あらたAM ニュース業務を委託している企業の監査/モニタリング上の留意点～内部統制レポートの利用～ 2012 年２月はじめに社内業務の外部へのアウトソースの動きは今後ますます加速される傾向にあります。決算・財務報告の業務の一部または全部をアウトソースする場合には、業務を受託する会社（受託会社）は、SAS70 レポート、あるいは、新しい規準に基づく SSAE16 レポートという手段で、アウトソース元の会社（委託会社）に対して内部統制の状況を報告することで受託者責任をアピールすることが出来るでしょう。委託会社は、委託会社自身の内部統制と併せて受託会社の内部統制も確認することにより、アウトソース業務のモニタリングも含めた全体としての内部統制の整備運用を確認することが可能となります。すなわち、業務のアウトソースにより内部統制も受託会社に委ねることになるので、受託会社の内部統制のデザインがどのようになっているのか、委託会社自身の内部統制との関連はどうなっているのかを把握し、そのうえで、内部統制が予定どおり運用されているかどうかを確認していくこととなります。委託会社は、財務報告活動の内部統制の状況についてアウトソースする部分も含めて、会計期間を通じて適切であるかどうか確認していくことが必要となります。外部監査が義務付けられている上場企業では、委託会社の監査人としても、アウトソースした重要な委託業務の内部統制について検討していくことになります。委託会社が金融機関の場合は、金融検査マニュアルにおいて、外部委託会社に対するモニタリング手続を実施していくことが求められています。また監査の立場からは、委託会社の監査人に対する監査基準があります。米国基準は、2010 年３月に改正版1が公表され、日本基準も同様に、2011 年５月に公開草案が、同年 12 月にその最終報告2が出されたところです。米国基準も日本基準も改正作業にあたっては、国際監査基準3を基礎としているため、その内容に大きな差異はありません。これらの監査基準で挙げられている留意点は、委託会社のモニタリング手続にも参考になるものと思われます。業務を委託している企業の監査上の留意点業務を委託している会社（委託会社）の監査にあたっては、まず委託会社がその事業運営にあたって、受託会社の業務をどのように利用しているのか理解しなければなりません。そのため、委託会社と受託会社との間の契約書や業務内容合意書（サービス・レベル・アグリーメント：SLA）を確認しておく必要があります。とりわけ SLA には、業務についての取決めや、取引記録の様式や記録へのアクセスなどについての合意事項が記載されていることが通常であり、さらに、受託会社が内部統制レポートを提供するかどうかについて記載されることもあります。以下に、新しい日本の監査基準での留意点を確認していきたいと思います。１．受託会社が提供する業務及び内部統制の理解委託会社監査人は、内部統制レポートの入手を通じて、受託された業務にかかわる内部統制を理解することが求められます。内部統制レポートの入手が出来なければ、委託会社を通じて、受託会社から必要な情報を入手することが必要となります。 Statement on Auditing Standards ” Audit Considerations Relating to an Entity Using a Service Organization” 監査基準委員会報告書第 402 号「業務を委託している企業の監査上の考慮事項」 3 International Audit Standard 402 “Audit Considerations Relating to an Entity Using a Service Organization” 1 2 また、受託会社が受託業務の一部をほかの会社に再委託するような場合もありますが、委託会社の内部統制に対して、受託会社と再受託会社の内部統制の重要性を検討していくこととなります。内部統制レポートを利用する際には、レポートの基準日、対象期間を確認します。内部統制レポートの対象期間末日が会計期間末日よりも前である場合には、現状に関する文書を送付して回答を検討するなどの作業が必要になるでしょう。また、レポートに記載されている委託会社に対する考慮事項（内部統制レポートにおいて委託会社が整備していることを想定している内部統制：委託会社の相補的な内部統制）の内容についても確認すること、が求められています。委託会社のモニタリング手続としても、まず、受託会社に一定の内部統制が整備されていることを確認し、そして年に１回は再確認していく必要があるでしょう。２．評価した重要な虚偽表示のリスクへの対応 -運用評価手続監査では、財務報告上のリスク評価とその対応が求められています。委託会社の監査ではそのためのテストを委託会社において実施できるのか、それとも、受託会社のアレンジが必要になるのかを検討していくことが必要となってきます。受託会社でのテストの方法としては、委託会社の監査人が受託会社へ出向いて往査することも考えられますが、受託会社のほうで受託会社監査人を選任して対応することや、さらに追加的な手続を、委託会社と委託会社監査人および受託会社と受託会社監査人とで合意して対応していくことが考えられます。運用評価手続として、タイプ２のレポートを利用する場合には、タイプ２の対象期間とその後の経過期間が問題となります。経過期間の長さについての具体的な規定はありませんが、経過期間において発生した重要な内部統制の変更点の把握などの、追加手続が必要となる、とされています（米国基準のガイドラインでは、少なくとも６ヵ月以上は、委託会社の対象とする会計期間とタイプ２の対象期間とが重なることが必要であるとされています）。委託会社のモニタリング手続としても、受託会社の内部統制の運用状況の確認が必要になることはいうまでもないでしょうが、確認方法としてどこまで必要となるでしょうか。外部監査を導入する、委託会社の監査・検査を受ける、受託会社の内部監査・内部検査を行って結果報告を求める、定期的に一定の重要事項についての報告を求める、などが考えられますが、業務の重要性、リスクの程度によって、確認レベルを検討する必要があると思われます。財務報告以外の内部統制のモニタリング手続アウトソースした業務のうち、財務報告目的の内部統制については、SAS70(SSAE16)レポートの利用が有用であり、実務のうえでも広がりがあります。しかし、アウトソースの範囲が拡大していく中で、情報セキュリティや法令遵守などに関する内部統制に対するモニタリング手続の確立も急務となってまいります。米国では、財務報告目的以外の内部統制に対しては SAS70(SSAE16)とは別の保証業務の基準が示されており4、今後の実務での利用が検討されていくことになると思われます。本冊子は概略的な内容を紹介する目的で作成されたもので、プロフェッショナルとしてのアドバイスは含まれていません。個別にプロフェッショナルからのアドバイスを受けることなく、本冊子の情報を基に判断し行動されないようお願いします。本冊子に含まれる情報は正確性または完全性を、（明示的にも暗示的にも）表明あるいは保証するものではありません。また、本冊子に含まれる情報に基づき、意思決定し何らかの行動を起こされたり、起こされなかったことによって発生した結果について、あらた監査法人、およびメンバーファーム、職員、代理人は、法律によって認められる範囲においていかなる賠償責任、責任、義務も負いません。 © 2012 PricewaterhouseCoopers Aarata. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Aarata, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entc 2011 PricewaterhouseCoopers Aarata. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Aarata, which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. 米国会計士協会（AICPA）による“AT section 101, Attestation Engagements”や“AT section 601, Compliance Attestation” が、財務報告目的以外の内部統制の保証業務フレームワークとして提示されています。 4 PwC Page 2 of 2