外部委託の利用に関する内部統制上の問題点
今日では多くの企業が外部委託を利用しながら会社を運営しています。一般的には、専門的知識やノウハウの利用、コスト削減、リスク移転などを目的として外部委託を利用しています。また、最近ではリソースを内部に抱えることは組織の固定化を招くリスク要因であると考え、必要な機能を必要な時にだけ利用する考え方が浸透し、外部委託を利用する企業はさらに増えています。
外部委託を利用した場合でも、責任主体は変わらず委託元であり、適切な内部統制の構築責任も委託元にあります。J−SOX(「日本版SOX法」とも呼ばれ、財務報告に係る「内部統制報告制度」をいいます。)においても、委託先が評価対象になる可能性があることが基準上明示されていますが、委託先は別組織であるため、委託元側で内部統制を構築・評価することに制約が多いのが実情です。
外部委託の内部統制上の問題点
企業は、上位に経営理念をおき、その下にガバナンス、組織構造、歴史、慣習、など企業全体に広く影響を及ぼす「全社的な内部統制」を構築しています。企業内の全ての内部統制は、この全社的な統制の影響を受けています。
しかし、外部委託した業務の内部統制に関しては、この全社的な内部統制の影響は及ばず、予期せぬ問題が発生する場合があります。
外部委託を利用した場合のリスクには以下のようなものがあります。
・委託先の契約違反(納期遅れ、品質低下)
・委託先コストの固定化(コストのブラックボックス化、言いなり)
・委託先の不祥事(不正、情報漏えい、安全不注意)
・委託先への営業秘密、ノウハウの流出
・不適切な委託先の選定
・ITに関する規程、手順書等(開発、運用、保守規程)
・委託元でのノウハウの空洞化
・委託先の事業継続(倒産、買収、事業譲渡)
外部委託利用時の留意点
外部委託のリスクを軽減するためには以下の点について留意する必要があります。
- 委託先の選定
委託先を選定する際には、業務レベルの低下を防止するため及びリスク認識のため、あらかじめ選定基準を設けておくことが重要です。委託先の情報セキュリティ、業務能力、不祥事・事故履歴、財務状況などを選定基準とし、比較検討して選定します。
- 契約条件
外部委託が開始すると、基本的には委託先のコントロールは契約でしか出来ないため、事前の契約条件の検討が重要です。自動更新の要否、更新期間、再委託の条件、委託業務の報告、サービスレベルの保証、情報セキュリティ、責任分担、監査権限などを契約条件に組み込む必要があります。
- 委託先の評価
外部委託の業務内容等については定期的にその成果を評価することが重要です。これは委託先の費用対効果の測定や緊張感の維持、ノウハウの蓄積、委託先の継続可否の検討などの機会として有用であるためです。一般的に評価タイミングは最低1年とすることが多いようです。
外部委託の内部統制の評価
委託業務が委託元の重要な業務プロセスの一部を構成している場合、J-SOXでは委託先の委託業務に関する内部統制の有効性を評価することになります。
基準では、評価方法として①サンプリングによる検証、②委託先の評価結果の利用の2つの方法を示しています。実務的には、まずは②委託先の評価結果の利用を求めますが、委託先側の対応が困難な場合は、①サンプリングによる検証を行うケースも多いです。
- サンプリングによる検証
サンプリングによる検証は、委託先からのレポートと基礎データを入手し、部分的な検証を行う方法です。この方法は委託元で検証を行うため、委託元側としては直接的で安心感はあります。しかし、あくまで部分的な検証となるため全体的な評価には繋がりにくいという問題が残ります。
- 委託先の評価結果の利用
委託先の評価結果の利用は、委託先側で自社の内部統制を評価し、その内部統制報告書から委託元が評価する方法です。この方法はサンプリングによる検証とは異なり直接的な確認は出来ませんが、評価対象が明示されており全体的な評価が可能です。なお、委託先側の評価は外部の第三者に依頼することもあり、この場合は直接的な確認に近くなります。
委託先側の内部統制報告書(第三者が実施した場合には保証報告書)には、以下2つのパターンがあります。
・パターン1 – 内部統制の整備
・パターン2 – 内部統制の整備と運用
パターン1は、その時点の整備状況のみ、パターン2は、期間を通じた運用状況まで確認します。外部委託先の評価の場合は、パターン2を求めることが多くなります。また、利用する際には対象期間及び対象範囲が整合しているかについて確認することが重要です。
なお、受託業務の保証に関しては以下の基準が公表されており、ISAE3402を基本として、米国、日本ともに同様の内容を基準としています。
・国際会計士連盟:国際監査保証基準/ISAE3402
・米国公認会計士協会:米国監査保証基準/SSAE18
・日本公認会計士協会:監査・保証実務委員会実務指針第86号「受託業務に係る内部統制の保証報告書」