IFRS導入を控えて上場企業が負う財務報告に関する説明責任が増すなか、内部統制を構築・維持していく責任も、引き続き大きいものになるでしょう。今回「アウトソーシング業務に関する内部統制」について取り上げます。マイナーな論点と思われがちですが、ほとんどの企業は自社の業務の一部をアウトソースしており、今後の内部統制のあり方を考える上で、避けて通れないのではないでしょうか。
まずは、「委託企業」と「受託企業」、それぞれの視点からアウトソーシングと内部統制について考えます。そして、アウトソーシング業務(委託業務)の内部統制におけるSAS70(18号)報告書の役割を確認し、新基準(ISAE3402・SSAE16)導入が予定されていること紹介します。
委託企業から見たアウトソーシング業務の内部統制
上場している委託企業は、J-SOXに基づく内部統制報告が一巡して、ほっとされているところかと思います。特に、導入初年度には、財務報告に係る内部統制の文書化、キーコントロールの選定、運用テストの実施、評価、不備の改善など、膨大な作業に追われたことでしょう。このため、近視眼的に社内に整備されている内部統制を優先した結果、大詰めの段階で社外にアウトソースしている業務(委託業務)のコントロールが十分でないことに気づき、慌てて取り組んだこともあったかもしれません。
コア業務に経営資源を集中させるため、資産運用、システムの開発・保守・運用その他の機能を外部に委託するケースが多くなり、現在では、財務報告プロセスやこれを支えるインフラの全てを社内に備えている企業はまれです。しかしながら、J-SOXの下では、企業は財務報告に係るすべての重要な内部統制を評価する責任を負います。したがって、外部に委託していることを理由に、受託業務に係るコントロールを評価の対象から除外できません。したがって、委託企業は受託企業(アウトソーシング・サービス事業者)に赴いて、社内の内部統制を評価するのと同様に、受託企業が整備・運用しているコントロールを評価することが求められます。
しかし、現実に実行するのは難しいかもしれません。事前に契約などで合意していない限り、情報セキュリティやコストの問題から、委託企業が受託企業のコントロールを直接評価することに難色を示されることもあるからです。
この場合、委託企業には2つの選択肢があると考えられます。
A 委託業務に係る必要な内部統制を、委託企業内部で整備・運用・評価する。
B 外部監査人の保証が付いた、委託業務の『内部統制評価報告書(SAS70・18号報告書)』を入手して、受託企業の内部統制の整備・運用状況を把握する。
Aでは、委託企業の業務部署と評価担当部署が、内部統制の整備・運用と評価のコストを負担することになります。また、単純な業務のアウトソースであれば比較的コストをかけずに整備できるかもしれませんが、複合的な業務を委託している場合には難しいでしょう。
Bでは、SAS70(18号)報告書に、整備・運用に関する十分な情報が含まれていることが確認できれば、委託企業の関係者の負担は軽減できるはずです。特に、SAS70(18号)報告書のうちType2報告書(後述)には、外部監査人による運用テストの結果も含まれているので、委託企業の評価担当者の負担は大きく軽減されるでしょう。
受託企業から見たアウトソーシング業務の内部統制
次に、受託企業の立場で考えてみましょう。 受託企業は、多くの委託企業(クライアント)から業務を受託し、大規模化による効率的な運用を通して、委託企業が内製した場合よりも割安なサービスを提供しています。また、効率追求の結果として、提供サービスやそこに組み込まれた内部統制の標準化も進んでいると考えられます。こうした状況では、委託企業から内部統制評価への協力を求められたとき、自発的にSAS70報告書を提出するほうが有利です。委託企業の数が多いと、情報提供の依頼にいちいち個別に対応するのが面倒になる一方、SAS70号報告書を一斉に配布できれば、一企業あたりの対応コストを下げられるからです。
また、SAS70報告書は、委託企業の内部統制評価コストを低減させることに加えて、外部監査人が記述書にある内部統制について保証されているというアピール効果もあると考えられます。このため、委託企業にとって、SAS70報告書つきのアウトソーシング・サービスは、SAS70を取得してない同種のサービスよりも魅力的に写るでしょう。さらに状況が進めば、SAS70報告書がアウトソーシング・サービス提供の必要条件となるケースも出てくるのではないでしょうか。実際、クラウド・コンピューティングの進展によりサービス範囲を拡大しているデータセンターや、信託財産に関する投資意思決定・資産保管・取引記録などのサービスを提供する信託銀行では、SAS70(18号)の取得がスタンダードになりつつあります。
SAS70(18号)とは何か?
