Contents
  1. テーマ:信頼せよ、されど検証せよ ~「拡張された企業」のリスク管理~
  2. 【練習問題】パート1 セクションA-5-b

テーマ:信頼せよ、されど検証せよ ~「拡張された企業」のリスク管理~

現代の企業活動は、自社だけで完結しません。部品の調達、ITシステムの運用、給与計算、配送など、多くの機能を「外部(第三者)」に依存しています。これを「拡張された企業(Extended Enterprise)」と呼びます。

このセクションでは、組織の外側にいるパートナー(サプライヤー、ベンダー、業務委託先)に対して行うアシュアランス業務である、「第三者監査(Third-Party Audits)」と「契約遵守監査(Contract Compliance Audits)」について学びます。

「社外の人」を監査するためには、社内監査とは異なる「武器(権利)」と「配慮」が必要です。

1. 契約遵守監査(Contract Compliance Audits)

これは、取引先が契約書に書かれた条件を守っているかをチェックする監査です。

必須の武器:「監査権限条項(Right to Audit Clause)」

社内の部署なら「内部監査基本規程」を印籠にできますが、社外の独立した企業には通用しません。 外部業者を監査するためには、契約書の中に「監査権限条項(Right to Audit Clause)」が含まれていることが絶対条件です。これがないと、先方の帳簿を見たり、オフィスに入ったりする権利がありません。

主な監査目的

  1. 過大請求の回収(Financial Recovery):
    • 単価の間違い、二重請求、契約外の経費請求などを発見し、払い過ぎたお金を取り戻します。特に「実費精算契約(コスト・プラス契約)」ではリスクが高くなります。
  2. 品質と納期(SLA)の確認:
    • サービスレベル合意書(SLA)通りのパフォーマンス(例:稼働率99.9%)が出ているかを確認します。
  3. 最恵国待遇条項(Most Favored Nation)の確認:
    • 「他社に提供している価格より高くしない」という約束が守られているかをチェックします。

2. 第三者監査(Third-Party Audits)

契約遵守監査よりも広い概念で、組織とビジネス関係を持つ外部エンティティ(実体)に対する監査全般を指します。

対象となる第三者の例

  • サプライヤー、サービスプロバイダー
  • ジョイントベンチャー(合弁事業)のパートナー
  • 販売代理店、ディストリビューター

監査の視点(何を見るか?)

  • 情報セキュリティ: 委託した顧客データが安全に守られているか?
  • 事業継続計画(BCP): 災害時にサプライチェーンが止まらないか?
  • ESG/コンプライアンス: 児童労働をしていないか? 環境規制を守っているか?(サプライチェーン・リスク)

3. 第三者保証報告書(SOCレポート等)の利用

クラウドサービス(AWSやAzureなど)や、大規模な給与計算会社を利用している場合、一企業の内部監査人が彼らのデータセンターに乗り込んで監査するのは現実的ではありません(相手も拒否します)。

このような場合、「第三者保証報告書」を利用します。 代表的なものがSOCレポート(System and Organization Controls Report)です。

  • SOC 1: 財務報告に係る内部統制の評価(財務監査向け)。
  • SOC 2: セキュリティ、可用性、機密保持などの評価(IT監査・委託管理向け)。
    • Type 1: ある「時点」でのデザイン(設計)の評価。
    • Type 2: ある「期間」を通じた運用の有効性の評価(監査証拠として強いのはこちら)。

内部監査人は、自分で監査に行く代わりに、このレポートを入手し、評価することによってアシュアランスを得ます。

4. 監査実施上の注意点

第三者監査は、あくまで「ビジネスパートナー」への監査です。

  • 関係性の維持: 警察のような高圧的な態度は、その後のビジネス関係を悪化させます。
  • 相互利益の強調: 「請求ミスを正すことは、御社の経理プロセスの改善にもつながります」といった建設的なアプローチが重要です。

