JSOX（財務内部統制）に資するIT統制　〜ITアウトソーシング（外部委託）の取り扱い〜

　JSOXでは外部委託に関する監査も必要となる。これは明白である。ところが、ITをアウトソースしている企業では、この点に関して認識が甘いところが多い。IT部門を有し、IT資産も所有している企業であれば、JSOXにおけるIT統制、特にIT全般統制を評価・監査しなければならないことは、ほとんどのJSOX関係者が認識している。このIT部門を子会社化している企業でも同様である。ところが、IT部門とIT資産を外部に売却した企業や、最初からIT部門を持たずにIT関連機能を外部委託している企業では、IT全般統制が必要であることが理解されていないようである。

　当然のことながら、ITを外部委託している場合でも、IT統制は必要である。IT業務処理統制に関してはマニュアル業務処理統制との関連で、IT機能を内部に有しない企業でも対応せざるを得なくなるはずであるが、IT全般統制に関しては、うっかりすると、手つかずのまま取り残すことになりかねない。

　業務を外部委託している場合の財務内部統制監査には２つの方法がある。ひとつは、その業務の内部統制の状況に関して、受託企業側で内部統制の監査を行った結果を利用する方法である。俗に18号監査等と称されている。これは米国のSAS70に相当する位置づけと言える（詳細は、公認会計士協会が発行している「監査基準委員会報告書第18号（中間報告）「委託業務に係る内部統制の有効性の評価」の改正について」を参照していただきたい）。もうひとつの方法は、委託企業の内部組織と同様に、委託企業の指示に従い、委託企業からの評価・監査をうけるという方法である。

　ITアウトソーサの場合、18号監査を実施している企業はそれほど多くない。たしかに、18号監査は、年金運用や給与計算などを複数の企業から受託している企業であれば、個々の企業からの個別の監査対応を避ける意味で適切な方法といえる。だが、１、２社からITアウトソーシングを受託している企業の場合には、自ら18号監査を実施するよりも、顧客企業から監査を受けるほうがコスト的にも時間的にもメリットがあるかもしれない。もっとも、実際には、ITアウトソーサが18号監査を知らなかったり、必要がなかったために実施しなかっただけの場合が多いのだが。

　いずれにせよ、ITをアウトソースしている企業は、IT全般統制への対応を忘れずに実行すべきである。また、ITアウトソーサは、当然のことながら、受託ITに関する内部統制監査への準備をすべきであると同時に、委託先に早期の対応を促すべきであろう。