——「J-SOX対応の評価業務を、すべて自社の人員でまわし続けるのは正直きびしい。とはいえ、どこまで外部に任せてよいものか」。内部統制の評価を担う部署では、こうした声が毎年のように聞かれます。決算や監査対応と評価の繁忙期が重なるなか、外部の専門家を活用する選択肢が現実味を帯びてきます。
このとき挙がるのが、評価業務の「アウトソース(外部委託)」「コソース(共同実施)」、そして「内製」という三つの選び方です。本記事では、内部統制(J-SOX)評価業務におけるこの三つの違い、委託できる業務範囲、それぞれのメリット・デメリット、コソースの位置づけ、委託先選びの観点を、内部統制担当者・経理部長の視点で整理します。
※本記事は内部統制報告制度(J-SOX)に関する一般的な考え方を、実務目線で整理したものです。制度の細目や運用は改正・解釈の更新があり得ます。評価範囲・委託範囲・評価手続の妥当性を含む個別の判断は、「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
なぜいま「内部統制のアウトソーシング」が検討されるのか
内部統制報告制度(J-SOX)では、財務報告に組み込まれた内部統制が有効に機能しているかを、整備状況・運用状況の両面から経営者自らが評価し報告することが求められます。この「経営者による評価」の実務を担うのが、内部統制担当部署です。
評価業務は一度きりではありません。3点セット(業務記述書・フローチャート・リスクコントロールマトリクス)の整備・更新、整備状況評価、運用状況評価、不備の集計と是正、監査人とのコミュニケーションが毎期くり返され、事業やシステムの変化に応じて見直しも必要になります。
ここで多くの企業が直面するのが、評価に求められる専門性(内部統制の枠組み、リスクの考え方、IT全般統制の評価、サンプリングなど)と、確保できる社内リソースとのギャップです。こうした専門人材を恒常的に社内に抱えることは、評価対象が限られる企業やIPO準備段階の企業には負担が大きくなりがちです。
このギャップを埋める選択肢が、評価業務の一部または全部を外部に委託する「アウトソース」と、社内チームと外部専門家が分担して共同で進める「コソース」です。J-SOX対応の全体像や進め方は別記事(J-SOX(内部統制報告制度)対応とは?仕組み・進め方・実務のポイントを内部統制担当者向けに徹底解説)で体系的に解説しています。
アウトソース・コソース・内製の違い
評価業務の進め方は、委託の度合いと社内・社外の役割分担の違いとして、大きく三つに整理できます。
内製(インソース)
評価業務を原則として自社の人員だけで完結させる形です。3点セットの整備から各評価、不備の評価・是正までを社内チームが担います。社内に知見が蓄積し、業務やシステムへの理解が深いことが強みである一方、専門人材の確保・育成と繁忙期の業務量の平準化が課題になります。
アウトソース(外部委託)
評価業務の特定領域、あるいは大部分を外部の専門家に委託する形です。運用状況評価のサンプルテストや3点セットの新規整備といった負荷の大きい部分を切り出すのが代表的で、社内リソースを他業務に振り向けられ、専門性を機動的に補えます。
ただし、J-SOXの「経営者による評価」という制度上の責任は、作業を委託しても経営者に残ります。評価範囲の決定や評価結果の最終判断は経営者・内部統制担当部署が担う、という役割分担を明確にしておくことが大切です。
コソース(co-source/共同実施)
社内チームと外部専門家が役割を分担し、同じチームとして共同で評価を進める形です。作業を切り出して外に出すアウトソースに対し、コソースは外部専門家がチームの一員として加わるイメージで、内製とアウトソースの中間に位置づけられます。社内に知見を残しながら専門性を補える点が特徴です(後段で詳述します)。
| 観点 | 内製 | コソース | アウトソース |
|---|---|---|---|
| 主たる実施者 | 社内チーム | 社内+外部専門家 | 外部専門家中心 |
