内部監査業務のアウトソーシング-失敗しない委託先選定のために-
はじめに
企業を取り巻く環境の変化は大きくなり、より多様なリスクに晒されています。
内部監査はリスクの高い領域に対して重点的に監査を行うリスク・アプローチの手法を取ることが一般的ですが、こうしたリスクの多様化・複雑化に伴い監査すべき領域は増える一方、それが有効に実施できる人員・工数を確保することが困難になっています。
このため、内部監査部門が保持しないスキルやリソースを調達するために、外部のコンサルティング会社・監査法人・専門ベンダーに監査業務の一部をアウトソーシングすることは現代では一般的になってきています。
今回は内部監査業務をアウトソーシングするケース、特に委託先選定から委託開始までのプロセスにおける実務的な知識・観点についてお伝えします。
アウトソーシングの基本的な考え方
内部監査の外注を考えるうえで、IIAの関連する基準について理解しましょう。
基準 2340 – 内部監査(アシュアランスおよびコンサルティング)の個々の業務の監督
業務目標を達成し、品質を確保し、および要員の能力向上を確実にするために、内部監査(アシュアランスおよびコンサルティング)の個々の業務は、適切に監督されなければならない。
解釈指針:
必要とされる監督の範囲は、内部監査人の熟達度と経験、および個々の業務の複雑性によって左右される。個々の業務を内部監査部門が実施する場合も、または外部のサービス・プロバイダに委託する場合も、個々の業務の監督の全責任は、内部監査部門長にある。ただし内部監査部門長は、適切な
経験を有する内部監査部門のメンバーに個々の業務をレビューさせることができる。監督の適切な証拠は、文書化し、保存する。
1210 ─ 熟達した専門的能力
内部監査人は、自らの職責を果たすために必要な「知識、技能およびその他の能力」を備えていなければならない。内部監査部門は、部門の責任を果たすために必要な「知識、技能およびその他の能力」を、部門総体として備えているか、または備えるようにしなければならない。
https://global.theiia.org/translations/PublicDocuments/IPPF-Standards-2017-Japanese.pdf
『内部監査部門は、部門の責任を果たすために必要な「知識、技能およびその他の能力」を、部門総体として備えているか、または備えるようにしなければならない。』という点に留意が必要です。
つまり基準上内部監査として取り組むべき諸課題について、現有の体制だけで賄えないとしてもそれを理由に適切な監査を怠ることはできないということです。外注をしてでも、監査部門としての責任を果たすことが本来的には求められるわけです。
内部監査業務をアウトソースするケース
内部監査は会社全体の組織・業務のあらゆる領域に対して様々なテーマで行うため、アウトソースする内容や対象も様々なケースが想定されます。
ここでは一般的な理由と具体的なアウトソースケースをご紹介します。理由は必ずしも一つだけではなく複数の理由が該当することが多いでしょう。
高度な技能・スキルの調達
内部監査でアウトソーシングを考える最もよくある理由は、「自分たちではその監査がスキル的・経験的にできない」からではないでしょうか。
内部監査はコストセンターであり通常社内の他部門と比較して潤沢に予算を持つ部門ではないですが、リスクの高さや経営者の要請等からどうしても必要となる監査があり、自分たちでできなければ外注を考えるしかありません。
技能・スキル面からアウトソースする監査テーマの例は下記のとおりです。
- システム・セキュリティ監査:NIST-CSFベースのサイバーセキュリティ監査、重要プロジェクトの管理態勢監査等
- セキュリティ脆弱性診断:内部ネットワーク診断、ペネトレーションテスト(侵入テスト)、Webアプリケーション診断等
- 金融系の専門監査:金融犯罪リスク管理(AML/CFL)、オペレーショナルリスク管理等
- 海外法令への対応監査:FCPA(米国連邦海外腐敗行為防止法)、GDPR(EU一般データ保護規則)等
- その他:デジタル・フォレンジック等の特殊な不正調査、デューデリジェンス等
地理的な理由
