J-SOX2023年改訂で内部統制がやるべきこと Part.03 - 「ITへの対応」とISMS -
2023年04月企業会計審議会(金融庁)において改訂版・内部統制報告制度(J-SOX2023改訂版)が発表されました。15年ぶりの改訂です。
今回の記事では、この改訂のポイントの中でも特に大幅変更となった「ITへの対応」の続編として、「ITへの対応」とISMSについて、特記すべき事項を挙げて説明します。
(*約8分程度でお読みいただけます。)
IT統制の基本は3つの視点
今回の2023改訂版「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(企業会計審議会・金融庁)(*以下「J-SOX2023改訂版」といいます)では、内部統制の6つの基本的要素のうち、特に「ITへの対応」に関する内容が大幅に改訂されています。その影響は広く・深いということは前回の記事で大雑把ですが説明しました。
ここで、もうひとつの資料をご紹介します。「システム監査基準」と「システム管理基準」でいずれも経済産業省が公表しているものです。J-SOXの改訂のタイミングにあわせてシステム監査基準/システム管理基準も改訂されていますが、その適用時期が多少ずれておりますので、その点をご注意ください。
J-SOX2023改訂版の適用時期:2024年04月01日以降に始まる事業年度から適用
システム監査基準/システム管理基準:2023年11月から活用を推進
なお、このシステム監査基準/システム管理基準は、IIA(内部監査人協会 )のIIA国際基準、倫理要綱等の最近の改訂を踏まえて改訂していますので、J-SOXとはまったく別物なのですが、どの基準もCOSOの内部統制の基本的枠組みを大本(おおもと)としておりますので大変参考になります。内容を理解するためにも非常に有効ですのでぜひご参照ください。このシステム監査基準を実施するためのガイドラインについては特定非営利活動法人日本システム監査人協会 (SAAJ) が策定・公開予定とのことですので、SAAJサイトをご確認ください。
なぜここでシステム監査基準をご紹介したかといいますと、内部統制・評価及び監査に関する実施基準には、具体的な監査実施の方法等内容の記述はありません。6つの基本的要素「ITへの対応」にはIT環境への対応、ITの利用及び統制の要素を挙げ、IT統制の目標として準拠性、信頼性、可用性、機密性を挙げていますが、具体的内容については経営者、つまり個々の上場会社に委ねている格好(体裁)になっています。ここで経産省が「システム監査が効果的かつ効率的に行われるためには、システム監査のあるべき体制や実施方法等が示される必要がある」(システム監査基準・前文1ページ)としてこのシステム監査基準が発表しているという流れになっております。
改めて申しあげますが、このシステム監査基準はJ-SOXとはまったく別物ですが、日本でのITシステムを監査対象とした監査基準としてその手順等を丁寧に説明しているものですので、参考にしていただきたいと考えます。ちなみにご存知の皆さんもいるかと思いますが、経産省は多くの分野で「ガイドライン」を公表しています。この経産省によるガイドラインの公表は非常に重要で、例えば個人情報関連については経産省公表のガイドラインがその後のスタンダードなルールになるなど、大きな影響を持っています。そのため経産省のガイドラインは目が離せない存在です。
話はJ-SOX2023改訂版に戻ります。
J-SOXで掲げている「ITの統制目標」(J-SOX2023改訂版52ページ)は次のとおりです。
準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
可用性:情報が必要とされるときに利用可能であること
機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
これらは先般の記事「IT統制とISMS認証」でもご紹介しました。これらの統制目標を達成することによって、会社の財務報告の信頼性を確保するのが内部統制の目的ですが、これらをどのようにすれば具体的に統制目標を達成することができるのか、を3つの視点から見ていきたいと思います。その3つの視点は、①ガバナンスの視点、②マネジメントの視点、③コントロールの視点 です。ここでISMS認証で求められている事項とリンクさせながら説明します。
【ITの統制目標達成のための視点】①ガバナンスの視点
ガバナンスの視点は、IT業務処理統制(ITAC)の評価において重要な視点となります。例えば販売管理においては業務処理内容を業務システムに入力し、これを処理した内容が会計システムに反映される流れですが、この会計システムに反映されるまでの業務処理内容においてどのようなガバナンス体制が整備され、運用としては透明、公正、迅速、果断な意思決定を行なっているのかを評価することになります。これは、J-SOX2023改訂版、システム監査基準(20ページ参照)の両方で同じような内容で説明されています。
そして、このガバナンス視点は、ISMSの要求事項では「組織の状況」と「リーダーシップ」などに当てはまります。また「常に見直される」とありますので、ISMS要求事項の「計画」などにあるPDCAサイクルに当てはまります。
【ITの統制目標達成のための視点】②マネジメントの視点