| 社内への知見蓄積 | 蓄積されやすい | 一定程度残る | 残りにくい場合がある |
| 専門性の補完 | 自社で確保 | 共同実施で補完 | 委託先に依存 |
| 業務負荷の調整 | 調整しにくい | 柔軟に調整 | 切り出しで軽減 |
| 経営者の評価責任 | 経営者 | 経営者 | 経営者(移転しない) |
これらを前提に、自社の体制や評価対象の規模に応じて組み合わせを考えていくことになります。
委託できる業務範囲はどこまでか
「アウトソーシング」と一口にいっても、委託する中身はさまざまです。評価のプロセスに沿って、どの作業が委託の対象になりやすいかを整理します。何をどこまで委託できるかは自社の体制や監査人との協議によって変わるため、一般的な整理として捉えてください。
文書化(3点セットの整備・更新)
業務記述書・フローチャート・リスクコントロールマトリクス(RCM)の作成・更新は、委託対象になりやすい領域です。新規上場準備での一からの整備や、業務プロセスの大幅な見直しに伴う改訂では、専門家のフォーマットや進め方が効率化に役立ちます。ただし文書は自社の業務とリスク・統制を写し取ったものである必要があり、現場へのヒアリングや内容確認には社内が主体的に関わる形が望まれます。
整備状況評価
統制が適切に設計され、業務に組み込まれているか(整備状況)を評価する作業です。ウォークスルーや設計上の不備の検討が含まれます。統制の設計をリスクと照らして評価する視点が求められるため、専門家の関与が効果を発揮しやすい領域です。
運用状況評価
設計された統制が期間を通じて意図どおりに運用されているか(運用状況)を評価する作業です。証憑の閲覧やサンプルテストなど件数を要する作業が中心で負荷が大きいため、アウトソース・コソースで切り出されることが多い領域です。サンプル件数や評価手続の設計は、実施基準の考え方を踏まえ監査人と協議して決める事項であり、本記事で件数や閾値を断定することはしません。
IT統制(IT全般統制・IT業務処理統制)の評価
IT全般統制(ITGC)やIT業務処理統制の評価は、専門性が特に求められる領域です。アクセス管理・変更管理・運用管理・システム開発の評価視点や、財務報告に関連するシステム範囲の考え方には、IT監査の知見が活きます。IT統制の評価人材を社内に厚く抱えにくい企業が、この領域から外部の関与を検討するケースはよく見られます。
不備の集計・評価のサポート
識別された不備を集計し、財務報告への影響度の観点から評価する作業のサポートです。ただし、ある不備が「開示すべき重要な不備」に該当するかの最終判断は経営者の判断事項であり、実施基準の考え方を踏まえ監査人との協議を要します。外部専門家は論点の整理や提示を支援できますが、最終判断を肩代わりするものではありません。
委託になじみにくい領域
一方、評価範囲(スコープ)の決定や、内部統制の有効性に関する経営者の最終的な評価(結論)は、経営者の責任に直結します。外部の助言は受けられても、判断の主体は社内に残ります。委託の検討では「作業として外に出せる部分」と「判断として社内に残すべき部分」を切り分けると、役割分担が整理しやすくなります。
なお、評価業務とよく混同される内部監査は、目的も位置づけも異なります。委託範囲を設計する際にも両者の役割を区別しておくと整理しやすくなります。詳しくは別記事(J-SOXと内部監査の違い・関係|役割分担と体制構築のポイント)をご参照ください。
アウトソースのメリット・デメリット
評価業務を外部に委託することには、利点と留意点の両面があります。
メリット
第一に、専門性を機動的に補えること。内部統制の枠組みやIT統制の評価視点といった専門知識を必要なタイミングで活用でき、同等の人材を恒常的に確保・育成する負担を抑えつつ評価品質を保ちやすくなります。第二に、社内リソースの最適配分。負荷の大きい作業を切り出すことで、社内チームは評価範囲の検討や監査人対応、是正の推進といった判断・調整を要する業務に注力できます。
加えて、評価の山場が決算・監査対応と重なる繁忙期の負荷を平準化できること、第三者の視点で自社では見えにくい論点に気づけることも利点です。
