J-SOX2023年改訂で内部統制がやるべきこと Part.02 - ITへの対応が最重要です! -
2023年04月企業会計審議会(金融庁)において改訂版・内部統制報告制度(J-SOX2023改訂版)が発表されました。15年ぶりの改訂です。
今回の記事では、この改訂のポイントの中でも特に大幅変更となった「ITへの対応」について、特記すべき事項を挙げて説明します。
(*約8分程度でお読みいただけます。)
「ITへの対応」の変更の影響は “ 広く・深い ”
今回の2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)(*以下「J-SOX2023改訂版」といいます)では、大きな変更点がいくつもあります。その中のひとつに、内部統制の6つの基本的要素である「ITへの対応」が挙げられます。この「ITへの対応」に関する内容がどのように変更されたかと言いますと・・・この変更により影響する範囲が広すぎて、またかなり深い内容で変更されており、ひと言では言い表せない内容です。
大雑把ですが、その “ 広く・深い ” について説明します。
変更の影響が “ 広い ” とは?
「ITへの対応」の変更内容は、内部統制の4つの目的・6つの基本的要素すべてに影響しています。ひと言でいえば “ 広い ” となります。
理由はとても簡単です。社内のすべての業務にコンピューターとIT(情報技術)が関わっており、さらに言えば、コンピューターとITが無ければすべての業務が止まってしまうほど深く浸透し、無くてはならない技術・ツールだからです。
2011年東日本大地震のとき、私は東京におりました。電話は、地震発生直後は使用できていたものの、しばらくして繋がりにくい/まったく繋がらなくなりました。並行してインターネットも繋がらなくなりました。地域によっては停電になったところもあったかと思います。会社はそのような状況下で「仕事にならない」ということとなり、皆さんは会社から徒歩で帰宅されたのではないでしょうか。
まさに「停電・インターネット不通」になったら、コンピューターとITは使用できなくなり、会社と皆さんは仕事にならないのです。また最近では、システムやデータの破壊や窃取、改ざんを行う犯罪行為、いわゆるサイバー攻撃が多発し、これにより会社のサイト/サービス提供が一時停止され、多くの会社が甚大な被害を被っています。
このようにITへの対応は、BCP(Business Continuity Plan/事業継続計画)だけでなく、今後は内部統制においても会社が生命線であるITをどのように守り抜き、経営の安定および成長につながる管理をしていくのかの対策と対応が必要になりました。この点において、内部統制としても最重要ポイントとなったのです。
今回のJ-SOX2023改訂版では、評価・監査基準の「内部統制の基本的要素・(6) ITへの対応」項(15ページ)に注意書きが付記されています。この注意書きに注目してください。
引用部分の後段を太文字にしました。この部分は、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要であることについて、事例を挙げて示しています。次の2つです。
企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること
各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていること
上記の2つを業務プロセス(PLC)の業務フローとIT全社全般統制(ITGC)、IT業務処理統制(ITAC)に当てはめてみてください。評価の範囲は、PLC、ITGC、ITACはもとより、決算・財務報告プロセス(FCRP)にも及んでおり、もちろんこれらのプロセスを整備・確保することが必要になっていますので全社統制(CLC)にも影響しています。つまり影響の範囲は内部統制全部に影響します。影響する範囲は広いです。
このことは、いま現在内部統制の評価担当者・責任者はすでにこれを意識して評価監査にあたっていることと思いますが、問題は今回のJ-SOX2023改訂版でわざわざこのように注意書きにして、しかも事例を挙げて具体的に示していることです。その理由は前回の記事「J-SOX2023年改訂で内部統制がやるべきこと Part.01 - 改訂の概要から - 」で説明しましたように、今回の改訂の大きな目的は「内部統制の実効性向上」であり、これを「ITへの対応」の側面から、より明確に示すためです。ちなみにこの実効性の向上を明確に示すためのもうひとつの側面は、「リスクの評価と対応」です。
さて、実効性の向上ですから、ITへの対応としてやるべきことは次の2点です。
プロセスを確保する:IT計画に基づくITに係る予算案の作成と予算承認
プロセスを実施する:財務報告の正確性を確保していることの説明責任(explain)
このことから会社は、有報、内部統制報告書などの開示書類、ESG( Environment /環境、Social /社会、Governance/企業統治)を考慮した報告書など、さまざまな箇所で説明する義務を負うこととなるでしょう。
変更の影響が “ 深い ” とは?
