりである。
(1) …
- 42 -
《文例3:限定意見‐内部統制が有効に運用されていない場合(タイプ2の報告書)》
保証実 3702
…
受託会社監査人の責任
…
当監査法人は、限定意見表明の基礎となる十分かつ適切な証拠を得たと判断している。
限定意見の根拠
受託会社は、記述書において、「セキュリティポリシーへの遵守性違反を識別しその是正措
置をタイムリーに行うための手続がある」と記載している。
しかしながら、運用評価手続の記述の××頁に記載されているとおり、セキュリティポリ
シーへの遵守性違反を十分に識別されていなかった。
したがって、××年×月×日から××年×月×日までの期間において、「内部統制が、セキ
ュリティポリシーへの遵守性違反を識別しその是正措置をタイムリーに行うための手続があ
る」という合理的な保証を提供しているという規準を充足していなかった。
受託会社は、××年×月×日に、セキュリティに係る内部統制を業務に適用しており、当監
査法人の運用評価手続は、××年×月×日から××年×月×日までの期間、当該内部統制が
有効に運用されていたことを示している。
限定意見
当監査法人の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監査法人
が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人の意見は、「限定意見の根拠」に記載した事項を除き、次のとおりである。
…
- 43 -
《文例4:限定意見‐受託会社監査人が十分かつ適切な証拠を入手できない場合》
保証実 3702
…
受託会社監査人の責任
…
当監査法人は、限定意見表明の基礎となる十分かつ適切な証拠を得たと判断している。
限定意見の根拠
受託会社は、記述書の××頁において、「セキュリティポリシーへの遵守性違反を識別しそ
の是正措置をタイムリーに行うための手続がある」と記載している。
しかしながら、運用評価手続の記述の××頁に記載されているとおり、遵守性違反を識別
するための記録が事故により××年×月×日以降のデータが消滅し、当監査法人はセキュリ
ティポリシーへの遵守性違反を識別するための内部統制について十分な証拠を得ることがで
きなかった。
したがって、当監査法人は、内部統制が××年×月×日から×月×日までの期間、セキュリ
ティポリシーへの遵守性違反を識別しその是正措置をタイムリーに行うための手続が有効に
運用されているかどうか判断することができなかった。
限定意見
当監査法人の意見は、上記の範囲、責任及び限界等を踏まえて形成されている。当監査法
人が意見形成において使用した規準は、××頁の受託会社確認書に記載されている。
当監査法人の意見は、「限定意見の根拠」に記載された事項を除き、次のとおりである。
(1) …
- 44 -
保証実 3702
《付録4》
《経営者確認書の記載例》
以下は、経営者確認書の記載例であり、必ずしも全ての状況を網羅するものではなく、また、全
ての状況に適用できることを意図したものではない。以下の記載例には実務指針で記載が要求さ
れていないものも含むが、それらの全てを含めることを要求するものでもない。
《記載例1:受託会社によるタイプ2の経営者確認書》
××年×月×日
〇〇監査法人
代表社員
業務執行社員 公認会計士 ○○○○ 殿(注1)
○○○○株式会社
代表取締役 (署名 )
(若しくは記名押印又は電子署名)
(注2)
本確認書は、××年×月×日から××年×月×日までの期間(以下「対象期間」という。)にわ
たり当社の[受託業務の種類又は名称]のシステム[又はそのシステムが行う機能の内容](以下
「システム」という。)に関する記述書(以下「記述書」という。)(注3)に対して、米国公認
会計士協会の DC セクション 200, 2018 “Description Criteria for a Description of a Service
Organization’s System in a SOC 2® Report”に規定されている規準(以下「記述規準」とい
う。)に基づいた表示、及びその記述書に記載された米国公認会計士協会「受託業務のセキュリテ
ィ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための
Trust サービス規準」(Trust Services Criteria for Security, Availability, Processing
Integrity, Confidentiality, and Privacy)のうち、セキュリティ、可用性、処理のインテグリ
