2022年12月15日に、企業会計審議会・内部統制部会が「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(公開草案)」を公表しました。
内部統制制度(J-SOX)が見直されていますので、その概要をお話ししたいと思います。
見直しの背景
J-SOXは、2008年(平成20年)4月1日以後に開始する事業年度に適用されて以来、14年が経過しています。
上場会社は、内部統制にかかる自己評価の結果を報告していますが、これまで「内部統制に不備がある」と報告した会社は毎年数10社程度発生していました。
金融庁の資料によれば、「開示すべき重要な不備があり内部統制が有効でない」ものと、「有効だったが訂正して有効でなくなった」ものがあり、合わせると下図のような推移になっています。
金融庁公表資料をもとにBBSが作成。
(注)今後、追加での訂正内部統制報告書の提出により、当該社数が増加する可能性がある。
これらの状況を踏まえ、現行のJ-SOXが機能していないのではないかという観点から、J-SOXの実効性を確保するための見直し作業が進められています。
主な改訂点の内容
| 評価対象範囲の決定 (数値基準等) |
|
| 財務報告に係る内部統制の報告 |
|
| 報告の信頼性 (内部統制の基本的要素) |
|
| リスクの評価と対応 (内部統制の基本的要素) |
|
| 情報と伝達 (内部統制の基本的要素) |
|
| ITへの対応 (内部統制の基本的要素) |
|
| 監査役等 |
|
| 内部監査人 |
|
| 内部統制とガバナンス及び全組織的なリスク管理 |
|
新しいJ-SOXは、2024年(令和6年)4月1日以後に開始される事業年度から適用されます。
ITへの対応について
近年、当社のサポートメニューで、J-SOXにおけるIT統制の対応が増えてきています。
今回の見直しで、J-SOX上のITにかかる評価への対応が大幅に変わったとは認識していませんが、よりIT環境の実態、または変化に対応すべき点について明示された印象です。
実施基準I2(6)ITへの対応には下記が追記されています。
「情報システムの開発・運用・保守などITに関する業務の全て又は一部を、外部組織に委託するケースもあり、かかるITの委託業務に係る統制の重要性が増している。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である」
従来も自社で保有するシステムの開発・運用・保守業務を外部委託しているケースは多々あったと思われますが、昨今増えているのはクラウドサービスにより提供されるシステムを業務システムとして利用するケースです。
自社内に存在しないシステムなので運用・保守といったIT管理業務は発生しません。しかしながら、提供ベンダーにおいて、どのような運用・保守体制になっているのか、セキュリティ対策を施しているのかなどについては、提供されるサービスの一部として把握・対応することが重要になると明示されたと考えられます。
そして、ネットワークを含むセキュリティの確保も重要と明示されました。J-SOXの観点からは、財務報告の信頼性に与えるリスクの程度を分析して対応することが肝要と考えられます。
※当コラムの内容は個人的な見解であり、BBSの公式見解ではありません。
