IT全般統制 ー外部委託に関する契約の管理ー

　経営者は、一般的なシステム管理における有効なIT統制として、「準拠性」「信頼性」「可用性」「機密性」という目標を求められています。

　そして、その目標を達成するための主なIT統制活動として、IT全般統制とIT業務処理統制があります。

　実施基準によると、IT全般統制とは、IT業務処理統制が有効に機能する環境を保証するための統制活動のことをいい、具体的な統制項目としては、以下のものがあります。

　この記事では、このうち「外部委託に関する契約の管理」に関連する統制活動について、簡単にまとめました。

※内部統制基準＝「財務報告に係る内部統制の評価及び監査の基準」
※実施基準＝「財務報告に係る内部統制の評価及び監査に関する実施基準」

ITに係る業務の外部委託

　コスト削減や社内人材の本業集中等の経営戦略により、ITシステムの開発や保守等、社内のITに係る業務の一部あるいは全部を外部に委託する企業が非常に多くなってきています。

　そしてそれらの外部委託業務が、財務報告の信頼性に影響を与える重要な業務プロセスを内包している場合があります。

　その業務プロセスに係る内部統制の整備・運用や評価において、第一に責任があるのは、委託先ではなく委託元だと考えられています。

　そのため、その内部統制がITを利用したものであれば、委託先におけるIT統制の有効性を確保する管理責任を委託元が負うことになります。

　実施基準では、「外部委託に関する契約の管理」の監査について、以下の項目が挙げられています。

企業が財務報告に関連して、ＩＴに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。

　外部委託業務が適切に遂行され、内部統制にも不備が生じないためにも、委託先における外部委託業務の実施内容を管理できるように、委託先企業の選定基準や契約内容を定めておく必要があります。

　具体的に、以下のような項目が考えられます。

例１：業務遂行能力の低い委託先を選定してしまう

⇒委託先選定の際に、「委託先選定理由書」等で選定基準を明確化・文書化し、それを基に適切な者が選定について検討・承認します。

例２：要求基準外の成果物が納品されてしまう

⇒成果物に対する検収手続きを規定したうえで、担当者が検収し、権限者が承認します。

例３：委託先においてデータ漏洩が発生する

⇒委託先の内部統制の状況を確認する文書の提出を定期的に求め、可能であれば、委託先への監査もあり得る旨の文言を契約書に盛り込んでおきます。また、内部統制に不備が発見されれば、改善措置を求めたり、場合によっては、委託先を変更します。

例４：インシデント発生の報告が遅れる

⇒SLA（サービスレベルアグリーメント）を締結し、事前に委託先と責任範囲に関する合意形成をしておきます。また、契約期間更新の際等、定期的にSLAを見直します。

　クラウドサービスとは、外部のサーバやOS、アプリケーション等のITサービスを、インターネットを介して利用する形態をいいます。

　業務で利用するITシステムの構成において、このクラウドサービスを利用するケースが昨今では増えてきています。

　自社所有のサーバ上で稼働するシステムの開発や運用・保守等の外部委託であれば、委託先の業務を自社の規程や基準のもとで管理することができます。

　しかしクラウドサービスでは、IT業務における資源のほとんどを委託先に任せることになるため、ITに係る業務環境の安定性や情報セキュリティ等の水準を、クラウドサービス提供者のそれに依存することになります。

　また委託元としては、外部委託している業務が財務報告の信頼性に影響を与える業務プロセスの一部を構成しているのであれば、その部分に係る内部統制が委託先において適切に整備・運用されている必要があります。

　そのため、以下のような内部統制に関する保証報告書を委託先に提供しているクラウドサービス事業者が存在します。

　内部統制の保証報告書の内容を確認し、IT業務に係る内部統制のうちどの部分の有効性が保証されているかを識別します。

　そして、もし財務報告の信頼性に関わる重要な業務プロセスが報告書に含まれていなければ、委託元において内部統制を整備・運用しなければなりません。