内部統制を外注する際の注意点｜委託できる業務範囲と2024年改訂で増した委託先評価の実務

内部統制やJ-SOX対応の業務は、業務記述書・業務フロー図・RCMの3点セット作成から運用状況の評価まで作業量が大きく、外部のコンサルティング会社や監査法人系ファーム、BPO事業者へ委託する企業が増えています。本記事では、内部統制を外注する際の注意点を、委託できる業務範囲とできない領域の線引き、メリット・デメリットと委託先起因のリスク、委託先の選び方と準委任・請負の契約形態、そして2024年4月のJ-SOX改訂で重みが増した委託先・IT委託先の統制評価まで、上場企業とIPO準備企業の実務担当者向けに整理します。アウトソーシングや業務委託を「丸投げ」にしないための社内体制と、外注すべきでない場面の見極めもあわせて示します。

内部統制の外注で最初に押さえる結論と、委託前に決めておくべき判断軸

結論から示します。内部統制で外注できるのは「作業」であって、「経営者の評価・報告責任」ではありません。3点セットの作成や運用評価のテスト、IT統制の文書化といった工程は委託できますが、内部統制報告書に署名し、有効性を最終判断する責任は自社に残ります。ここを取り違えると、丸投げによる形骸化や監査法人からの差し戻しを招きます。

外注を成功させる判断軸は3つに絞れます。第一に、委託する評価範囲と依頼業務を契約前に確定すること。第二に、業務の性質に合う契約形態（評価・監査支援なら準委任が基本）を選ぶこと。第三に、社内に窓口担当を最低1名残し、企画・分析と最終判断を自社に置くことです。

2024年4月以後に開始する事業年度から適用されたJ-SOX改訂は、この外注の論点にも直結します。改訂では外部委託・IT委託に係る統制の重要性が明記され、業務を外部に委託していること自体を理由に評価対象から除外することはできない、という原則がより明確になりました。委託すればするほど、委託先（受託会社）の統制をどう確認するかが自社の宿題として残ります。以下では、この線引きから順に解説します。

内部統制の外注で委託できる業務範囲と、外注できない経営者の評価責任の線引き

「どこまで外注できるか」は、外注検討の最初の分岐点です。作業レベルの工程と、移転できない責任を分けて捉えます。

外注できる作業｜3点セット作成・運用評価・IT統制テストなど工程単位の委託範囲

委託しやすいのは、手順が定型化された工程です。具体的には、業務記述書・業務フロー図・RCM（リスクコントロールマトリックス）の3点セット作成と更新、整備状況・運用状況評価のテスト実施、IT全般統制（ITGC）やIT業務処理統制（ITAC）の評価手続、決算・財務報告プロセスの評価支援などが挙げられます。フルスコープでの一括委託も、IT統制や決算財務プロセスなど一部だけの委託も選べます。委託先は、監査法人系のアドバイザリー、公認会計士・公認内部監査人を擁するコンサル、給与計算や経理処理を一括で請けるBPO事業者の3タイプに大別され、依頼する業務の専門性で適切な相手が変わります。

外注できない領域｜内部統制報告書への署名と評価結果の最終責任が残る原則

外注できないものを先に固定しておくと、契約設計がぶれません。日本のJ-SOX（金融商品取引法に基づく内部統制報告制度）は、経営者が自社の内部統制を評価し、その評価結果を監査人が監査する方式です。米国SOX法のように外部監査人が直接評価するダイレクト・レポーティングではありません。つまり、評価の主体は経営者であり、内部統制報告書に署名して有効性を表明する責任は委託で移転しません。委託先が作った文書やテスト結果も、自社が内容をレビューし、判断の根拠として採用してはじめて意味を持ちます。「外注した＝責任を果たした」ではない、という原則を社内で共有しておきます。

混同しやすい「委託先（受託会社）は自社の内部統制の対象範囲か」の整理

もう一つ整理が必要なのが、「内部統制を外注する」と「業務そのものを外注する」の混同です。内部統制を実施する対象は、経営者を含む組織内の全従業員であり、業務を委託している委託先・取引先そのものは原則として自社の内部統制の構成員ではありません。ただし、財務報告に関わる業務をその委託先に出している場合、委託先の統制が自社の財務報告の信頼性を左右します。この外部委託全般の考え方は、業務プロセスを一括して外に出すBPO（ビジネス・プロセス・アウトソーシング）の定義を押さえると理解しやすくなります。後述するとおり、委託先の統制をどう評価するかが、外注時の本質的な注意点になります。

