野村総合研究所(NRI)は11月1日、「『監査基準委員会報告書第18号(監査基準18号)』に基づいた監査報告書を作成する体制を整えた」と発表した。監査基準18号は、外部委託業務の内部統制の運用状況を監査するための基準。日本版SOX法(J-SOX)対応において、NRIに開発・運用を委託する企業は、内部統制の評価・監査の負担を下げることが可能になる。

 NRIが監査基準18号に基づいた監査の対象にしているのは、開発、運用・保守の2業務である。同社の開発、運用・保守のマニュアルに、日本版SOX法対応に必要な統制を織り込んだ。統制は、監査法人とも相談し「システムの規模や種類を問わず、必要な要件を押さえるようにした」(品質監理本部の森田太士主任専門スタッフ)。このマニュアルを今年4月から全社的に展開。来年4月から始まる事業年度から、統制が整備された状況で開発、運用・保守業務が進められる状況が整ったという。

 日本版SOX法では、開発や運用・保守を外部に委託している場合、委託先の内部統制の状況を評価する必要がある。自らが評価するためには、自社の内部監査人を派遣するほか、外部監査を実施する監査法人の監査人も委託先に出向かなければならない。この負荷は小さくない。この点について日本版SOX法の監査基準を定めた文書では、「(委託元の企業が自社で確認しない場合)外部委託先の内部統制の状況を評価するためには、監査基準18号に基づいた報告書の入手が必要」といった趣旨が書かれている。

 つまり、委託先から監査基準18号に基づいた報告書を受け取った場合、委託元の企業は外部委託先に出向かなくても、報告書を基に評価・監査が実施できる。そのため、評価・監査の工数を削減することが可能だ。委託先にとっても、個々の顧客企業からの評価・監査を受けなくて済むというメリットがある。NRIも、顧客と自社の両方の負荷を軽減することを目的に、今回の体制を整えた。

 米国では、同様な監査基準に基づいた報告書「SAS70(Statment on Auditing Standard No.70)」がある。NRIは昨年、SAS70に基づいた報告書を作成済みである(関連記事)。NRIの森田氏は、「SAS70における経験を生かすことで、監査基準18号に基づいた監査に耐えうる仕組みを作れた」と説明する。

 NRIは、日本版SOX法の適用対象となった企業のうち、顧客自身が希望した場合に監査報告書を提出する予定だ。顧客企業に請求する費用は「実際に監査を受けてみないと分からない」(品質監理本部の栗原良行副本部長)としている。企業が単独で外部委託先に監査基準18号に基づいた監査報告書の作成を依頼した場合は数千万円程度かかるといわれている。NRIは「共通費用は各社で案分してもらうため、個別に作成するよりは安くなる」(栗原副本部長)とみている。