外部委託の利用に関する内部統制上の論点

外部委託利用の利点と留意点

企業活動が複雑化する一方で、外部委託の利用が多くの企業で実施されている。従来から自社で行っていた機能を、新たに外部委託することはビジネス・プロセス・アウトソーシング（以下、「BPO」）と呼ばれる。BPO の目的は、企業における中核機能（コア・コンピテンス）に資源を集中することによって競争力を高めるとともに、非中核機能を外部に委託することによって、自社で整備及び運用していた場合に比べてより価格競争力のあるコスト構造を手に入れることを可能とする点にある。

 　また自社で行っていた非中核機能を新たに外部委託するBPOと異なり、ビジネスの立ち上げ時点から、非中核機能を外部委託している場合もある。例えば、製造業であれば会社設立当初から、販売機能を小売業者等に委託することがある。本稿においては、BPO及び当初から外部委託を利用する場合をあわせて、「外部委託の利用」と定義した上で検討することとする。

 　内部統制の要素は、COSO フレームワークに従えば、統制環境、リスク評価、統制活動、情報とコミュニケーション、モニタリングの5要素となるが、今回は理解を容易にするために、組織を管理運営していく上で下支えとなる企業理念、方針、業務手続の一連の仕組みを内部統制と定義したうえで検討する。また、外部委託に関する内部統制の論点として、外部委託先の内部統制をどのように評価するのかという金融庁内部統制報告制度（以下、「J-SOX」）上の論点があるが、本稿ではその論点は扱わない。外部委託を利用する場合に、内部統制の観点からどのようなリスクが顕在化するのか、それらリスクを低減させるための自社の方策にはどのようなものがあるか、といった経営管理上の論点から説明することとする。

外部委託の利用により生じる内部統制上のリスク

外部委託の利用により、非中核機能が企業組織の外側に存在することとなる。この場合、もともと自社で整備及び運用していた非中核機能に関連する内部統制、すなわち企業理念、方針、業務手続はどのように外部委託先で整備及び運用されるのであろうか。

 　外部委託の利用に際し特段考慮しない場合、これらは外部委託先の企業理念、方針、業務手続に従うことになる。非中核機能を企業内部で整備・運用していた場合には、各ガバナンス階層について責任を有するコーポレート部門（例えば企業理念であれば、経営企画部、情報セキュリティ方針であれば情報システム部門）が、整備・運用状況について責任を有していた。一方で非中核機能を、外部委託した場合には、外部委託先に自社と同一の内部統制をどの程度整備・運用させるかが課題となる。

　図1-1（ダウンロードファイル参照）は、外部委託の利用がない組織の内部統制の概念図である。企業を効率的に運営するためには、企業には企業理念、方針、業務手続の3層構造が必要となり、これらが企業活動の各機能を支える。COSO フレームワークに従えば、内部統制には業務の有効性及び効率性、財務報告の信頼性、法令遵守の3つの目的がある。企業における諸機能は、企業理念、方針、業務手続が整備及び運用された上で効率的に機能し、上記内部統制上の目的を達成することになる。

 　図1-1では、企業における主要な機能として、企画、総務、人事、情報システム、研究開発、製造、物流、販売、保守を取り上げている。これら機能は企業内において、例えば企画機能であれば総合企画部門、総務機能であれば総務部門といったように企業内の各組織に職務分掌規程で定義された上で割り当てられている。

 　図1-2は、企業における非中核機能を外部委託した場合における概念図である。本例示では物流、販売及び保守機能を外部委託した場合を想定している。物流機能とは、具体的には製造した製品を小売業者ないしは卸業者に対して搬送する機能である。物流機能について外部委託を利用している場合とは、例えば外部の物流業者や倉庫業者に対して物流機能を委託している場合である。販売機能とは小売業者が直接消費者に対して販売する機能そのものである。具体的には小売業者や販売代理店を利用することによって販売機能を外部委託する場合である。保守機能とは販売した製品をメンテナンスする機能である。

 　図1-2では、物流、販売、及び保守機能について外部委託が利用されているが、これらの機能を外部委託する経済合理性は容易に理解できる（例えば物流機能を自前で整備するよりも、外部の物流業者を利用したほうが単位当たりの物流費を削減することが可能となる等）が、一方で、外部委託を利用する際に内部統制を考慮しない場合、自社における企業理念、方針、業務手続は外部委託先に引き継がれない。そのような場合どのような不具合が生じるであろうか。