マネジメントの視点は、ITに係る全般統制(ITGC)の評価において重要な視点となります。内部統制の構築の手順として、内部統制の基本方針は取締役会が決定し、経営者(代表取締役)はこの決定を踏まえて財務報告に係る内部統制を組織内の全社的なレベル及び業務プロセスのレベルにおいて実施します。なお、この内部統制の基本的計画及び方針は、もちろんですが会社の当期経営方針及び事業計画に基づいたものでなければなりません。
ITGCの評価は、この内部統制の基本的計画及び方針に基づいた監査計画を策定し、これを実施します。整備評価では会社の当期経営方針及び事業計画の中にあるIT計画及びこのIT計画に基づいて策定されているIT予算計画とその実施要項の内容を確認します。運用評価ではIT計画、IT予算計画、実施要項の実施状況を確認します。これはISMSの要求事項でも「計画」と「運用」などに当てはまります。
【ITの統制目標達成のための視点】③コントロールの視点
コントロールの視点には2つの要素があります。ひとつは財務報告の信頼性を確保するためのシステムの機能的要素、もうひとつはリスク管理の要素です。J-SOXでは、これまでひとつめの財務報告の信頼性がメインでしたが、今回のJ-SOX2023改訂版ではふたつめのリスク管理の要素がかなり濃くなりました。ただし、J-SOXはそもそも「財務報告の信頼性」を確保するための制度ですので、会社におけるリスクといっても情報セキュリティだけでなく、事業リスク、経営全般リスクなど広範囲です。このことからこのコントロールの視点は、ITGC/ITACの両方の評価において重要な視点となります。なお、システム監査基準ではこの点について、情報システムの有効性、効率性、信頼性、安全性( 機密性、完全性、可用性)、準拠性が維持されるためのコントロールが有効に機能していることを確認するとしています。
このコントロールの視点は、ISMSの要求事項では「計画」のなかの「リスク及び機会に対処する活動」や、「運用」、「パフォーマンス評価」、「改善」などに当てはまります。
このように、上の3つの視点をもってIT統制を計画し、評価を実施することで、会社は社内においてはしっかりとしたコントロールを実施し、ステークホルダー等社外へはその実施状況を開示することができます。
この3つの視点は、内部統制の責任者である会社の経営者(代表取締役等)が持たなくてはなりません。また内部統制の各プロセスオーナー、評価責任者・担当者も会社の内部統制基本的計画及び方針を十分理解して構築・整備・運用・評価を実施することとなります。
ITの統制目標はISMSをうまく利用して達成しましょう!
IT統制は、これまで非常に高度なIT技術力と専門的知識を有した専門家または専門コンサルティングでなければIT統制の基盤構築、整備・運用評価など全体的に難しいというイメージがありました。今回のJ-SOX2023改訂版では前項の3つの視点が色濃く出ていますので、内部統制として要求されている体制構築と整備・運用の内容が、いままでとはだいぶ変更されていると理解しています。具体的には次のとおりです。
会社は経営方針・事業計画と同様に内部統制基本方針と計画を重要なものとして位置付け、策定しているか。
会社は経営方針・事業計画に合わせたIT環境、IT基盤、ITシステム導入等を行なっているか。これを適切に検討しているか。
会社はIT環境、IT基盤、ITシステムを適切な管理方法等によってマネジメントし、コントロールしているか。
会社によるIT環境、IT基盤、ITシステムのマネジメント・コントロールは、適切なガバナンス体制によって透明かつ公正に行われているか。
この4点を会社がしっかりと整備して運用することができれば、J-SOX2023改訂版に十分に適応・対応できますし、ここには非常に高度なIT技術力と専門的知識の要素は比較的薄いのではないでしょうか。
では、この4点をどのように構築し、整備・運用するのか。
その具体的な方法ですが、その点は前項でJ-SOX2023改訂版、システム監査基準とISMS要求事項を比較しながら説明しましたとおり、ISMSでかなりわかりやすく示されていますし、もし「具体的にどのようにすれば良いの?」とお考えの場合は、ISMS認証の事例は業界・業種・業態問わず多種多様にありますので、皆さんの会社に合った事例が見つけやすいです。
またISMSは内部統制と違い、従業員の皆さんにとって「業務に直接影響するルール」として身近であり、そのためISMSマニュアルへの理解や業務への浸透がスムーズに実施できます。もちろんISMS認証では教育研修が必須になっていますので、実施も徹底されます。業務の質の向上にも貢献しますので、ISMSは投資対効果の意味でも非常に有効です。
これからIPO・株式上場を目指す会社の経営者の皆さんは、ぜひISMSに目を向けていただけたらと思います。
今回はJ-SOX2023改訂版にある「ITへの対応」とISMSの要求事項をリンクさせて説明しました。内容としては、概念的な説明になってしまいましたが、ぜひ前述で紹介しましたJ-SOX2023改訂版、システム監査基準、ISMSの要求事項の3点を合わせてお読みいただき、会社に適合したITへの対応を構築していきましょう。
次回は先般の記事「J-SOX2023年改訂で内部統制がやるべきこと Part.01 - 改訂の概要から -」において「内部統制に関係を有する者の役割と責任」を説明しましたが、その内容が内部監査人のみでしたので、改めて「内部統制に関係を有する者」のうち監査に携わる監査役、内部監査人について説明します。
この記事が気に入ったらサポートをしてみませんか?