外部委託業務の内部統制
受注業務や請求業務、支払い業務など、財務情報に重要な影響がある業務を外部業者に委託するケースが増えてきています。このような外部委託業務の内部統制はどのように評価すればよいのでしょうか?
「財務報告に係る内部統制の評価と監査の基準案」の「II.2 財務報告に係る内部統制の評価とその範囲」の注記に「外部に委託した業務の内部統制については評価範囲に含める」とあります。外部に委託している業務といえども、内部統制の評価は行わなければならないのです。これに関しては、まだ具体的な方法が示されてはいませんので、米国の例を見てみましょう。
米国では企業改革法の施行に伴い、SAS70が脚光を浴びています。SAS70とは、米国公認会計士協会(AICPA)の監査基準委員会(Auditing Standards Board)によって定められている監査基準書(Statements)の第70号、すなわちStatement of Auditing Standards No.70のことで、タイトルは"Service Organizations"となっています。
外部監査人は、財務諸表監査を行うに当たっては、企業の内部統制の整備状況と運用状況を評価して、その信頼性の程度に応じて適切な監査手続きを取ることになっています。しかしながら、外部業務受託企業に対しては、委託企業の外部監査人は監査を行うことができないため、その場合の監査手続きを定めたものがSAS70というわけです。この監査基準は、外部監査人のための基準であり、企業改革法以前から存在していたものですが、企業改革法において、経営者が内部統制の評価を行うに当たって、外部に委託している業務については、SAS70に従って内部統制の評価を行うことになりました。
日本でもSAS70とほぼ同等の内容を規定した、日本公認会計士協会 監査基準委員会報告書第18号「委託業務に係る内部統制の有効性の評価」があります。この基準は2000年3月22日に公表されたもので、日本版企業改革法のための基準ではありません。しかし企業改革法対応上、外部委託業務に関しては、米国同様に「委員会報告18号」に従って、経営者が外部委託業務の内部統制の評価を行うことになることが予想されます。
これによると、外部委託業務に関する内部統制の評価はおおむね以下のようになると思われます。
(1)委託している業務が財務報告にかかわる内部統制にとって重要なものであるか否かを判断する。
(2)(1)で重要な業務であると判断された場合、受託企業対して、委託業務に関する内部統制の文書化を企業グループ内と同様に実施する。
(3)(2)が困難である場合、受託企業に対して委託業務に関する内部統制について、委託企業の外部監査人などによる監査の実施ならびに内部統制検証報告書の提出を要請する。
今後、重要な財務情報を取り扱う業務を外部受託企業に委託する場合、当該企業が上記(2)または(3)を受け入れ可能か否かが、委託先選定の一つの評価指標となるでしょう。業務委託契約書に当該条項を明記することは言うまでもありません。
一方、業務受託企業にとっては、自らが企業改革法に対応しなくてもよい企業の場合であっても、企業改革法に対応しなければならない企業の業務を受託しようとする場合には、業務処理統制、IT(情報技術)業務処理統制、IT全般統制など、受託業務に関する内部統制を整備し、その整備状況を示す文書と、それが有効に機能していることを検証する文書を作成することが必要となってきます。
図1. 財務情報に係る内部統制の評価および監査における外部委託業務の取り扱い