内部統制は経営者を含めた組織内の全ての従業員を対象として実施するため、委託先に内部統制の効果が発揮されません。
外部委託を利用する場合には、契約する前に委託先を選定し、委託先を継続してモニタリングすることが重要です。
本記事では、内部統制の視点から見た外部委託の問題点について解説します。
1. 外部委託とは
外部委託とは、外部の事業者へ自社の業務を委託することです。外注、アウトソーシングと呼ばれることもあります。
業務委託も外部委託と同じ意味で使用されるケースが多いですが、業務委託は委託側と受託側の両方が使用する用語であり、外部委託は委託側だけが使用する用語です。
委託する業務の内容や範囲に関わらず、外部の事業者へ自社の業務を委託する場合は外部委託に該当します。ただし、自社の業務プロセスを一括して委託する場合には、通常の外部委託と区別するためにBPO(ビジネス・プロセス・アウトソーシング)と表現することもあります。
2. 内部統制とは
内部統制とは、「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つが達成されている保証を得ることを目的として実施するプロセスです。
「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング(監視活動)」、「IT(情報技術)への対応」の6つのプロセスを業務に組み込むことで内部統制を実施します。
3. 内部統制の視点から見た外部委託の問題点
内部統制を実施するのは経営者を含めた組織内の全ての従業員であり、内部統制を実施する対象は経営者を含めた組織内の全ての従業員ですが、弁護士や税理士など自社と関わりがある外部の関係者や自社の業務を委託する委託先・取引先などは、内部統制の対象ではありません。
自社の業務を外部へ委託する場合には、自社の内部統制と同じ基準の統制をどうやって委託先に適用させるかが重要となるわけです。
自社の業務を外部へ委託する場合、以下のような内部統制上の問題が発生します。
- 機密情報や個人情報の漏えいに対する対策を直接実施できない
- 業務の有効性・効率性が担保されない
それぞれの問題点について詳しく解説します。
■機密情報や個人情報の漏えいに対する対策を直接実施できない
内部統制の視点から見た外部委託の1つ目の問題点は、機密情報や個人情報の漏えいに対する対策を直接実施できないことです。
内部統制を実施することで、自社従業員による機密情報や個人情報の漏えいを防ぐことはできます。しかし、外部委託においては委託先の従業員の行動を常に監視できるわけではなく、機密情報や個人情報の管理方法に対して直接指導することはできないため、委託先を起因とする情報漏えいが発生する恐れがあります。
■業務の有効性・効率性が担保されない
内部統制の視点から見た外部委託の2つ目の問題点は、業務の有効性・効率性が担保されないことです。
自社の業務の一部だけを委託する場合、委託する業務が効果的な業務なのか、業務を委託することが効率的なのかを自社で判断したうえで業務を委託することができます。
一方、BPOのように業務プロセスを一括して委託する場合、委託先が行う業務が効果的なのか、効率良く実施しているのかを具体的に判断するのは困難です。
委託先が成果が見込めない業務や不要な業務を繰り返し、費用対効果が低下していることに委託元が気付かないことも考えられます。
4. 外部委託による内部統制上のリスクを軽減する方法
外部委託による内部統制上のリスクを軽減する方法は以下の3つです。
- 契約する前に委託先を選定する
- 委託先の内部統制の有効性を評価する
- 委託先を継続してモニタリングする
それぞれの方法について詳しく解説します。
■契約する前に委託先を選定する
外部委託による内部統制上のリスクを軽減する1つ目の方法は、契約する前に委託先を選定することです。
内部統制の観点から委託先を選定する場合には、委託先がどのような経営理念で業務を行うのか、社内でコンプライアンスへの取り組みを行っているか、十分なセキュリティ対策を実施しているかなどをチェックする必要があります。
また、委託する業務ごとに選定基準を設け、委託先が自社の基準を満たしているかを調査することも重要です。選定基準を設けずに委託先を選定すると、選定作業に時間がかかったり、選定する担当者ごとに差が生じたりする恐れがあります。
委託先の主な選定基準
- 依頼する業務に関する十分な実績があるか
- 信用できる相手なのか
- 依頼する業務に関する知見や経験が豊富な人材がいるか
- 依頼する業務に対応できる規模なのか
- 高い費用対効果が期待できるか
- セキュリティ対策を実施しているか
- 必要な認証を取得しているか
- 十分なコミュニケーションが取れるか
- コンプライアンスに対する意識は十分か
【関連記事】
■委託先の内部統制の有効性を評価する
外部委託による内部統制上のリスクを軽減する2つ目の方法は、委託先の内部統制の有効性を評価することです。
委託先の内部統制の状況は、委託先から内部統制報告書を提出してもらったり、SAS70や監査基準18号報告書などの独立監査人の報告書を取得したりすることで確認できます。
内部統制報告書では委託先の内部統制の状況を実際に確認できるわけではありませんが、金融庁が交付しているひな形に沿って作成されており、内部統制報告書の提出は全ての上場企業に義務付けられていることから、委託先の内部統制の有効性を評価することが可能です。
独立監査人の報告書を取得できない場合には、委託元の監査人が委託先に監査に出向き、委託する業務に関する内部統制状況を確かめることで委託先の内部統制の有効性を評価します。
■委託先を継続してモニタリングする
外部委託による内部統制上のリスクを軽減する3つ目の方法は、委託先を継続してモニタリングすることです。
委託先企業が買収されて経営者が変わった場合、経営理念や業務方針が変わる場合があります。委託先企業が業務効率化や業務改革を実施すれば、業務の進め方や優先順位が変わることもあるでしょう。年に1回アンケートに回答してもらう、チェックシートに記載してもらうといった方法で、継続して委託先をモニタリングすることが重要です。
弊社が提供するリスクマネジメントツール「VendorTrustLink(ベンダートラストリンク)」では、取引先に回答してもらうアンケートの作成・送信ができる「チェックシート作成・送信」機能が利用できます。
チェックシートは選択式、自由記述や、必須回答項目、配点などを自由にカスタマイズして設計できます。
作成したチェックシートは複数の委託先に自動で一斉送信ができます。
【参考】
VendorTrustLink(ベンダートラストリンク)の機能
5. まとめ
今回は、内部統制の視点から見た外部委託の問題点について解説しました。
近年の外部委託では企業が委託する業務の幅が広がっており、外部委託の形態も多様化しています。委託する業務の幅が広がるにつれて委託先で発生するリスクが自社に大きく影響するため、委託元が委託先を管理する重要性が増加するわけです。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
