顧客企業に「監査報告書」を提出可能に
NECや富士通などが、アウトソーシング事業に関する内部統制の整備状況を示す「監査報告書」を提出するための体制作りに乗り出した。システム運用などを各社に委託する企業が、この報告書を日本版SOX法(J-SOX)対応時に使えば、作業負荷を軽減できるとしている。
アウトソーシング・サービスを利用する顧客企業に向けて、監査報告書を提出するための体制作りを進めているのは、NECや富士通のほか、CSKシステムズやTISなど。CSKシステムズは2007年4月まで、富士通は07年6月まで、NECとTISは08年4月までに準備を整える予定だ。料金などの詳細は決まっていない。
ここでいう監査報告書とは、「監査基準委員会報告書第18号(18号)」と呼ぶ監査基準に基づいて、監査法人が監査を実施し、その結果をまとめたものを指す。18号は、日本公認会計士協会が2000年に策定した、委託業務に関する内部統制が有効かどうかを評価するための基準である。
NECなどはまず、データセンターにおけるシステム開発や運用・保守に関する文書化をはじめ、アウトソーシング事業にかかわる内部統制の仕組みを整備する。その上で18号に基づく監査を受け、監査報告書を提供できる体制を整える。顧客企業はこの報告書によって、委託先の状況を確認できるようになる(図)。
 |
| 図●「日本版SOX法」では委託先の内部統制の整備状況を確認することが義務付けられる [画像のクリックで拡大表示] |
アウトソーシング事業者がこうした準備を進めているのは、日本版SOX法対応の作業負荷を軽減するのが狙いだ。08年4月以降に始まる事業年度から適用される同法は、「外部に委託した業務の内部統制については評価範囲に含める」としている。日本版SOX法の適用対象となる企業がシステム運用などをアウトソーシングしている場合、「委託先がシステムに関する内部統制を整備しているか」を、自ら確認する必要がある。「この作業は重要なのに、意外に見落とされがちだ」と、金融庁内部統制部会臨時委員を務める日本大学商学部の堀江正之教授は指摘する。
ユーザー企業のIT部門や内部監査部門の担当者が委託先に出向き、ヒアリングなどを通じて内部統制の状況を確認するやり方もある。しかし、この方法ではユーザー企業に作業負荷がかかりすぎる。多くの監査を受け入れる必要がある、事業者側の負担も小さくない。事業者が監査報告書を提出する形を採れば、ユーザー企業、事業者双方の負担が軽くなる可能性が高い。
18号は、不特定多数の顧客向けサービスを提供する事業者を対象とする基準だが、「アウトソーシング事業者にも役立つ」と、関係者は口をそろえる。米国には同様の監査基準として「SAS70」があり、野村総合研究所はこれに基づいて監査報告書を作成している。
NECなどのほか、日本ユニシスも時期は未定だが、18号に基づく監査報告書の提出に向けた体制整備を始める予定。日本ヒューレット・パッカードは、「顧客から18号に基づく報告書の提出を依頼された場合に、個別に対応する」としている。一方、NTTデータは、「独自に作成した基準に従い、内部統制の整備状況を顧客に報告している」という。