地理的な理由、つまり海外にある事業拠点等に対する内部監査もアウトソーシングが行われる代表的な事例です。
海外子会社等の監査は一般に国内の統制が及びにくくガバナンスの観点を踏まえると、内部監査部門にとっては重要なテーマです。また海外拠点の売上規模拡大に伴い財務報告に掛かる内部統制、いわゆるJ-SOX対応での「重要な事業拠点」となり業務プロセス・IT全般統制等の評価範囲に含まれる場合に内部統制の構築・評価が必要になる場合があります。
しかし一般的な日本の内部監査部門にとって、海外拠点への移動に係る時間・費用、何より現地の商習慣・法令の理解や現地語での監査実務や統制構築支援を行うハードルは高いものがあります。
主要な監査法人の多くや一部のコンサルティング会社はグローバルに拠点を持つことも多くあります。国内の監査法人等を通じて海外法人拠点を活用することで、日本語で指揮をとりながら円滑に海外子会社の監査を進めることができます。
工数・リソース不足の補填
担当者の退職、異動その他理由で内部監査部門内の工数が突然足りなくなることがあります。又は経営層からの特命監査のオーダーや社内での重要な事故・障害の発生に伴う特別監査の必要が急遽発生するケースがあります。
こうした際通常は年間監査計画を見直し優先度が相対的に低い監査を次年度に回したり、既存監査の範囲・項目を縮小するなどして監査を回せるように調整します。
しかしどうしても実施が必要な監査がある等内部監査部門内では調整がつかない場合は、監査計画に必要なリソースを外部から補うほかはありません。
※内部監査部門内の一時的なリソース不足に際して、社内の他部門に協力してもらうケースもないわけではありませんが、筆者経験上はレアケースでした。
ランニングコスト等の費用削減
定期的に行う必要のある監査やこれに準じる業務がある場合、外部に委託する方が費用対効果が高い場合があります。
例えば、毎年必要なJ-SOXの整備状況評価・運用状況評価、営業拠点が多い会社での各拠点監査、法令対応に係る事前監査等があります。
監査法人やコンサルティング会社への費用は決して安いものではありませんが、自社でそれが出来る専任の担当者を確保して運用する場合は、当該者の人件費・各成果物の作成・管理等複数のコストがかかります。あまり汎用性や付加価値のない業務の場合は、社内人材人事上のローテーションも難しくなるケースもあります。
ですが定期的に同じ業務を外注する場合、委託開始初年度は一定の費用が掛かりますが、以降は委託先でのノウハウ獲得や効率化等ができるので、2年目以降は費用を抑制できることが多いです。そのためトータルでのコストパフォーマンスには外注する方がよい場合もあるのです。
教育効果の期待
副次的な理由の場合が多いですが、内部監査メンバーの教育目的を考慮してのために外注することがあります。
この場合はフルアウトソーシングではなくコ・ソーシング(協業)形式を取ることが多く、監査法人やコンサルティング会社の専門的な知見・スキル人材と共に監査を行うことで、メンバーへのスキルやナレッジのトランスファーを図ります。
監査計画書の作成、スケジュールのひき方、監査手続書や質問票の作成等のアウトプット及びその活用を直接目の当たりにできることの意義や効果は、決して低くありません。
ある程度定期的に行う必要がある難易度の高い監査であれば、初年度は技能・スキル上の理由から外注して2年目以降は獲得したノウハウを使って自分たちで監査をするなどもよく行われていることです。
アウトソーシングのメリット、デメリット
メリット
アウトソーシングを行う理由と密接に関連しますが、通常のメリットは下記があるでしょう。
- 自組織にないスキルを要するテーマの監査を行うことができる
- 自部門のリソースを温存できる
- 遠隔地の監査を効率的に実施できる
- 専門性の高い監査人のアウトプット・業務プロセスを直接観察し事後利用できる。
デメリット
デメリットは、当たり前ですが「費用が掛かる」ことが上げられます。通常監査法人やコンサルティング会社へのこの種の監査テーマに係る委託はあまり廉価なものではありません。特定テーマ監査の場合は、計画策定⇒予備調査⇒本調査⇒レポーティング等2~3カ月程度のスパンのものが多いかと思いますが、300~500万円以上からの見積りを受けることが多いでしょう。