ティ及び機密保持の規準(注1)(以下「適用される規準」という。)に基づいて、受託会社のサー
ビスコミットメント及びシステム要求事項を充足するという合理的な保証を提供する内部統制の
デザインの適切性及び運用状況の有効性について報告する業務に際して提出するものです。私は、
下記のとおりであることを確認します(注4及び注5)。
記
1.上記の業務に関連する当社の受託会社確認書は適正に作成されております。
2.記述書は、対象期間にわたってデザインされ業務に適用されている当社のシステムを、全て
の重要な点において記述規準に基づいて表示しており、並びに当該記述書に記載された適用さ
- 45 -
保証実 3702
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足すると
いう合理的な保証を提供する内部統制のデザインの適切性及び運用状況の有効性に関して、受
託会社確認書に記載した規準に照らし、全ての関連する事項を考慮し、評価を行っております。
3.以下について、本確認書に添付の××××を除き、(注6)貴監査法人に提供いたしました。
(1) 省略を含めた記述書の虚偽表示
(2) 一つ又は複数の委託会社に影響を及ぼす可能性のある未修正の虚偽表示、誤謬に関する事
項
(3) 内部統制が適切にデザインされていない、又は適用されていない事項
(4) 内部統制が有効に運用されていない、又は記述書に記載されたとおりに運用されていない
事項
(5) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性又は運用状況の有効性に影響す
るような規制当局、委託会社又はその他の者から報告された事項(対象期間の最終日の翌日
から貴監査法人の保証報告書の日付までの期間に報告された事項を含む。)
(6) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性又は運用状況の有効性並びに受
託会社確認書と矛盾するようなその他の既知の事実
4.受託会社確認書及び以下について責任があることを承知しております。
(1) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性及び運用状況の有効性
(2) 受託会社確認書に記載すべき規準の選定及び当該規準が私たちの目的に適合していること
の判断
5.貴監査法人に以下を提供いたしました。
(1) 受託会社と委託会社の間で締結した業務契約書を含む、記録及び文書など、記述書及び受
託会社確認書に関連すると経営者が考える全ての情報を入手する機会
(2) 貴監査法人から要請のあった合理的保証業務のための追加的な情報
(3) 業務に関連した証拠を入手するために必要であると貴監査法人が判断した当社の役員及び
従業員への制限のない質問や面談の機会
6.委託会社に影響を及ぼす不正又は不正の疑いがある事項に関して、以下の全ての情報を貴監
査法人に提供いたしました。
(1) 経営者による不正又は不正の疑い
(2) 内部統制において重要な役割を担っている従業員による不正又は不正の疑い
(3) 上記以外の者による委託会社に重要な影響を及ぼす可能性がある不正又は不正の疑い
7.従業員、元従業員、委託会社、規制当局又はその他の者から入手した委託会社に影響を及ぼす
不正の申立て又は不正の疑いがある事項に関する全ての情報を貴監査法人に提供いたしました。
- 46 -
8.委託会社に対して、その影響を考慮すべき違法行為又は違法行為の疑いに関して認識してい
る全ての事実を貴監査法人に提示いたしました。
9.対象期間に内部統制を必要とする事象が発生しておらず、下記の内部統制を実施した事例は
保証実 3702
ありませんでした(注7)。
適用される規準 X:X に関する内部統制
適用される規準 X:X に関する内部統制
10.業務の範囲に含まれない全ての再受託会社についても貴監査法人に開示いたしました。貴監
査法人の保証業務は、当該再受託会社における内部統制にまで及ぶものではないことを承知し
ております(注8)。
11.以下の事象を除き、(注9)記述書の対象期間の最終日の翌日から本確認書の日付までの間で、
受託会社のシステム、記述書が記述規準に基づいて表示されていること、並びに記述書に記載
されている適用される規準に基づいて、受託会社のサービスコミットメント及びシステム要求
事項を充足するという合理的な保証を提供する内部統制のデザインの適切性又は運用の有効性
に重要な影響を及ぼす可能性のある事象は発生しておりません。
[もし対象期間の最終日の翌日の日付以降に発生している事象があれば事象を具体的に記載](注