内部統制を外注するメリットと、実務で効きやすいデメリット・委託先起因リスク

メリットとデメリットを同量で並べても判断はできません。実務で効く順に重み付けして見ていきます。

外注で実際に効くメリット｜繁閑差のある評価業務の平準化と専門人材コストの圧縮

外注がもっとも効くのは、業務量の波が大きい点です。内部統制の評価業務は、期末や四半期末に集中する一方、年間を通じて平準的ではありません。にもかかわらず、内部統制の専門部署には総合的な知識と専門性が求められ、人員のコストは高くつきます。外注を使えば、繁忙期だけ外部のリソースを足し、社内の固定人員を抑えられます。次に効くのが専門知識の補完で、評価範囲の見直しや監査法人協議のように判断を伴う場面で、経験豊富な担当者の関与は工数だけでなく品質の差になります。コア業務への集中は、これらの結果として得られる二次的な効果と捉えるのが実態に近いです。

軽視されやすいデメリット｜社内にノウハウが残らず継続性が損なわれる構造

デメリットで最も重いのは、コストではなくノウハウの非蓄積です。評価の進め方やRCMの設計判断を外部に預けきると、技術・経験が社内に残らず、委託先を変えた途端に運用が止まります。短期的には外注費が割安に見えても、毎年フルスコープで委託し続ければ累計コストは膨らみ、価格交渉力も弱くなります。担当者教育の機会損失も含めて、継続性のリスクとして評価すべきです。これは外注そのものの欠点というより、丸投げ設計の欠点であり、後述する内製化設計で大きく軽減できます。

委託先起因のリスク｜情報漏えいと業務効率の不透明さに契約で線を引く

委託先を起点とするリスクは2つに整理できます。1つ目は情報漏えいです。自社の内部統制では自社従業員の行動は統制できますが、委託先の従業員の行動を直接監視したり、機密情報の管理方法を直接指導したりはできません。秘密保持契約（NDA）の締結と、情報管理体制の事前確認が前提になります。2つ目は、業務の有効性・効率性が見えにくくなることです。一部業務だけの委託なら効果や効率を自社で判断できますが、BPOのように業務プロセスを一括して委託すると、委託先の業務が本当に効率的かを具体的に判断するのは難しくなります。だからこそ、契約とモニタリングで確認の手段をあらかじめ決めておきます。

委託先選定で外注前に確認する判断基準と、準委任・請負の契約形態の選び方

委託先選びは、相手を比較する前に「自社が何を渡すか」を決めることから始まります。順序を逆にすると選定基準がぶれます。

委託先を選ぶ前に決める評価範囲と、依頼業務ごとの選定基準の作り方

最初に決めるのは、委託する業務プロセスと評価範囲です。3点セット作成だけなのか、運用評価のテストまでか、IT統制を含むのかで、求める委託先の専門性が変わります。範囲を曖昧にしたまま見積もりを取ると、後から「ここは範囲外」と追加費用が発生しがちです。依頼業務ごとに選定基準を文章化しておくと、複数社の比較が再現可能になります。基準には、依頼業務に関する知見・実績・会社規模、費用対効果、コンプライアンス意識、情報セキュリティ体制、そして担当者とのコミュニケーションの取りやすさを含めます。信頼関係を築ける相手であることは大前提で、その上で内部統制特有の項目を上乗せして見る、という順序です。

会計監査人との独立性｜内部監査・内部統制の外注先と監査法人の関係整理

見落とされやすいのが、会計監査を受けている監査法人との関係整理です。内部監査や内部統制評価の外注先が、会計監査人と同一または密接な関係にある場合、独立性の観点で問題が生じることがあります。内部監査を外部に委託したものの、その結果が「内部監査として機能していない」と監査法人から指摘される事例もあります。委託先を決める前に、既存の会計監査人との役割分担と独立性を確認し、外注の枠組みを監査法人とすり合わせておくと、後戻りを防げます。

準委任契約と請負契約の違いと、内部統制評価で準委任が基本になる理由

契約形態の選択は、トラブルの起点になりやすい論点です。内部統制の評価や内部監査の支援は、特定の結果を保証する性質のものではないため、準委任契約が一般的かつ適切とされます。一方、特定の成果物の完成が明確な業務（たとえば文書一式の作成納品）には請負契約がなじむ場面もあります。違いを整理すると次のとおりです。

準委任を選ぶ場合でも、契約書では業務範囲、追加調査が必要になったときの費用、責任の範囲（善管注意義務の範囲で定めるのが一般的）、NDAを曖昧にしないことが重要です。とくに「監査の過程で追加作業が生じた場合の費用」は後のトラブルになりやすいため、上限や精算方法を明記しておきます。

