15年ぶりとなる「内部統制報告制度(J-SOX)」の大幅改訂が、企業が利用中のクラウドサービスの見直しや、これからのクラウドサービスの選択に影響を与えそうだ。
金融庁は2023年4月7日、J-SOXの概要を定めた文書の改訂を決定した。J-SOXは企業の財務報告を作成する業務プロセスに不正が起きないように内部統制を整備し、その運用状況の報告を義務付けている。適用対象となるのは上場会社とそのグループ会社などだ。改訂したJ-SOXは2024年4月1日以降に始まる事業年度から適用になる。
J-SOXでは内部統制を確立するうえで欠かせない6つの要素の1つとして「ITへの対応」を挙げており、ITに関する統制(IT統制)の整備・運用は欠かせない対策の1つだ。J-SOXが最初に適用された2008年当時も、IT統制の整備は情報システム部門を悩ませた。
その悪夢が再び訪れようとしている。J-SOXの改訂では、ITに関する変更が幾つかあるからだ。その中で大きな項目の1つが、ITの委託業務に関するIT統制の整備・運用だ。
ITの委託業務とは、自社の代わりに情報システムの運用や保守を委託している場合を指す。J-SOXが登場した2008年はサーバーのアウトソーシングを主に想定していたが、今回の改訂ではクラウドサービスの利用が増えたことを念頭に「ITの委託業務にかかる統制の重要性が増している」と、金融庁はJ-SOXの対応方針を示す文書の中で明確に記載した。
J-SOXの改訂ではITへの対応について、ITの委託に関する改訂のほかにも、クラウド活用やリモートアクセスなどの増加を踏まえて情報セキュリティーの重要性を強調した。また子会社で発生した不正が財務諸表に大きな影響を与えるケースが相次いだため、J-SOXの対象とするグループ会社の範囲を実態に基づいて決めるように促している。これまでのJ-SOXでは、企業は売り上げ規模が大きいグループ会社からJ-SOXの対象範囲に含め、規模の小さい子会社はJ-SOXの対象としないケースが多かった。
新型コロナ禍対応で導入したクラウドを確認
情報システム部門など、社内でJ-SOXの対応を推進する側から見た場合、クラウドサービスを利用していたり、ITベンダーにアウトソーシングしていたりする情報システムのIT統制について、今まで以上に注意を払うことになる。PwCあらた有限責任監査法人の平松宏一郎システム・プロセス・アシュアランス部パートナーは「会計システムの領域でクラウドサービスを利用する企業が増えている。こうした企業も委託先のIT統制の整備・運用状況の評価が必要だ」と話す。
特に注意が必要なのは、新型コロナウイルス感染症の拡大に対応して在宅勤務を推進するために急ぎ導入した情報システムやクラウドサービスだ。「書類に押印する」「紙の証憑(しょうひょう)の確認をもって本物の請求書や領収書かを確認している」といった従来の業務をクラウドサービスに置き換えているケースなどが該当する。
「不正や誤りが起きないための重要な統制」と位置づけた業務にクラウドサービスを導入した場合、その業務を代替しているクラウドベンダーによる統制の整備・運用状況の評価がJ-SOX対応の一環として求められる。
新型コロナ禍に伴う在宅勤務で急ぎクラウドサービスを導入した企業は、J-SOX対応の視点がないままサービスを選択するケースがあった可能性がある。新型コロナ禍対応だけでなく、「2008年のJ-SOX適用時と比べてクラウドサービスの利用企業は増えており、改めて委託先のIT統制の状況を確認する必要がある」と平松パートナーは指摘する。