デメリット・留意点
一方、評価を外部に大きく依存すると、ノウハウが社内に残りにくく、委託先への依存度が高まります。これは後述のコソースのように社内が主体的に関わる設計で緩和できます。また、自社の業務やシステムの理解を委託先と共有し、評価の前提を合わせる初期のコミュニケーションも見込んでおく必要があります。
費用面では、委託範囲が広がるほどコストは増えるため、内製の人件費・育成コストとの比較で考えることが大切です。費用の構成要素や内製・アウトソースのコストの考え方は別記事(J-SOX対応の費用の考え方|内製・アウトソースのコストを構成する要素)で整理しています。
内製のメリット・デメリット
外部委託と対比すると、内製の特徴もはっきりします。
メリット
内製の最大の強みは、評価の知見が社内に蓄積されることです。評価を毎期くり返すなかで自社の業務・リスク・統制への理解が深まり、文書や評価手続を実態に即して継続的に改善できます。業務・システムへの理解が深いため変化への対応も機動的で、評価結果や論点を社内で直接把握できるぶん、経営者・関連部署との連携や是正の推進も進めやすくなります。
デメリット・留意点
一方、内部統制評価に必要な専門人材の採用・育成と組織的な維持には、相応の時間とコストがかかります。担当者の異動・退職で知見が途切れるリスクにも備えが必要です。また、評価の山場が他業務と重なる繁忙期に、社内人員だけでピークを吸収するのは負担が大きくなりがちです。
内製を基本としつつ、専門性が特に求められる領域や負荷の高い時期だけ外部を組み合わせる——この柔軟な設計が、次に述べるコソースの考え方につながります。
コソースという選択肢の位置づけ
アウトソースと内製の中間に位置づけられるのが、コソース(共同実施)です。実務では内製か全面委託かの二択ではなく、このコソースの形が選ばれる場面が少なくありません。
コソースとは
社内チームと外部専門家が役割を分担し、同じチームとして共同で評価を進める形です。たとえば、評価範囲の検討や監査人とのコミュニケーションは社内が主体的に担い、サンプルテストの実施やIT統制の評価といった専門性・作業負荷の高い領域を外部専門家が分担します。
コソースが選ばれる理由
内製とアウトソース双方の利点を取り込めるのが強みです。社内が主体的に関わることで知見が社内に残りやすく、専門性・作業負荷の高い部分は外部が補える。委託先への過度な依存を避けつつ、評価の品質とリソース配分のバランスを取りやすくなります。協働を通じて評価の進め方やドキュメントの作り方といった実務知見が社内に移転していく点も利点です。立ち上げ期は外部の関与を厚めにし、知見が蓄積するにつれ内製の比重を高める段階的な移行も、現実的な選び方の一つです。
コソース設計のポイント
コソースを機能させる鍵は、社内と外部の役割分担を最初に明確にすることです。どの作業を誰が担い、どの判断を社内に残すのかを整理しておくと、責任の所在が明確になり、共同実施がスムーズに進みます。
IPO準備段階では内部統制の体制をゼロから立ち上げる必要があるため、外部の関与を厚めにしたコソースから始めるケースがよく見られます。上場準備全体のなかでの内部統制対応の位置づけはIPOコンサルティングもあわせてご参照ください。
委託先を選ぶ際の観点
アウトソース・コソースのいずれを選ぶ場合も、委託先の選定は評価の品質を左右します。価格だけでなく、次のような観点から総合的に判断することが望まれます。
内部統制・J-SOX評価の実務知見
内部統制の枠組みやリスクの考え方を踏まえ、自社の業務に即した評価を進められるか。制度の理解だけでなく、評価実務の経験が伴っているかを確認します。
監査人とのコミュニケーションを踏まえた対応力
経営者による評価は、最終的に監査人による内部統制監査と接続します。評価範囲・評価手続・不備の評価について監査人の視点を理解して対応できる委託先であれば、評価作業と監査対応の整合が取りやすくなります。監査法人による内部統制監査に対応してきた実務知見の有無は、確認しておきたい観点です。