まとめ

セクションA-5-bのポイントは、「契約(Contract)」と「効率(Efficiency)」です。

  • 外部を監査するには、契約書上の「監査権限」が不可欠。
  • 巨大な相手や専門的な相手には、直接監査ではなく「SOCレポート」を活用して効率的に保証を得る。

組織のリスク管理は、もはや社内の壁を越えて広がっていることを認識してください。

【練習問題】パート1 セクションA-5-b

Q1. 内部監査部門長(CAE)は、主要な原材料サプライヤーに対する「契約遵守監査」を計画している。この監査を実施するための前提条件として、最も重要かつ不可欠な要素はどれか。

A. サプライヤーが上場企業であり、財務諸表を公開していること。

B. サプライヤーとの契約書の中に、発注元がサプライヤーの記録や帳簿を閲覧できる「監査権限条項(Right to Audit Clause)」が含まれていること。

C. 内部監査基本規程において、監査対象範囲に「外部取引先」が含まれていること。

D. サプライヤーの内部監査部門長とCAEが個人的な知人であること。

【解答・解説】

正解と解説を表示

正解(B): 内部監査人の権限は原則として組織内部に限定されます。組織外部の独立した企業を監査する場合、その法的根拠となるのは当事者間の「契約」です。監査権限条項がなければ、サプライヤーは監査人の立ち入りや帳簿閲覧を拒否する正当な権利を持ちます。

不正解(A): 上場・非上場に関わらず、契約上の権利がなければ監査はできません。

不正解(C): 内部規定は自組織内のルールであり、外部企業を拘束する力はありません。

不正解(D): 個人的な関係は監査の根拠になりません。

Q2. 組織は、給与計算業務を外部のサービスプロバイダーに委託している。内部監査人が、このプロバイダーにおける個人情報保護のコントロールが有効に機能しているかを確認したい場合、最も効率的かつ効果的なアプローチはどれか。

A. プロバイダーのオフィスを予告なしに訪問し、抜き打ち監査を実施する。

B. プロバイダーに自己評価アンケートを送付し、「問題ありません」という回答をそのまま信頼する。

C. プロバイダーの独立監査人が発行した「SOC 2 Type 2 報告書(一定期間の運用の有効性に関する報告書)」を入手し、その内容を確認する。

D. 委託契約を解除し、給与計算業務を社内に戻すよう経営陣に提言する。

【解答・解説】

正解と解説を表示

正解(C): 外部委託先(特にITやプロセス処理業者)のコントロール評価において、自ら監査に赴くことはコストや専門性の面で非効率な場合があります。独立した第三者(CPA等)が検証したSOCレポート(特に運用の有効性を示すType 2)を活用することは、信頼性の高いアシュアランスを効率的に得るための標準的な手法です。

不正解(A): 契約上の権利があったとしても、予告なしの監査は関係を悪化させる上、実効性が低い可能性があります。

不正解(B): 自己評価のみに依存することは、客観的な証拠(アシュアランス)として不十分です。

不正解(D): 監査の目的はコントロールの評価であり、アウトソーシング戦略そのものの否定ではありません。

Q3. 建設プロジェクトにおける施工業者との契約が「実費精算契約(コスト・プラス契約)」である場合、内部監査人が実施する第三者監査において、最も重点を置くべきリスク領域はどれか。

A. 施工業者の経営理念や企業文化が、自社と合致しているか。

B. 施工業者が請求してきた人件費や材料費が、契約条件に基づいて正確に計算され、架空の費用や二重請求が含まれていないか(過大請求リスク)。

C. 施工業者の従業員の満足度や離職率の推移。

D. 施工業者が他のクライアントに対して行っている営業活動の内容。

【解答・解説】

正解と解説を表示

正解(B): コスト・プラス契約(かかった費用+利益を支払う契約)では、業者は費用を多く計上するほど利益が増えるため、「過大請求(Overbilling)」のリスクが極めて高くなります。したがって、請求書の根拠となる証憑(タイムシートや領収書)を詳細にチェックすることが監査の主目的となります。

不正解(A): 重要な要素ですが、金銭的なリスク(過大請求)の確認に比べれば優先度は下がります。

不正解(C): これも参考情報ですが、契約遵守監査の直接的な目的ではありません。

不正解(D): 他社への営業活動は監査範囲外(Out of Scope)です。