委託業務の内部統制(NECが有効性証明サービス)


平成20年7月8日にNECが顧客から受託するIT業務(開発・運用等)に関してJ−SOX対応の内部統制有効性を証明するために「監査基準18号報告書」を提供するサービスを開始すると発表しました。http://www.nec.co.jp/press/ja/0807/0801.html

18号報告書は、受託者が委託者(発注者)に提出する目的で、自社の監査人によって内部統制の整備・運用状況の有効性を監査する基準です。顧客は、NECからこの報告書を受け取って、自社の監査人に当該業務の内部統制評価資料として提示できます。顧客、NEC双方が監査負担を軽減できる仕組です。NECの内部専門家が、FISCやCOBITなどの基準に従って内部監査を行い、それを第三者監査によって18号報告書とするようです。料金には一切触れていないので、無料なのでしょう。金融機関の反応はいま一つなのですが、会計事務所などでは、大分注目されているニュースです。

公認会計士協会によれば、財務諸表の基礎となる取引の承認、実行、計算、集計、記録等の業務を外部委託している会社の財務諸表監査において、当該会社の監査人が業務を受託している会社の当該業務に係わる内部統制リスクを評価するための実務上の指針が、いわゆる監査基準18号報告書ということです。

監査人は、委託業務の内部統制に関して整備状況報告と整備及び運用状況報告を行うこととされています。委託者である金融機関としては、受託者であるベンダーの監査人から内部統制評価報告書を受け取り、自社の監査人に提示して、自社の内部統制全般の評価を受けることになります。ただし、財務諸表の基礎となる取引の会計処理には、承認、実行、計算、集計、記録というプロセスがあり、その内の集計と記録のみを外部委託しており、承認、実行と会計報告責任を委託者が有している場合は、委託者監査人が、受託者の内部統制体制を理解し、評価する必要がないとされています。

銀行の勘定系オンラインを委託したとしても、承認、実行、報告責任は銀行が果たしているので、その旨を証明できれば18号報告は不要のように思えます。

委託者である金融機関は自社監査人に対して、以下のような情報を正確に提出しなくてはなりません。業務委託契約の内容、与える指示や求める報告の程度、受託会社の業務提供能力や財務安定性、ユーザーマニュアルや業務処理マニュアル等による委託業務の内容、受託会社の全般統制および業務処理統制、同様の委託を行っている他社業務との同一性や他の会社数、保有している監査可能なデータ等です。他にも、可能であればとの前提付きですが、受託会社の内部統制報告書や当該業務の内部監査報告書、受託会社が監督官庁に提出する当該業務関連報告書などがあります。一見して複雑多様な報告資料が必要なようですが、金融機関が当然のこととしてすでに入手し、管理している情報ばかりです。J−SOX対応として特別に新たに手当てすべきようなものはありません。

しかし、J−SOX対応としてではなく、ITガバナンスとして考えると話は変わります。ITガバナンスの評価手法としてはCOBITが実質標準となっています。4領域、34のプロセスに関して、0〜5までの6段階で評価します。4領域とは、@計画と組織A開発とインプリメントB供給とサポートCモニターと評価です。一般的に外部依存が強くなるに従って、計画と組織の領域、及び、モニタリングと評価の領域の成熟度が下がります。このことは、ITの戦略的活用と資源の有効活用が劣化していることを意味します。更に悪化して、開発とインプリメントの領域まで劣化すると、大規模なシステム変更や更改が大きく制限されるようになる。最悪のケースでサービス供給とサポートの領域まで劣化すると利用部門や顧客の離反が始まることになります。

外部委託に依存するとしても、企画戦略機能を残せば問題ないとする考えが主流ですが、それで成功した事例を筆者は知りません。実体験抜きの机上IT戦略に実現可能性はないからです。また、取引ベンダー以外からの情報入手機会は激減しますから、戦略立案に必要な情報が入手できません。こうして、戦略立案機能から劣化が始まります。そして、止まりません。

対策は、自社要員に実戦機会を提供しつつ、情報収集体制を強化することしかありません。例えば、預金・決済系と汎用機技術は放棄して、資産運用商品取引系とデータベース技術、ネットワーク技術に集中するなどです。その選択には、経営戦略と技術戦略の重点分野が明確になっていることが前提です。(戦略を考えるなら、情報系のプラットフォームを外部委託しても、商品系を外だしするなどとんでもありません。差別化要素は情報系システムではなく、それから得る情報の活用方法にあります。商品取引系システムでは、商品そのものが差別化対象です。)選択した業務と技術分野におけるITガバナンスを、COBIT4領域のバランスをとりながら強化すべきです。こうして蓄積した経験、ノウハウ、情報は、外部委託している業務分野におけるITガバナンス強化(受託者に対する監督管理)にもつながります。

IT展開の中心に外部委託を据えた場合のガバナンスは、受託業者における業務処理の体制と運用の適切さを確認し、必要な是正処置を講じることができる仕組(人材、規定、組織)により確立できます。決して形式的な会議や報告書で代替できるものではありません。金融マンの常套句である「当社は既にやっている。」などと言わずに、友好他社とCOBITのベンチマーキングを行うことを奨めます。やがて、金融庁か日銀が、調査比較するようになるでしょうが。