コラム
内部統制報告制度(J-SOX)が15年ぶりに改訂|上場準備企業向けにIT統制を中心に徹底解説
金融庁が2023年4月7日に「内部統制報告制度(J-SOX)」の改訂を発表しました。
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について
内部統制報告制度(J-SOX)は、2008年に導入されましたが、今回は制度開始後初めての大幅な改正であり、15年ぶりの見直しということになります。上場準備企業、上場企業においては内部統制報告制度(J-SOX)への対応が必須ですので、改正内容をわかりやすく、かつ実務レベルでどういった影響があるのかが分かるように解説したいと思います。
なお、前回のコラム『内部統制とは|難解な「財務報告に係る内部統制の評価及び監査の基準」を読み解く』では、金融庁が公表している文書の解説をしましたのでご参考までにご覧ください。
主な改訂内容
改定内容について、4点にまとめて解説します。
(1)内部統制の基本的枠組み
(2)財務報告に係る内部統制の評価及び報告
(3) 財務報告に係る内部統制の監査
(4)適用時期
(1)内部統制の基本的枠組み
①内部統制の目的の一つである「財務報告の信頼性」が「報告の信頼性」へ
これは、非財務情報を含めた信頼性を確保することが重要である、という意味です。特に昨今ではSDGsやサステナリビリティへ取り組み、社外に対しても発信している企業が増えていることが背景だと考えられます。
②「リスクの評価と対応」「情報と伝達」「ITへの対応」における重要事項の追加
それぞれ、以下の点が追加されました。
・リスクの評価と対応:不正に関するリスクについて考慮すること
・情報と伝達:大量の情報を扱う場合はシステムが有効に機能することが重要である
・ITへの対応:ITの委託業務に係る統制、情報システムに係るセキュリティの確保が重要である
特にITに関する統制においては、ITの業務委託が担う範囲が重要となっている(例えば、会計システムの運用保守をシステムベンダーが行う場合、業務委託先であるシステムベンダーは間接的に財務情報の正確性を担保しています)ことや、サイバーセキュリティや情報漏えいによるインシデントが増加していることが背景になっていると考えられます。
③経営者による内部統制の無効化に対する統制
内部統制の仕組みによって統制できることにも限界があります。その一つの要因として挙げられるのが、経営者が不当な目的の為に内部統制を無視又は無効化させるケースです。このリスクに対する統制として、取締役会や監査役が留意すべき、といった内容が追加されています。
④監査役や内部監査人に関する役割の追加
上記③に関する監査役の役割が追加されたとともに、内部監査人においても熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること、といった内容の役割が追加されました。
⑤「内部統制とガバナンス及び全組織的なリスク管理」の追加
ガバナンスとは「組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速な意思決定を行うための仕組み」を指します。全組織的なリスク管理とは「適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で管理すること」です。
これらを適切に仕組み化して運用することが重要であると記載されていますが、具体的な統制例として「3線モデル」が示されています。
3線モデルとは、
・第1線:業務部門内での日常的モニタリングを通じたリスク管理
・第2線:リスク管理部門などによる部門横断的なリスク管理
・第3線:内部監査部門による独立的評価や、取締役会監査役等による監督・監視
という組織のことを指します。
(2)財務報告に係る内部統制の評価及び報告
①経営者による内部統制の評価範囲の決定
内部統制報告書の評価範囲として「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」といった基準がありますが、これらを機械的に適用すべきではない旨が追記されました。つまり、財務報告に対する影響の重要性を適切に勘案して評価範囲を検討しなければいけません。
また、具体的な対応として、内部統制報告書の「評価の範囲、評価時点及び評価手続」において、下記の評価範囲を決定した理由を含めて記載する必要があります。
・重要な事業拠点選定に利用した指標と一定割合
・選定した勘定科目
・個別に評価対象に追加した事業拠点、業務プロセス
②ITを利用した内部統制の評価
例えば、1年に1度評価を実施する、といったように特定の期間を定めて機械的に評価するのではなく、昨今加速するIT環境の変化を踏まえて評価すべき、という内容が追加されました。
③財務報告に係る内部統制の報告
内部統制報告書に記載すべき事項が明示されました。
そのうちの一つは、上述した①の評価範囲に関する事項です。
他には、前期に開示すべき重要な不備があった場合、その是正状況が記載すべき項目として追加されました。
(3) 財務報告に係る内部統制の監査
監査人は、内部統制監査を有効なものにするために、監査の実施過程で入手した監査証拠の活用や、経営者との適切な協議を行うことが重要であることが明記されました。評価範囲の妥当性を検討する上でも同様です。