ここまで頻繁に登場したSAS70(18号)について、あらためて説明しましょう。 SAS70とは、米国公認会計士協会が発行したStatement on Auditing Standards No.70 Service Organizations(米国監査基準書第70号 サービス組織)の略称です。この基準書には、受託企業の内部統制記述書に対する外部監査人の保証業務に関するガイダンスが含まれています。SAS70というと、通常、この基準そのものを指すのですが、SAS70に基づく保証業務全般を指すこともあります。また、SAS70は、財務諸表そのものに対する意見表明ではない点で「監査」ではなく「保証業務」なのですが、外部監査人が意見表明する点では「監査」と似ているので、SAS70による保証業務を「SAS70監査」と呼ぶ場合もあります。
一般に「SAS70報告書」とは、受託企業が作成した委託業務の内部統制に関する記述書と、外部監査人の意見表明をセットにした報告書です。この報告書で、外部監査人は、記述書が適切に記載されていること
■内部統制は、統制目的を達成するように適切に設計されていること
■ある時点で、記述書に記載されている内部統制が実際に業務に適用されていること
について合理的な保証を得るために実施した手続きの結果を報告します。
また、SAS70報告書にはType1とType2の2種類があります。Type1報告書の内容は上記のとおりですが、Type2報告書では、特定期間の内部統制の運用状況をテストした結果も報告します。内部統制評価には運用状況に関する情報も必要ですから、Type2報告書の方が、委託企業には有難いものになります。このため、現在SAS70(18号)を取得している会社の多くはType2報告書を提出しています。
SAS70と並べられることの多い「18号」についても説明しておきましょう。18号とは、日本公認会計士協会が発行している監査基準委員会報告第18号「委託業務に係る統制リスクの評価」の略称で、カバーする範囲がSAS70とほぼ同一であることから、「日本版SAS70」とも呼ばれています。基本的な内容もSAS70と同じです。
ご想像のとおり、委託業務の内部統制保証は、まず米国で定着したのち、日本に輸入されたものです。このため、日本国内で最も初期に内部統制保証に取り組んだ受託企業は、SAS70報告書を米国上場クライアントに提出していました。また、米国ではSAS70の普及を意図してか、SAS本文の他に、業種別の記述書のサンプルを含む150ページ超の詳細なガイド(AICPA Audit Guide)を用意していました。日本では、18号本文はあっても、このAudit Guideに相当する文書は現在までリリースされていません。このため、実務上の詳細な部分については、先行するSAS70監査を参考にしていたと思われます。
現在、日本国内で18号と並んでSAS70による保証取得が頻繁に見られますが、クライアントが米国上場企業であるということの他に、こうした事情も背景にあるようです。
SAS70・18号から新基準(ISAE3402・SSAE16)へ
主要経済国のIFRS採用で、世界的な会計基準の統一が進められていますが、監査・保証の分野でも国際基準をベースに収れんが進んでいることはご存知でしょうか。今回紹介したSAS70・18号もその例外ではありません。
国際監査・保証基準審議会(IAASB)は、2009年9月にISAE3402「第三者のサービス受託会社の統制活動に関する保証報告」(*1)を承認しました。これを受けて、米国では、SAS70に代わる基準として、2010年4月にSSAE16 Reporting on Controls at a Service Organization(*2)を発行しており、その内容は、ISAE3402とほぼ同じです。適用時期は、ISAE3402とSSAE16ともに2011年6月15日以降終了する期間に係る報告書からとなっていますが、早期適用も認められています。
日本でも、適用時期は未確定ですが、日本公認会計士協会がISAE3402に相当する新基準(監査基準委員会報告)のリリースを予定しています。
したがって、現在SAS70・18号を取得している企業や、これから取得を予定している企業は、新基準の変更点を押さえて、早期に対応することが求められるでしょう。また、今後、ISAE3402・SSAE16・新委員会報告(日本)のうち、どの基準に準拠して保証を取得するか検討するケースがあるかもしれません。実質的な違いはない、との考え方もありますが、詳細なガイダンスがある基準を選好というケースも考えられます。これに関して、米国公認会計士協会が今後リリースを予定しているSSAE16のAudit Guideには、注目しておきたいところです。
(*1)ISAEとは、International Standards on Assurance Engagements(国際保証業務基準)のことです。
(*2)SSAEとは、米国公認会計士協会(AICPA)が発行するStatement on Standards for Attestation Engagement(保証業務基準書)のことです。
Contact Usお問い合わせ先
担当部署
株式会社帝国データバンク プロダクトデザイン部官公庁ソリューション課 TEL:03-5775-3161