9)
12.対象期間の受託会社のシステムに関する記述書、受託会社確認書及び受託会社監査人の保証
報告書を含む、当社の発行する報告書のその他の記載内容については、システムに関する記述
書との重要な相違及び明らかな事実の虚偽記載はありません(注7)。
(注1)業務実施者が公認会計士の場合には、以下とする。
以 上
○○○○ 公認会計士事務所
公認会計士 ○○○○ 殿
○○○○ 公認会計士事務所
公認会計士 ○○○○ 殿
(注2)取締役又は執行役のうち、企業の最高経営責任者や受託業務責任者又はこれらの役職名
を使用しない企業の場合には、企業内のその他の同等の者に対して要請することがある。
(注3)記載される名称・内容は、記述書、受託会社確認書、監査人報告書と整合させる。
(注4)経営者が外部の専門家を利用している状況においては、経営者は、経営者が知り得る限り
において確認したという旨の記述を含めることがある。
(注5)経営者からの確認が得られない事項がある場合は、経営者と討議し、確認できない事項に
ついての評価を行い、適切な対応(場合によっては、意見の限定、契約の解除も含む。)
をとらなくてはならない。
(注6)該当がない場合、「本確認書に添付の××××を除き、」を削除する。なお、経営者確認書
に該当事項の一覧を添付する代わりに、経営者確認書に要約を記載するか、又は要約の
一覧を添付することも可能である。
(注7)該当がない場合又は確認する必要がないと判断する場合は、削除する。
- 47 -
保証実 3702
(注8)除外方式でない場合、削除する。
(注9)対象期間の最終日の翌日から保証報告書の日付までの間に発生している事象がなければ、
「以下の事象を除き」及び発生事象の記載を削除する。
《記載例2:受託会社によるタイプ1の経営者確認書》
××年×月×日
〇〇監査法人
代表社員
業務執行社員 公認会計士 ○○○○ 殿(注1)
○○○○株式会社
代表取締役 (署名 )
(若しくは記名押印又は電子署名)
(注2)
本確認書は、××年×月×日(以下「基準日」という。)現在の当社の[受託業務の種類又は名
称]のシステム[又はそのシステムが行う機能の内容](以下「システム」という。)に関する記述
書(以下「記述書」という。)(注3)に対して、米国公認会計士協会の DC セクション 200, 2018
“Description Criteria for a Description of a Service Organization’s System in a SOC
2® Report”に規定されている規準(以下「記述規準」という。)に準拠して記述書並びに米国公
認会計士協会「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバ
シーに係る内部統制の評価のための Trust サービス規準」(Trust Services Criteria for
Security, Availability, Processing Integrity, Confidentiality, and Privacy)のうち、セ
キュリティ、可用性、処理のインテグリティ及び機密保持の規準(注1)(以下「適用される規準」
という。)に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足するとい
う合理的な保証を提供する内部統制のデザインの適切性について報告する業務に際して提出する
ものです。私は、下記のとおりであることを確認します(注4及び注5)。
記
1.上記の業務に関連する当社の受託会社確認書は適正に作成されております。
2.記述書は、基準日においてデザインされ業務に適用されている当社のシステムを、全ての重
要な点において記述規準に基づいて表示しており、並びに当該記述書に記載された適用される
規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足するという
合理的な保証を提供する内部統制のデザインの適切性に関して、受託会社確認書に記載した規
準に照らし、全ての関連する事項を考慮し、評価を行っております。
- 48 -
保証実 3702
3.以下について、本確認書に添付の××××を除き、(注6)貴監査法人に提供いたしました。
(1) 省略を含めた記述書の虚偽表示
(2) 一つ又は複数の委託会社に影響を及ぼす可能性のある未修正の虚偽表示、誤謬に関する事
項
(3) 内部統制が適切にデザインされていない、又は適用されていない事項