つぎは “ 深い ” についてです。
この深さを理解するための大きなヒントがあります。それは2013(平成25)年5月米国のCOSO(トレッドウェイ委員会支援組織委員会)の内部統制の基本的枠組みに関する報告書(以下「COSO報告書」という。)です。
J-SOX2023改訂版は2013年COSO報告書の内容を元に改訂されているのですが、大きなヒントは前半に記述されている「リスクの複雑化に伴う内部統制上の課題に対処するため」です。リスクの複雑化には、ITではサイバー攻撃などのセキュリティ関連だけではなく、従業員のIT利用環境や管理業務の外部委託などIT環境全般を指しています。直近では多くの会社で従業員のリモートによる業務遂行が行われ、IT環境では自社で適切管理を行なわずいわゆるクラウド環境に移行しているケースがあり、クラウドサービスの会社にその管理を委託するなどして依存しています。
また社内においても、セキュリティを含む情報システムの環境構築・保守等の管理を外部に委託している会社もあるでしょう。特に個人情報やフィンテック(Finance・Technology)が自社サービスの根幹にある会社は、特殊な技術を用いたIT関連セキュリティ専門会社にその管理を委託しているケースもあります。
私がこの項で「変更の影響が深い」と示したのは、評価・監査実施基準全体においてこの「ITへの対応」に関する変更の影響度が広範囲かつ深く影響しているためで、これを網羅的に説明したいところですが、以下ではポイントを絞って、ITの委託業務についての部分を説明します。
まず、「ITへの対応」の評価をどのようにすべきかの考え方を、J-SOX2023改訂版の「財務報告に係る内部統制の評価及び監査に関する実施基準」(31ページ以降)の「内部統制の基本的要素」章にある「IT(情報技術)への対応」項で以下のように示しています。
ここで「かかるITの委託業務に係る統制の重要性が増している」と示したうえで、「Ⅱ. 財務報告に係る内部統制の評価及び報告」では「例えば」と前置きして具体的な評価の範囲を示しています。
このように、外部委託先会社についても評価の範囲とすることと示しています。
ITGC、ITACでは、いままでも外部委託先を評価の範囲としていますが、その評価方法および評価項目の内容については最重要課題である認識は無かったかと思います。ところが今回このように示しているポイントは、その外部委託先について「有効性を評価しなければならない」としているところです。
ここでいま現在内部統制評価を担当している皆さんは、例えば基幹・会計システムサービス提供元が「SOCレポート」を発行していることにお気づきでしょう。このSOCレポートは、基幹・会計システム等サービス提供元がその提供サービス等受託業務に係る内部統制の有効性および第三者機関(監査法人、公認会計士)による評価結果をまとめた報告書です。このSOCレポートが有効性の評価の証憑となります。これを逆に言えば、このSOCレポートを発行していない外部委託先が提供するサービスは、例えば評価項目をさらに追加したり、証憑の追加提出を依頼するなどして対応する必要がでてきます。もしそのような対応ができなければ、評価監査の結論としてはいままでのように適合とすることは難しいでしょう。
このほかにも「ITへの対応」については改訂されたポイントが多岐にわたっていますが、上で説明しました外部委託先に関する点については、皆さんの会社でも多少の混乱が出るものと考えます。例えば、いまご利用中の基幹・会計システムについて、大手のサービス提供元であればSOCレポートの入手は比較的容易だと思いますが、皆さんの会社の決算期とSOCレポート発行のタイミング時期がズレている可能性があります。皆さんの会社の決算期・事業年度の期間中に発行されたSOCレポートが必要になりますので、この点をご注意ください。
また販売管理システムもITGC/ITACの評価範囲に設定している場合には、この販売管理システムのサービス提供元からもこのSOCレポートを必要とするケースがあるかと思いますが、これを発行しているところは僅少でしょう。そうなると当該システムをどのように評価するのかを十分に検討しなければなりません。ただし誤解しないでいただきたいのは、J-SOX2023改訂版でも「組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」と言っていますので、先のとおり評価項目をさらに追加したり、詳細説明の証憑を追加するなどして、十分な対策を講じてその対応にあたってください。
「ITへの対応」について、会社の説明責任の観点から言えば、具体的にその内容を対外的に明示・開示する部分ではありませんので、どのようなIT環境でどのような管理をし、どのように業務処理を行うか、またその業務手順とリスクへの対策の内容等については個々の上場会社の方針(ポリシー)次第です。その会社と会社の方針に委ねられているわけですから、以後何らかの発生事実があった場合にはITや外部委託先に責任を押し付けることができないことになります。内部統制上の責任は、すべて会社の責任になるのです。この「ITへの対応」だけを見ても、これまで以上に会社の責任を明確かつ厳格に示しているものと考えます。十分に検討し対策を講じていきたい部分です。
今回はJ-SOX改訂ポイントの「内部統制の基本的枠組みの改訂」のうち「②内部統制の基本的要素の2つの内容が改訂された」のひとつ目「ITへの対応」について大雑把ですが説明しました。
私が今回のJ-SOX2023改訂版で、ITへの対応関連でもうひとつ注目している点があります。それは「財務報告に係る内部統制の評価の方法」項です。ここで新たに加筆されている内容を見て「これは!」とお気づきの方も多いでしょう。その加筆されている内容とは、今回の「ITへの対応」に関する改訂の内容がいままで以上にISMS(ISO27001)により近くなった(親和性が高くなった)ことです。
次回は上記を踏まえて改訂ポイントのひとつ「財務報告に係る内部統制の評価及び報告の内容及び方法等の改訂」について、ITへの対応関連の側面から説明します。