2024年改訂のJ-SOXで重みが増した委託先の統制評価とSOC報告書の確認ポイント

ここからが、外注時にもっとも見落とされやすく、かつ最新の制度動向と直結する論点です。立場を明確にすると、外部委託を増やすほど、委託先の統制を確認する責任は自社で増えます。

2024年4月改訂で外部委託・IT委託に係る統制の重要度が増した背景

J-SOXは、2023年4月7日に企業会計審議会が公表した改訂基準・実施基準が、2024年4月1日以後に開始する事業年度から適用されています。2008年の導入から約15年ぶりの本格改訂で、「ITへの対応」のなかで、ITの開発・運用を外部委託するケースが多く、外部委託に係る統制の重要性が増していることが明記されました。あわせて、クラウドやリモートアクセスの利用拡大を背景に、サイバーリスクを踏まえた情報セキュリティの確保が重要であることも追記されています。改訂内容の全体像は、評価範囲のリスクベース化やIT統制の扱いを整理したJ-SOX改訂ポイントの解説で確認できます。外注の文脈では、「委託しているから範囲外」という整理が通りにくくなった、と理解するのが要点です。

委託業務を評価対象から外せない原則と、受託会社のコントロール評価の進め方

原則はシンプルです。企業は財務報告に係る重要な内部統制を評価する責任を負うため、外部に委託していることを理由に、受託業務に係るコントロールを評価対象から除外できません。評価の進め方は2通りです。1つは、委託企業の評価担当者が受託企業に赴き、社内の内部統制を評価するのと同様に、受託企業が整備・運用しているコントロールを評価する方法です。もう1つが、次に述べるSOC報告書を取得して評価負担を軽減する方法です。委託先の選定・契約・モニタリングが漏れなく行われているか、特権IDの付与や課題事項の報告といった委託先の品質管理まで含めて確認します。

SOC報告書（保証報告書）の種類と、委託範囲との照合・ブリッジレターの確認

受託会社のコントロールを毎回訪問して評価するのは負担が大きいため、受託業務に係る内部統制の保証報告書（SOC報告書）を取得して代替します。日本では保証業務実務指針3402、国際的にはISAE3402が根拠で、報告書には対象期間と範囲が記載されます。注意点は、報告書のどの部分が自社の委託範囲に適用されるかを照合することです。範囲がずれていれば、その報告書だけでは自社の統制を裏づけられません。報告書には次の2種類があります。

運用の有効性まで確認したい場合はType2を求めます。報告書の対象期間が自社の期末日まで届かないときは、その空白を埋めるブリッジレターを受託会社から取得し、期末時点の有効性を補完します。

システム開発・運用を外注する場合のIT全般統制と特権ID・再委託の確認

システム開発・運用を外部ベンダーへ委託している場合、財務報告に関わるシステムであれば、IT全般統制（ITGC）の評価対象に委託先が入ります。確認すべきは、アクセス管理（とくに特権IDの付与・棚卸し）、変更管理、運用・バックアップ、そして再委託先の有無です。クラウドサービスを利用している場合は、SOCレポートや外部認証の取得・維持状況、障害発生時の連絡体制を確認します。IT統制を自社で評価しきれるか外部に委ねるかの判断は、IT業務処理統制とIT全般統制（ITGC）と業務処理統制（ITAC）の役割の違いを踏まえて切り分けると精度が上がります。なお改訂後は、IT業務処理統制をローテーションで評価してきた場合でも、必要に応じて年度単位での評価を監査人と協議する整理になっており、評価工数の見積もりに影響します。

丸投げで失敗しない社内体制・内製化設計と、内部統制を外注すべきでない場面

最後に、外注の成否を分ける社内側の設計を示します。ここでも玉虫色は避け、判断を言い切ります。

「企画・分析と意思決定は自社に残す」という丸投げ回避の原則

外注で失敗する最大の原因は、コミュニケーション不足と丸投げです。技術やノウハウを社内に残すには、すべてを委託するのではなく、企画・分析機能（なぜこの統制が必要か、どこにリスクがあるか）と最終的な意思決定を自社に残すのが原則です。委託先が突然現場に来て「評価させてください」と言っても協力は得られません。外注を決めたら、経営層から全社へ目的と体制を事前に周知し、委託先と社内担当が協働する形を作ります。進捗は議事録や定期報告で記録し、確認結果を残しておきます。