IT統制への対応力
財務報告に関わるシステムが評価対象に含まれる場合、IT全般統制・IT業務処理統制の評価視点を備えているか。業務プロセスの評価とIT統制の評価を一体的に進められる体制があると、評価の抜け漏れを防ぎやすくなります。
知見の社内移転への姿勢
特にコソースでは、評価作業を進めるだけでなく、進め方や考え方を社内チームに共有してくれる姿勢があるか。社内に知見が残るかどうかは、委託先の関わり方に左右されます。
自社の規模・段階への適合
評価対象の規模や、上場済みか上場準備段階かに応じて、適切な関与の度合いを提案してくれるか。過不足のない範囲設計ができる委託先であれば、費用と品質のバランスを取りやすくなります。
守秘・情報管理の体制
評価業務では財務情報や業務上の機微な情報を扱います。情報管理の体制が整っているか、守秘の取り決めが明確かといった点も欠かせない観点です。
これらの観点を整理し、自社が「作業として委託したい部分」と「社内に残したい判断・知見」を明確にしたうえで委託先と対話すると、自社に合った関与の形が見えやすくなります。
RSM汐留パートナーズの支援
RSM汐留パートナーズでは、内部統制(J-SOX)評価業務について、整備・評価・改善の各フェーズで企業に伴走する支援を提供しています。3点セットの整備・更新、整備状況評価・運用状況評価の実施、IT全般統制の評価、不備の評価・是正のサポートまで、自社のリソースや段階に応じてアウトソース・コソースの形を柔軟に設計します。
監査法人による内部統制監査に対応してきた実務知見を踏まえ、評価範囲・評価手続・不備の評価について監査人とのコミュニケーションを見据えた進め方を支援します。コソースでは、評価作業を進めるだけでなく評価の考え方や進め方を社内チームに共有し、社内に知見が残る関わり方を心がけています。IPO準備段階での立ち上げから、上場後の継続的な評価の効率化まで、企業の状況に応じた関与の度合いをご提案します。
まとめ
- 内部統制(J-SOX)評価業務の進め方には内製・コソース・アウトソースの三つがあり、委託の度合いと社内・社外の役割分担の違いとして整理できます。
- 委託対象になりやすいのは、3点セットの整備・更新、整備状況評価、運用状況評価のサンプルテスト、IT統制の評価、不備の集計・評価のサポートといった「作業」の領域です。
- 一方、評価範囲の決定や評価結果(内部統制の有効性に関する結論)の確定、開示すべき重要な不備の該当性の最終判断は経営者の責任に直結し、委託しても経営者による評価の責任は移転しません。
- アウトソースは専門性の機動的な補完・リソースの最適配分・負荷の平準化が利点で、社内への知見蓄積のしにくさや委託先依存に留意が必要です。内製は知見が社内に蓄積される一方、専門人材の確保・育成と繁忙期の負荷平準化が課題です。
- コソースは両者の中間に位置づけられ、社内に知見を残しながら専門性・作業負荷の高い部分を補える形として、特に立ち上げ期やIPO準備段階で選ばれやすい選択肢です。
- 委託先は、J-SOX評価の実務知見、監査人とのコミュニケーション対応力、IT統制への対応力、知見の社内移転への姿勢、自社の規模・段階への適合、守秘・情報管理の体制といった観点から総合的に選ぶことが望まれます。
- 評価範囲・評価手続・不備の評価の妥当性に関わる個別の判断は、「財務報告に係る内部統制の評価及び監査の基準・実施基準」および自社の監査法人にご確認ください。
内部統制評価のアウトソース・コソースはRSM汐留パートナーズへ
内部統制(J-SOX)評価業務のアウトソース・コソースをご検討の際は、RSM汐留パートナーズにご相談ください。整備・評価・改善の各フェーズで、監査法人による内部統制監査対応の実務知見を踏まえた伴走支援を提供します。J-SOX対応の全体像や支援内容はJ-SOX対応・内部統制コンサルティング、内部監査を含む体制全体のご相談は内部監査コンサルティング、IPO準備段階での体制構築はIPOコンサルティングからご確認いただけます。自社の状況に合った関与の形を、ご一緒に設計します。