外部委託の利用に関連した内部統制上のリスク

企業理念とは、企業活動全体を統治するための基本概念である。企業によって「企業使命」「ミッション」等と呼ばれる。企業理念は概念的に定義される場合が多い。

 企業成立時から培われてきた企業の存在目的、社会に対する姿勢、責任等を自社で定義したものであり、自社で働く従業員の意識付けや行動様式を律する。一方で得意先や最終消費者に対しては、自社のブランディングと密接に関係する。したがって、外部委託先において外部委託元（自社）の企業理念が適切に整備及び運用されない場合、結果的に自社ブランドを毀損する恐れがある。

 　方針とは企業理念を受けて、企業活動を効率的に運用するために定められた具体的な方針をさす。具体的な例示としては、情報管理について言えば情報セキュリティポリシーであり、法令遵守であればコンプライアンス方針等が該当する。これら方針が外部委託先で適切に整備・運用されない場合どのような不具合が生じるであろうか。例えば、自社の情報セキュリティポリシーがより具体的に規程されているにも関わらず、外部委託先における情報セキュリティポリシーが一般的な記述にとどまるような場合には、外部委託先においてセキュリティ事故のリスクが高まるかもしれない。

 　業務手続とは、方針を受けて業務そのものの手続を規定したものである。例えば物流であれば物流マニュアル、販売であれば販売マニュアル等が例として挙げられる。 これらは方針に記述された内容を、業務担当者レベルの具体的な作業手順に落としたものである。業務手続は従業員の具体的な行動様式を規定することとなる。また具体的な内部統制手続もこれら業務手続書に規定される。 したがって、業務手続が自社と外部委託先において相違がある場合、具体的な作業手順が異なることとなり、サービス品質が落ちたり、自社の評判を毀損したりする恐れがある。

企業理念の違いから顕在化したリスク（例示）

A社はヘルスケアプロダクトを扱う製造業である。もともとA社は直販店を有しており、直販店の販売が9割、インターネット販売が1割であった。今回販売チャネルの多様化を検討した結果、B 社（家電販売店）と販売代理店契約を締結してA社商品のおよそ50％をB社を通じて販売することとなった。B 社はA 社の販売代理店としてA社のロゴを冠したパンフレットをB社の店舗にて配布して販売を開始した。

 　B社店舗における販売は順調に増加していったが、マーケットにおけるA社製品の評判が以前より落ちていることが判明した。原因を分析した結果、顧客ニーズと固定客へのケアを得意としてきたA 社と、薄利多売を業とする家電販売店であるB社の間の企業文化の違いにあることが判明した。すなわち、A 社が直販店で販売する際には、顧客のニーズを対面説明の場においてよく理解した上で、顧客ニーズにマッチした製品を薦める販売方式を取っていた。しかしB社では対面説明の時間に割くよりも、より多くの商品、より多くの種類の商品を店頭に並べたうえで、短い時間でより多くの顧客により多くの商品を説明することに注力していた。

 　結果として、B社店舗の店頭にて商品を購入した顧客は、A社直販店よりも短い時間の説明で商品を購入することになり、顧客自身が意思決定に時間を掛けなかった分、購入後の満足度が相対的に低くなるという結果に陥ったようであった。

方針の違いから顕在化したリスク（例示）

C社は、人事システムを開発するソフトウエア会社である。今回、特定の顧客（E 社）用に開発していた人事システムのうち、一部モジュールについて、開発及びテスト作業をD 社に外注した。プログラムテストで利用するために、実名等をマスキング処理したE 社の人事テストデータをD社にも利用させていたが、今回D社から人事テストデータが流出してしまった。

 　C社においては、マスキングされた人事テストデータであっても、社内的には個人情報と同等の情報セキュリティ方針が適用され、テスト環境へのアクセス制限や職員の限定等の厳密な管理が必要とされていたが、D社においては、個人情報扱いではなく、それよりも一段階低い一般情報としての情報セキュリティ方針が適用されていた（その結果、マスキングされた人事データには社内の不特定多数のアクセスが可能となっていた）。

 　流出した人事テストデータは、インターネット掲示板に流出し、それら内容はマスキングされた人事データではあったが、E 社のものと特定できるデータが一部含まれていたため、個人情報流出として認識され結果的にC社の評判を下げることとなった。

