内部統制報告制度(J-SOX)が、2008年に制度導入されて以来およそ15年ぶりに大きく改訂され、2024年4月1日以降に始まる事業年度から適用されることとなりました。内部統制報告制度の基本的要素の1つである「IT への対応」項目も一部改訂されたため、ここは特に情報システム部門の方は知っておくべきポイントです。
本記事では内部統制報告制度の改訂に伴い、情報システム部門として意識すべき3つの事項について考察します。
情報システムに関連する J-SOX の改定項目と背景
内部統制報告制度とは、「財務報告に係る内部統制の評価及び監査の基準」であり、財務に係る一連の業務や作業ごとの適切な権限などに対する制度です。その中で「IT への対応」項目の改定背景には、本制度が開始された2008年と比べ、
- 財務に係る紙ベース業務から IT システム化への移行率
- ランサムウェア被害などサイバー攻撃被害
- クラウドサービス利用含む委託先利用の比率
などが、年々高くなっていることが考えられます。
注視すべき改定ポイント
金融庁:財務報告に係る内部統制の評価及び監査の基準(抄) 新旧対照表で「IT への対応」項目を確認すると、以下の文面が新たに追記されています。
引用元:金融庁「財務報告に係る内部統制の評価及び監査の基準(抄) 新旧対照表」)情報システムの開発・運用・保守など IT に関する業務の全て又は一部を、外部組織に委託するケースもあり、かかる IT の委託業務に係る統制の重要性が増している。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である。
委託業務には、例えば、企業が財務諸表の作成の基礎となる取引の承認、実行、計算、集計、記録又は開示事項の作成等の業務を企業集団の外部の専門会社に委託している場合や情報システムの開発・運用・保守など IT に関する業務を外部の専門会社に委託する場合が挙げられる。
また、IT の統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。なお、IT に係る全般統制は、業務処理統制が有効に機能する環境を確保するものであるが、IT に係る全般統制が有効に機能していると評価されたとしても、それだけで IT に係る業務処理統制も有効に機能しているという結論に至らない点について留意することが必要である。
IT に係る業務処理統制は、多くは自動化された IT に係る業務処理統制であるが、一部、IT システムに組み込まれていない手作業による IT に係る業務処理統制が存在している場合がある。一般的に、自動化された IT に係る業務処理統制は手作業による IT に係る業務処理統制よりも無効化が難しくなる。しかし、自動化された IT に係る業務処理統制であっても過信せずに、内部統制の無効化のリスクを完全に防ぐことは困難であるという視点を持つことが重要である。また、電子記録について変更の痕跡が残り難い場合には、内部統制の無効化が生じてもその発見が遅れることがある点についても留意することが重要である。
つまり、金融庁は、近年 IT 環境の複雑化や高度化に伴い、IT に係る内部統制の重要性が増していることを強調しています。特に、IT 業務の外部委託やクラウドサービスの利用、リモートアクセス環境の構築など、従来とは異なる IT 環境におけるリスクへの対応が求められています。
まとめ
以上のことから、情報システム部門としては、
- クラウドサービス自体の安全性確認と委託先としての評価
- テレワークを含むリモートアクセス環境のセキュリティ対策状況の把握
- 処理の過程や結果がログとして残り、不審な挙動をいち早く検知できる仕組みの有無
当社では、組織全体のセキュリティを評価する「セキュリティアセスメント 中長期ロードマップ作成サービス」をご提供しています。現状のセキュリティ対策について、規定・組織・防御検知機能・運用などすべての観点でアセスメントを行い、中長期で対策すべき事項の指摘と推奨対策案についてご提示します。
アセスメント以外についても、セキュリティ周りについて何かお困りのことがありましたら、ぜひ当社までご連絡ください。