また、評価範囲の外で内部統制の不備があった場合、経営者と協議することが適切であることも明記されました。
実務での対応としては、監査人から評価範囲の外で内部統制の不備が報告された場合、評価範囲の妥当性を検討する必要があります。
(4)適用時期
今回の改訂内容については、2024年4月1日以降に開始する事業年度における内部統制の評価・監査から適用されます。
改訂された実施基準を適用するにあたって、「基準・実施基準の改訂に伴う所要の整備を行うことが適当である」と公表されていることから、社内の規程類や運用ルール等の見直しが必要になると考えられます。
IT統制の対応として必要なこと
次にIT統制の視点で具体的に対応すべき事項を解説します。
委託業務の評価
◯改定後に追加された内容
「情報システムの開発・運用・保守などITに関する業務を外部の専門会社に委託する場合」
内部統制の評価対象となる委託業務の例示として上記内容が追加されました。
改定前までもIT統制における、全社的なIT統制の「全社的な実施状況の確認(モニタリング)」や、IT全般統制の「外部委託に関する契約の管理」で業務委託先のモニタリングも必要だと捉えることができましたが、今回改めて明確に記載がされました。
そのため、今後のIT統制ではITに関する委託業務も必ず評価範囲に含める必要があります。
セキュリティの確保
◯改定後に追加された内容
「クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である。」
クラウドが企業でも活用され始めたのはここ数年の話しですし、テレワーク等によるリモートアクセスについては コロナ渦以降の話しです。そのため、それ以前に制定した規程や運用ルールを見直さなければ、現在使っているシステムとの整合が取れなくなってしまうため、上記が追加されたものだと考えられます。
実際に、弊社では、上場企業や上場準備企業のIT統制支援として規程や運用ルールの制定・見直しをさせていただくことが多いのですが、5〜10年ほど前に制定した規程をそのまま使っているケースが少なくありません。その場合、クラウドの利用やテレワーク等のリモートアクセスが想定されていない内容となっていたり、クラウドやリモートアクセスに関するセキュリティ対策が十分に取られていなかったりすることがあります。
IT技術の進化は非常に早いため、10年前と今とでは利用するシステムが全く異なると言っても過言ではありませんので、規程や運用ルール、セキュリティの確保については定期的に見直し・検討されることをオススメします。
過年度の評価結果を利用する場合
◯改定後に追加された内容
この方法(※)は、経営者において、 IT環境の変化を踏まえて慎重に判断され、必要に応じて監査人と協議して行われるべきものであり、特定の年数を機械的に適用すべきものではないことに留意する。
※既存の記載内容より:一定の複数会計期間に一度の頻度で運用状況のテストを実施する方法
ITを利用して自動化された内部統制については、仕組み化されているため、毎年同じレベルで運用状況のテストをしなくてもよいという前提のもと、過年度の評価結果を利用して、数年に一度テストをするということが可能です。
しかし、上記セキュリティの件とも類似しますが、ここ数年は特にIT環境の変化が激しいため、機械的に特定の年数を適用すべきではないというです。
過年度の評価結果を利用する場合は、IT環境の変化を踏まえて、必要に応じて監査人と協議した上で、運用状況のテスト実施時期を定める必要があります。
J-SOX制度への対応、規程・運用ルールの策定や見直しでお困りの方へ
◯ 内部統制とIT統制の内容が十分理解できていない方向け
『基礎から学ぶ内部統制とIT統制』の資料を無料でダウンロードいただけます。
◯ 具体的にお困りのことがある方向け
上場監査・IT監査をクリアした実績からIT統制を手間なく安全に対応する『IT統制サポート』をご提供しています。
内部統制・IT統制の事例紹介
キングソフト株式会社様|資料が分かりやすくこちらの要望を理解した上で柔軟に対応いただいた
【キングソフト株式会社様 内部監査室 中村室長】ボリューム感のある内容を依頼していましたが、すんなり進めていただきました。こちらが要望していることをきちんと理解していただいて、かつ、それが正しい形で返ってきていて、それが予算内に収まっているというところが、経営層と話をする立場として非常にありがたかったです。
株式会社ASNOVA様|コンサルの概念が覆された、こちらへ寄り添ってASNOVAメインの進め方をしていただけた
【株式会社ASNOVA 総務人事部 田中部長、口田係長】弊社の課題や”やりたいこと”と逆に”やらないこと”または”今後やりたいこと”に対して柔軟に提案してもらえたので、ぜひ一緒にやっていきたいと思いました。弊社の「できていること」「できていないこと」「今後やるべきこと」を第三者の視点からチェックしていただき、私たちが気づけていなかったことを知ることができました。
株式会社イノフィス様|同じチームメンバーとして技術面と精神面で支えられ、会社としてはメリット・デメリットを見極めた適切な IT 投資を実現
【執行役員 人事総務部長・松原様、人事総務部・渡邉様】全体を可視化し、課題を見極めた上でシステムを導入できるようになり、適切なIT投資ができています。IT統制は指摘事項がなにもなく監査を終えることができました。