業務手続の不徹底から顕在化したリスク（例示）

F社は、高機能機械を製造する会社である。従来はF社販売子会社を通じて販売していたが、今回独立系の販売代理店（G 社）を利用することになった。F社製品の顧客は個人であり、販促活動には店頭における各種イベントや、PR活動が含まれる。販売代理店G 社は各種イベントやPR活動に関する費用をF社に対して報告する義務があるが、販促活動に掛かった費用は、直接F社からG社には払われず、報告された販促費用総額と販売 台数を加味した上で販売奨励金（セールスインセンティブ）としてG社に支払われる。ただし、実質的には報告された販促費用全額と、販売台数に一定金額を乗じた金額が合計されて販売奨励金として支払われることになっている。販促活動の種類や、報告内容、計算方式等はF社の販売子会社で利用しているものと同じものが利用されることとなった。

 　G社を経由した販売活動は順調にスタートしたが、数ヶ月経ったのちにF社販売子会社の一台あたりの販売促進費を比較した結果、販売代理店G社のほうが一台あたりの販売促進費が高いことが判明した。G社の合意を得た上でG 社の報告書について調査をした結果、G社がF社に対して報告していた販売促進費用のうち、いくつかの点で誤りがあったことが判明した。誤りの原因の多くは、販売促進費用の取扱いの誤り（例販売促進費用に含めるべき費用の理解誤り等）があったことが判明した。また実際に発生していなかった販売促進費用のうち一部が報告書上含まれていたことが判明した。

外部委託実施前の検討事項

（1）企業理念

上場企業であれば、企業理念は文書化されている場合が多く、また広報活動を通してそれら概要を理解することが可能である。一方で非上場企業については企業理念が文書化されていない場合も想定され、組織外部から理解することが困難な場合もありえる。

このような場合も含めて現実的には、外部委託先の経営者に対して、ヒヤリングを実施し自社の企業理念との相違を確認することが必要な手続となる。

その際、確認すべき事項としては、下記のようなものとなるが複数の外部委託先を検討する場合には所定のチェックリストを作成した上で確認することも有効であろう。

確認事項例（販売機能）：

●経営者の姿勢
●顧客に対する姿勢
●取扱いサービスの種類（例：薄利多売か、小ロットを高付加価値で販売か）
●取引先の性質（例：卸売か、小売か）
●自社のサービスに対する考え方（例：少品種大量販売か、多品種小ロット販売かによって、販売に活動に関する考え方は異なる）等

（2）方針

外部委託する機能に関して、外部委託先の方針の有無及び内容を確認することが必要である。確認すべき方針は、外部委託する機能によって異なる。販売機能についての例示は以下のようなものである。自社と外部委託先の方針とを比較することによって、相違が潜在的にどのようなリスクを含んでいるかについて確認することが必要となる。

場合によっては、自社方針を外部委託先が遵守すべき旨を業務委託契約書上明記することが必要となる。また、外部認証規格が存在している場合には、それら認証を有しているかどうか（例えば情報セキュリティポリシーについてはISO17799等）確認することことによって、方針に関する整備及び運用状況を確認することが可能となる。

　確認事項例（販売機能）：

●販売組織図
●販売管理体制
●販売管理費構成
●価格決定方針セールスインセンティブ方針　等

（3）業務手続

業務手続についても、確認すべき業務手続は、外部委託する機能によって異なる。販売機能についての例示は以下のようなものである。業務手続そのものについては、企業毎に異なる場合が多い。したがって、外部委託する機能について外部委託先でどのように業務手続を実施するかについて、自社と外部委託先において十分に協議して合意することが必要である。業務手続は外部委託する業務品質そのものを決定するために、業務マニュアル等の形で文書化したうえで合意することが必要である。

また内容によっては、方針と同様に外部認証規格がある場合には、それら認証を有しているかどうか（例えば情報セキュリティポリシーについてはISO17799等）を確認することによって、業務手続に関する整備及び運用状況を確認することが可能となる。

　確認事項例（販売機能）：

●販売マニュアル
●販売促進費管理マニュアル
●顧客クレーム対応マニュアル
●セールスインセンティブ計算マニュアル　等

（4）モニタリングに関する事項

上記に加えて外部委託開始前に、モニタリングに関する事項を合意しておくことが必要である。

まずは外部委託する機能についての主要なパフォーマンス評価指標（Key Performance Indicator, KPI）を事前に決めておくことが必要である。例えば、販売機能を外部委託する場合には、月次販売数量、適切な在庫水準、在庫回転率、販売経費比率等について目標数値、計算方法を決めておくことが必要である。同時に目標数値が未達だった場合における措置等を明確にしておく必要がある。

