内部統制報告(J-SOX)制度の改訂について
の内部統制先週2023年4月6日と7日に内部統制報告制度の評価監査基準とその実施基準が改訂されました。前回の改定が2011年3月だったので、12年ぶりの改訂です。
個人的な感想ですが、特に財務報告に関するITリスク(サイバーリスク含め)は10年前とはかなり環境が異なっているのを実感していますので、今回の改訂をきっかけに10年前から見直しを行えていない場合にはその内部統制やその評価ポイントについても見直すべきだと感じています。
具体的な改訂内容ですが、金融庁から公表されている以下、1 の公表物の二 主な改訂点とその考え方にまとめられているので、そちらをご参考ください。なお、内部統制報告書訂正時の対応についても、訂正の経緯やその理由を訂正報告書に記載することになるようですので、是非一読ください。
【参考】以下は、金融庁HPへのリンク
ITへの対応に関する改訂について
ITへの対応については、10年前に比べて規模の小さな会社であっても情報システムの利用が当たり前となっている状況や、会社自身で情報システムの運用管理ができなくとも、外部に委託可能な環境クラウドサービスが一般的になってきたこと、他方でサイバーセキュリティリスクが財務報告にかなりの影響を及ぼすリスクとなっていることなどを受けて、改訂版では”適時”という単語が追加されています。
-1-1024x334.jpg)
初見では”適時”が追加された理由は理解できなかったのですが、サイバーインシデントが発生した場合にはこの”適時”というのは財務報告に係る内部統制への影響が大きく、重要になるからだと理解しています。
実際、サイバーインシデントの発生により業務の再開が出来なければ、逸失利益がかなりの金額になっています。2022年10月に発生した大阪急性期・総合医療センターでは復旧費用も含めると十数億円にもなるとのニュースもあり、財務報告に係る内部統制の一つとしてIT-BCPの策定とその実行可能性、タイムリーに復旧できる方針と手順については、サイバー攻撃にあう可能性が高い(経験上25%以上あると思います。)状況からすると大変重要と判断し、追加したことはかなり納得できました。
また、サイバーリスク以外の記載についても、クラウドの利用やネットワーク環境の進歩により、過去よりも情報の転送は飛躍的に向上していることからしてもITへの対応に”適時”を追加したことは納得できる改訂ではないでしょうか。
最後に
ITへの対応について、10年前からリスクの見直しや内部統制自体の見直しを行っていないため、見直しをしたいといった会社や、サイバーリスクへの対応に関して、悩まれていましたら、うみもと公認会計士事務所へお気軽にお問い合わせください。
