クラウドで内部統制が社外に　第三者による保証も有効

　委託会社としては、委託先でどのような統制活動がなされているのかを理解し、自社のリスクがどのようにコントロールされているのか把握しなければならない。その上で、自社の統制目標が達成されているのか、達成されていない場合は補完的統制をとるのかなどを、受託会社と契約書の上で合意する必要がある。

　また契約書どおりに設計、運用されているかを確認する必要がある。受託会社の内部統制状況を確認するために、受託会社に直接監査に入り確認する必要も出てくる。このような例は、アウトソーシングといった従来の外部委託においても当てはまる。

　現在、委託会社と受託会社間の内部統制に関する責任範囲に明確な基準はない。互いに妥協点を探りながら、責任範囲が不明確なまま運用しているケースが多く見られる。

第三者が内部統制を保証

　SOX法への対応では、受託会社の内部統制の基準として、SAS70（Statement　on　Auditing　Standards　No.70）または日本における監査基準委員会報告書第18号を利用し、財務報告に関わる委託業務の内部統制が合理的に保証できていることを確認しているケースが多い。

　近年、財務報告だけでなく、会社法や個人情報保護法などの法令順守、BCP／DRなどの事業継続運用に関するリスクコントロールの必要性が増してきた。しかし、SAS70などは財務報告に関する内部統制の報告書であり、財務報告以外の法令順守や信頼性、可用性や安全性など運用の内部統制を保証する報告書ではない。ところが委託会社は、SAS70報告書があれば受託会社の法令順守や運用に関する内部統制まで保証できるとの誤った認識を持ち、受託会社にその保証まで求めてくる場合が見受けられる。

　このような内部統制上の委託会社と受託会社間のギャップを埋めるために、第三者による国際的な外部保証制度が整いつつある。