KPI が適切に設定されない場合、例えば業務の有効性及び効率性について、外部委託開始後に外部委託元（自社）が適切にモニタリングすることが出来なくなる。

また、KPI を含む方針、業務手続について、適切な頻度で外部委託先の状況を外部委託元（自社）がモニタリングできるように調査条項ないしは内部監査条項を業務委託契約書上盛り込むことが必要である。

これら条項が業務委託契約書上に盛り込まれない場合、外部委託開始後に何かしら不具合が生じても実質的に外部委託先をモニタリングすることが不可能となる場合が多い。少なくとも年に1度は状況を調査したうえで、それら調査結果について外部委託元（自社）と外部委託先で内容を確認する必要があると考える。

一部企業においては、モニタリング作業そのものを外部の監査法人等に委託する場合がある。モニタリングの実施により、KPI、方針、業務手続に関する外部委託先の手続が適切に整備及び運用されていなかったと判明した場合は、モニタリングに要した費用を遡及的に外部委託先に請求可能とする条項を盛り込んでいる場合もある。

外部委託実施後の検討事項

（1）企業理念

外部委託が開始した後に、企業理念についても適宜モニタリングすることが必要である。特に買収等を契機として、外部委託先のオーナーが変わった場合には企業理念が大きく変わる可能性がある。外部委託先との定期的なコミュニケーションを通じて企業理念が業務のうえで、どのように影響するかについてモニタリングすることが必要である。

（2）方針

外部委託の開始後は、当初合意していた方針等が継続的に整備及び運用しているかを確認することが必要となる。外部委託先との定期的なコミュニケーションを通じて確認することも可能であるが、前述した内部監査条項を利用した上で、方針の整備及び運用状況を確認することが最も有効である。

内部監査条項を利用したモニタリングは、自社と外部委託先との信頼関係を悪化させるのではとの懸念が一部ある。しかしながら前述したように外部委託先の内部統制が不十分であったことを原因として結果として自社の評判が毀損するリスクが十分にありえる。したがって適切なモニタリングを実施することは、自社の株主への説明責任を果たすうえでも、必要な管理手続の一部として認識することが必要である。

（3）業務手続

業務手続についても、方針と同様に当初合意していた業務手続が継続的に整備及び運用しているかを確認することが必要である。外部委託先との定期的なコミュニケーションを通じて確認することも可能であるが、前述した内部監査条項を利用した上で、方針と同様に、業務手続についても整備及び運用状況を確認することが必要である。効果的なモニタリングを実施するためには、外部委託先で利用できるセルフチェックリストを作成した上で、まずは外部委託先内で確認する体制を確保してもらうことも有効な方策である。

（4）KPI等

外部委託の開始後は、KPI についても継続的なモニタリングが必要である。特に外部委託先の財務情報を利用して計算されるようなKPI（例：在庫回転率）については、外部委託先の財務情報そのものが適切かどうかを確認することが必要となることがある。

また、販売機能を外部委託する場合（例：販売代理店契約）には、販売実績や販売促進活動の実績に応じて、自社から販売委託先に販売奨励金が支払われる場合が多いが、それら販売実績や販売促進活動の実在性や網羅性についても、適切にモニタリングする必要がある。これらは単に販売奨励金の金額の妥当性を確認するためだけでなく、投資効果測定（例：支払った販売奨励金に見合った販売実績が上がっているかどうかの確認）を適切に行う上でも重要である。

外部委託とモニタリング

企業における非中核機能を外部委託した際における内部統制上のリスクを俯瞰した。外部委託の利用については、国内のみならず海外の外部委託先の利用が増えており、また従来に比べて委託業者数自体も増えている。外部委託業者について、業務品質もさることながら、内部統制上の品質もばらつきが生じていると聞いている。したがって、経済合理性のみならず内部統制の観点から、外部委託の利用を検討することが今後益々重要になってくると思われる。

 　また内部統制は、J-SOX に代表されるような財務報告に関する内部統制だけではない。業務の有効性及び効率性、法令遵守も含む。業務の有効性及び効率性に関する内部統制は、経済合理性とはトレードオフの関係にあるため、どこでバランスを取るべきかを考えることが必要となる。一方で法令遵守上のリスクは、最終的に自社の評判のみならず業務継続性を毀損する可能性もありえるため、規制業種に属する企業においては特に注意することが必要となる。

 　外部委託するうえでのリスクを適切に管理することで、当初想定した経済合理性が達成でき、中核機能への自社資源の集中が図れることとなる。一方で、モニタリングも継続的に実施することが必要であり、コストも必要となる。したがって、外部委託の利用の際には、当初からモニタリングコストを考慮して検討することが必要であろう。