SSAE 16

この記事は技術的すぎるため、ほとんどの読者には理解しにくいかもしれません。技術的な詳細を削除せずに、専門家以外の方にも理解しやすいように改善していただけると幸いです。（2017年10月）（このメッセージを削除する方法とタイミングについてはこちらをご覧ください）

証明業務基準書第16号（SSAE 16）は、米国公認会計士協会（AICPA）監査基準審議会が作成したサービス組織向けの監査基準であり、監査基準書第70号（SAS 70）に取って代わり、 SSAE第18号に取って代わられました。^{[ 1 ]}

SAS 70の「サービス監査人の検査」は、システムおよび組織統制（SOC）レポートに置き換えられました。^{[ 2 ]} SSAE 16は2010年4月に発行され、2011年6月に発効しました。SAS 70に従っていた多くの組織が、現在ではSSAE 16に移行しています。一部のサービス組織は、SSAE 16レポートのステータスを使用して、より有能であることを示し、また、潜在的なエンドユーザーに対して、SSAE 16を取得することを新しいベンダー選択基準の標準的な一部にするよう奨励しています。

SSAE 16は、国際保証業務基準（ISAE）3402に準拠しています。^{[ 3 ]}同様に、SSAE 16には2種類のレポートがあります。SOC 1タイプ1レポートは、特定の日における組織の統制状況の独立したスナップショットです。SOC 1タイプ2レポートは、履歴要素を追加し、統制が時間の経過とともにどのように管理されてきたかを示します。SSAE 16規格では、 SOC 1タイプ2レポートを作成するために、少なくとも6か月間の統制運用期間が求められています。

米国の公開企業は、サーベンス・オクスリー法（SOX法）として知られる「公開会社会計改革および投資家保護法」の対象となります。しかし、この法律には、非公開企業にも適用される条項がいくつか存在します（連邦捜査を妨害するための証拠の故意の隠蔽など）。SSAE 16の報告は、サービス組織がサーベンス・オクスリー法（第404条）の要件を遵守し、財務報告に関する有効な内部統制を示すのに役立ちます。また、データセンターや財務報告の提供に利用される可能性のあるその他のサービスにも適用できます。^{[ 4 ]}

財務報告に係る内部統制に特化していない報告書については、米国公認会計士協会（AICPA）がATセクション101に基づく解釈指針を発行し、サービス監査人が報告書を発行することを認めています。これらの報告書は今後SOC 2監査とみなされ、サービス組織におけるセキュリティ、可用性、処理の完全性、機密性、またはプライバシーに関連する統制に焦点を当てます。^{[ 5 ]} SSAE 16は、特定の統制セットを義務付けるのではなく、監査方法に関するガイダンスを提供します。この点において、 ISO 27001:2013 に類似しています。

テクノロジー系SaaS企業では、セキュリティ、可用性、処理の整合性など、ソフトウェアのさまざまな側面に関する保証を提供するためにSOC 2監査を購入しています。^{[ 6 ]}

現代のSaaS組織では、コンプライアンス自動化プラットフォームを使用して、これらのコントロールを継続的に監視することで「監査準備」を維持することがよくあります。^{[ 7 ]}