◆SH1050◆金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析(10) 木嶋謙吾(2017/03/07)

金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析

第10回 Report on Cybersecurity Practices  FINRA(4)
―—ベンダー・マネージメント(2) SSAE16/SOC1レポートの利用

株式会社FOLIO フィンテックコンプライアンスアドバイザー

木 嶋 謙 吾

 

FINRAが監査証明書の利用を中小金融機関に奨励する理由

 契約でベンダーに対する検査権が認められていても実際にオン・プレミスで効果的なオフサイトモニタリングが実行できるかは、当該金融機関のリソースによるところが大きい。FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)はCyber Security Small Firm Check Listの中で、中小金融機関がベンダー・デューデリジェンスやオンサイト・モニタリングを実行する際にSSAE16/SOC1レポートと呼ばれる監査証明書を代替手段として活用することを推奨している。

 

SSAE16/SOC1レポートとは

 SOC(Service Organization Control)レポートはAmerican Institute of Certified Public Accountants(以下「AICPA」という)によって採用されている。SOCレポートは米国だけでなく我が国を含む多くの国で利用が可能な国際的に認知された監査証明書である。監査法人や公認会計士が独立した第三者の立場から客観的に検証した結果を記載した監査証明書で委託元金融機関がベンダーに業務を委託する場合に、ベンダーの内部統制の有効性について確認ができる。AICPAはSOCレポートをSOC1(SSAE 16)、SOC2、SOC3の3つに分類している。2011年6月15日にSOCレポートの体系が整備される前は、旧SAS70(現行のSSAE16/SOC1レポートに相当)が存在したが、SAS70レポートが本来の利用目的である「財務報告の信頼性」とは別目的で利用されるケースが増えた[1]ことをきっかけとして、本来のSAS70の目的に内部統制の概念(Internal Controls over Financial Reporting)を強化したSSAE16/SOC1レポートに世代交代された。委託元金融機関の財務諸表を監査する監査法人が、SSAE16に基づくSOC1レポートのユーザーで、監査法人は、企業の財務諸表に影響する情報が受託会社にないかをアサーションする証拠としてこのSOC1を使用する。

続きはこちらから

バックナンバーはこちらから

 

(きじま・けんご)

1989年中央大学法学部卒、1993年デュークロースクールLL.M卒。
ゴールドマン・サックス証券株式コンプライアンス部長、リーマン・ブラザーズ証券取締役、同グループ、アジア・オセアニア地域コンプライアンス統括責任者を経て、その後もみずほ証券国際コンプライアンス室長、シティグループ証券執行役コンプライアンス本部長、Citi Global Market Incテクノロジー&オペレーションコンプライアンス北米統括責任者兼同グループ新商品開発ステアリングコミッティ・シニアコンプライアンスアドバイザーを歴任する。ニューヨーク在住。

 



メールで情報をお届けします
(毎週火曜日・金曜日)

サイト内検索

TMI総合法律事務所
森・濱田松本法律事務所
長島・大野・常松法律事務所
長島・大野・常松法律事務所
slider_image1
slider_image2