外注から内製へ移すハイブリッド設計とノウハウ移管のマイルストーン

外注と内製は二択ではありません。現実的なのは、初年度は外部支援でフレームワークを構築し、2年目以降に内製へ移行するハイブリッドです。一般的な傾向として、J-SOX対応の実務経験を持つIT人材が社内に複数名おり、事業規模が一定以上の企業では内製のほうがコスト効率が高くなりやすい一方、立ち上げ期は外部の型を借りるほうが速く確実です。移管のマイルストーンは、(1)初年度は委託先主導で文書・評価手続を整備、(2)2年目は社内担当が一部プロセスを巻き取り、(3)3年目以降にキーコントロールの評価を内製化、という段階設計が現実的です。委託契約に、文書・判断根拠の引き継ぎ（成果物の所有と説明責任）を明記しておきます。

内部統制を外注すべきでない場面｜社内に窓口担当を一人も置けないケース

条件を示したうえで言い切ります。社内に窓口・レビュー担当を一人も置けない状態での外注は、選ぶべきではありません。評価結果をレビューし、報告書に責任を持つのは経営者であり、その判断を支える社内担当が不在では、成果物の妥当性を誰も確認できないからです。同様に、「丸投げで楽になること」を主目的にした外注も避けます。これらの状態で委託を進めると、形だけの文書が積み上がり、評価範囲外から重要な不備が出たときに対応できません。まず社内に最小限の体制（窓口1名と意思決定者）を確保し、その上で作業を外に出す、という順序を守ります。

内部統制の外注に関するよくある質問

内部統制やJ-SOX対応の外注を検討する担当者から多い質問を、実務の観点でまとめます。

内部統制の外注費用はどのくらいかかりますか？

費用は委託範囲と工数で大きく変わるため、定額の相場を一律に示すのは困難です。内部統制評価の外注は準委任契約での工数（人日）ベースが一般的で、フルスコープの一括委託か、IT統制や決算財務報告プロセスなど一部のみの委託かで総額が変わります。見積もりを比較するときは、委託する評価範囲と依頼業務を先に確定し、追加調査が生じた場合の費用の扱いまで含めて確認すると、社数間の比較が正確になります。安さだけでなく、ノウハウが社内に残る設計になっているかも費用対効果として評価します。

内部統制（J-SOX）はどこまで外注できますか？

3点セット（業務記述書・業務フロー図・RCM）の作成と更新、整備状況・運用状況評価のテスト、IT統制の評価支援、決算・財務報告プロセスの評価支援まで、作業レベルの工程は幅広く外注できます。一部だけの委託もフルスコープの委託も可能です。一方で、内部統制の有効性を評価し、内部統制報告書に署名して表明する経営者の責任は外注できません。委託先の成果物を自社がレビューし、判断の根拠として採用する工程は社内に残ります。

内部監査を外注すると「内部監査ではない」と監査法人に指摘されませんか？

指摘を避ける鍵は、丸投げにせず社内に責任者を置くことです。内部監査責任者（専任または兼務）を社内に置き、外注先とは協働で監査を実施する体制にします。外注先には専門領域の監査やアドバイザリーを担わせ、計画・結果の活用・改善フォローは社内が主導します。会計監査を受けている監査法人がいる場合は、外注先との関係と独立性を事前に整理しておくと、内部監査としての実効性が認められやすくなります。

委託先からSOC報告書は必ず取得しないといけませんか？

必須ではありませんが、財務報告に関わる業務を委託している場合は、受託会社のコントロールを評価する必要があり、その実務的な手段としてSOC報告書（保証報告書）の取得が有効です。報告書がない場合は、委託企業の担当者が受託企業に赴いて統制を評価することになり、負担が大きくなります。報告書を取得する場合は、Type1かType2か、対象範囲が自社の委託範囲と一致するか、対象期間が期末日まで届くか（届かなければブリッジレター）を確認します。

IPO準備企業は内部統制の外注をいつから検討すべきですか？

早めの検討が前提になります。J-SOX制度は、上場後最初に到来する事業年度末から適用されるため、IPO準備会社は通常、申請期から逆算してN-2期またはN-1期には内部統制対応の準備を始めます。専門人材を確保しにくい準備段階では、外部のコンサルや監査法人系ファームに構築支援を委託し、運用を回しながら内製へ移すハイブリッドが現実的です。委託範囲と契約形態を早期に固め、社内に窓口担当を置いてから着手します。

関連記事

• J-SOX改訂ポイントを2024年4月施行の実務目線で解説｜評価範囲・IT統制・今後の見直し：外注の前提となる評価範囲のリスクベース化とIT委託の統制を制度面から把握できます。
• IT業務処理統制（ITAC）の定義とIT全般統制（ITGC）との役割の違い：IT統制を外注するか内製するかを切り分ける際の判断材料になります。
• 業務改善の第一歩として理解すべきBPOとBPRの定義と本質的な相違点：業務プロセスを一括委託するBPOの考え方を、外部委託の前提知識として補えます。