(4) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性に影響するような規制当局、委
託会社又はその他の者から報告された事項(基準日の翌日から貴監査法人の保証報告書の日
付までの期間に報告された事項を含む。)
(5) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性並びに受託会社確認書と矛盾す
るようなその他の既知の事実
4.受託会社確認書及び以下について責任があることを承知しております。
(1) 記述書が記述規準に基づいて表示されていること、並びに当該記述書に記載された適用さ
れる規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充足する
という合理的な保証を提供する内部統制のデザインの適切性
(2) 受託会社確認書に記載すべき規準の選定及び当該規準が私たちの目的に適合していること
の判断
5.貴監査法人に以下を提供いたしました。
(1) 受託会社と委託会社の間で締結した業務契約書を含む、記録及び文書など、記述書及び受
託会社確認書に関連すると経営者が考える全ての情報を入手する機会
(2) 貴監査法人から要請のあった合理的保証業務のための追加的な情報
(3) 業務に関連した証拠を入手するために必要であると貴監査法人が判断した当社の役員及び
従業員への制限のない質問や面談の機会
6.委託会社に影響を及ぼす不正又は不正の疑いがある事項に関して、以下の全ての情報を貴監
査法人に提供いたしました。
(1) 経営者による不正又は不正の疑い
(2) 内部統制において重要な役割を担っている従業員による不正又は不正の疑い
(3) 上記以外の者による委託会社に重要な影響を及ぼす可能性がある不正又は不正の疑い
7.従業員、元従業員、委託会社、規制当局又はその他の者から入手した委託会社に影響を及ぼす
不正の申立て又は不正の疑いがある事項に関する全ての情報を貴監査法人に提供いたしました。
8.委託会社に対して、その影響を考慮すべき違法行為又は違法行為の疑いに関して認識してい
る全ての事実を貴監査法人に提示いたしました。
9.業務の範囲に含まれない全ての再受託会社についても貴監査法人に開示いたしました。貴監
査法人の保証業務は、当該再受託会社における内部統制にまで及ぶものではないことを承知し
ております(注7)。
- 49 -
保証実 3702
10.以下の事象を除き、(注8)記述書の基準日の翌日から本確認書の日付までの間で、受託会社
のシステム、記述書が記述規準に基づいて表示されていること、並びに記述書に記載されてい
る適用される規準に基づいて、受託会社のサービスコミットメント及びシステム要求事項を充
足するという合理的な保証を提供する内部統制のデザインの適切性に重要な影響を及ぼす可能
性のある事象は発生しておりません。
[もし基準日の翌日の日付以降に発生している事象があれば事象を具体的に記載](注8)
11.基準日の受託会社のシステムに関する記述書、受託会社確認書及び受託会社監査人の保証報
告書を含む、当社の発行する報告書のその他の記載内容については、システムに関する記述書
との重要な相違及び明らかな事実の虚偽記載はありません(注9)。
(注1)業務実施者が公認会計士の場合には、以下とする。
以 上
○○○○ 公認会計士事務所
公認会計士 ○○○○ 殿
○○○○ 公認会計士事務所
公認会計士 ○○○○ 殿
(注2)取締役又は執行役のうち、企業の最高経営責任者や受託業務責任者、又はこれらの役職名
を使用しない企業の場合には企業内のその他の同等の者に対して要請することがある。
(注3)記載される名称・内容は、記述書、受託会社確認書、監査人報告書と整合させる。
(注4)経営者が外部の専門家を利用している状況においては、経営者は、経営者が知り得る限り
において確認したという旨の記述を含めることがある。
(注5)経営者からの確認が得られない事項がある場合は、経営者と討議し、確認できない事項に
ついての評価を行い、適切な対応(場合によっては、意見の限定、契約の解除も含む。)を
とらなくてはならない。
(注6)該当がない場合、「本確認書に添付の××××を除き、」を削除する。なお、経営者確認書に
該当事項の一覧を添付する代わりに、経営者確認書に要約を記載するか、又は要約の一覧
を添付することも可能である。
(注7)該当がない場合又は確認する必要がないと判断する場合は、削除する。
(注8)除外方式でない場合、削除する。
(注9)基準日の翌日から保証報告書の日付までの間に発生している事象がなければ、「以下の事象
を除き」及び発生事象の記載を削除する。
以 上
- 50 -