また、「自組織内の監査スキルが育成できなくなる」というのも課題の一つでしょう。特定領域の監査を委託し続ける事実上のベンダーロックイン状態となってしまうリスクがあります。
アウトソーシングの基本的な進め方
アウトソーシングをする際の基本的な手続は各社で「外注管理規程」等で規定されていると思いますが、ここでは一般的な流れについて記載します。
要件・仕様の検討・明確化
先ず委託目的、達成したい成果、期間・費用等の要件について明確にします。
この際各種条件のうち、何を最も優先するのか(品質・遠隔地対応・費用等)を予め決めておきましょう。
提案依頼~提案内容レビュー
要件を整理したら通常は「RFP(Request for Proposal)≒提案依頼書」を作成し、委託候補先に配布します。
通常は少なすぎず多すぎない3~5社程度を候補先として、提案依頼をするとよいでしょう。
①RFP説明MTG又書面での提案依頼⇒②各委託候補先からの提案書の提示を受けるという流れになります。
提案比較・検討・交渉
各社提案が揃ったら、比較・検討になります。
STEP1で明確にした要件のうち、提案内容について検討項目ごとに評価をしていきましょう。
通常、品質・納期・費用の3点を中心に、実績・コミュニケーション・多言語対応・アサイン人員のポテンシャル等の軸を追加して評価していきます。
社内手続(契約、稟議)
実務的にはSTEP3と並行する形になりますが、概ね候補の内定ができたら契約交渉に入ります。
このとき、口頭発注にならないように「必ず契約する」などの発言はしないように留意しましょう。
内部監査の業務委託の場合は大体は利用申込書などでなく、契約の締結が必要になるでしょう。
この場合契約書作成依頼フロー等で法務部門にNDAや業務委託契約書の作成を依頼します。また案件稟議の承認を得るようにします。
最終調整~正式な発注・委託開始
契約の捺印が終われば正式な発注になります。
アウトソーシングの実務的なポイント
具体的な選定ポイント
大手監査法人の提案比較等の際は、実績や費用などで優劣つけ難いこともあるでしょう。
この際はレスポンスの早さ、成果物の作りこみの度合いなどから相手の「本気度」を探ってみましょう。特に複数社の提案依頼を毎年している場合は、要件があまり変わらなければ前年度の提案書コピーなど手抜きをしてくるケースもあります。
最新の要件に合わせて、最適な提案にブラッシュアップしている相手ならば信頼できるでしょう。
また、一見同様な提案でも、都度の議事録作成や作成成果物の範囲等「どこまで手を動かしてくれるか」も大事なポイントです。必要な作業について積極的に負担してくれる相手を選びたいところです。
交渉のポイント
最大の考慮点は費用でしょう。複数社の提案内の見積から費用感を把握したら、最も低額の費用提案を基準に他社に交渉してみましょう。また他社がより低額の費用を出してきた場合は、上記最少額の提案先に再度交渉を掛けることも有効でしょう。
また毎年同内容の委託をしている場合は、経年のノウハウ蓄積等を理由に減額を交渉してみましょう。自社で可能な作業のいくつかを巻き取ることとセットで出すのもよいでしょう。
その他、なるべく予算内で多くの成果が出せるように委託範囲の拡大ができないか、作成成果物の量・質について追加ができないか等も交渉余地があります。
最後に
コロナ禍は続いており景気は低迷傾向にあります。内部監査の外注を積極的にしていくことは難しいかもしれませんが、リモートワーク中心のワークスタイルによるサイバーセキュリティ管理の重要性やコミュニケーション機会の低減による不正検知力の低下等新たな課題も出ています。
またJ-SOX対応の委託等、業務効率面から検討することができるアウトソーシングテーマもあります。
内部監査の現状を踏まえ、最適なパフォーマンスが出せるようにアウトソーシングの検討をすることも有意ではないでしょうか。
Follow me!
投稿者プロフィール
- ネット系事業会社 内部監査室 室長
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員
