内部統制に関する基準等の改訂とIT統制の対応

鈴木 竜児(すずき りゅうじ)

内部統制基準等の改訂

2023年4月7日に企業会計審議会より、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(以下、「内部統制基準等」といいます)が公表されました。
内部統制基準等の改訂のうち、ITについては、「ITへの対応」「ITを利用した内部統制の評価」を中心に改訂がされました。「ITへの対応」では、ITの業務委託に係る統制の重要性が増していることやセキュリティ確保の重要性を踏まえて改訂され、「ITを利用した内部統制の評価」では、留意すべき事項が記載されました。
本コラムでは、内部統制基準等の改訂のうち、「ITへの対応」に関する改訂の内容と想定される対応策を解説します。

■ ITの外部委託に係る統制

ITの開発、運用、保守などについて、外部組織への業務委託(以下、「外部委託」といいます)が増加していることを踏まえ、ITの外部委託に係る統制の重要性が強調されました。
ITの外部委託には、自社が主体となりシステム開発などをする際に業務を外部委託するケースだけでなく、SaaSのように自社は外部から提供されるサービスを利用し、サービス提供事業者がサービス向上としてシステム開発や変更などを行っている場合もあります。いずれも自社が利用するITについて、ITに係る業務の全部または一部を外部委託しているといえます。

ITの外部委託に関するIT統制上の対応としては、外部委託前、外部委託中、外部委託終了時で整理し、必要な対策を検討して対応することがポイントです。

(1)外部委託前

契約や利用規約により、あらかじめ、サービス内容・水準や、その範囲、期間、金額、検収条件、委任(準委任)や請負の契約形態を確認するほか、責任範囲や責任分界点、管理体制、品質確保体制や手続きなどにも留意して確認します。また、外部認証の取得状況(ISMS、Pマークなど)や、受託会社の内部統制に係る保証報告書(いわゆる「SOCレポート」)の入手可否も確認します。外部委託利用チェックリストなどであらかじめ確認項目を定めてチェックすることが対策として考えられます。

(2)外部委託中

外部委託先が契約どおりに業務を実施しているかをモニタリングします。常時のコミュニケーションのほか、議事録や定期的な業務報告、進捗報告などで確認し、確認結果などの記録を付けておくことが対策として考えられます。 また、外部から提供されるサービスについては、自社が必要とするサービスや機能の適合性の確認や、信頼性・安全性を確認します。サービスの適合性については、外部サービス利用チェックリストなどであらかじめ確認項目を定めて、定期的に確認をします。また、信頼性・安全性についは、SOCレポート(およびブリッジレター)の入手や、外部認証の取得・維持状況の確認、障害などの発生状況に関するお知らせの確認が対策として考えられます。

(3)外部委託終了時

外部委託の終了にあたっては、業務完了やサービス利用の終了理由を確認し、PCやメモリーといった貸与機器などを回収するとともに、データなどの情報の取り扱いや情報漏洩対策などの確認を実施します。外部委託終了時も同様に、外部委託終了チェックリストなどであらかじめ確認項目を定め、確認漏れがないかをチェックすることが対策として考えられます。

■ 情報システムに係るセキュリティの確保

クラウドやリモートアクセスをはじめ、さまざまな技術を活用することで生じるサイバーリスクの高まりなどを踏まえて、情報システムに係るセキュリティ確保の重要性が強調されました。
近年、自社の基幹業務システムがサイバー攻撃を受けるなどの被害が増えています。その結果、いったん復旧しても、システムや情報の信頼性は担保されているか、期限までの情報収集・公開ができるのか、などの影響も想定されます。

情報セキュリティ対策は、どこまで実施すればよいかに答えはありませんが、外部認証の取得・維持以外にも、例えば以下のように、自社なりにマネジメントサイクルを構築し、対応することがポイントです。

(1)情報セキュリティのリスクの識別と評価

情報セキュリティに関するリスクの洗い出しとリスク評価を実施し、自社の情報セキュリティ対策の実施状況を整理して課題を洗い出し、リスクに応じた対策計画を立てることが有効であると考えられます。

(2)情報セキュリティ対策の実施

対策計画を踏まえて、ファイアーウォールやウイルス対策などの技術的対策、入退室管理、セキュリティエリアに応じた防犯対策などの物理的対策、情報セキュリティ事故対応マニュアルなどの整備や教育・訓練などの人的対策など、リスクに応じた対策を実施することが考えられます。

(3)情報セキュリティ対策のモニタリング

情報セキュリティ事故やサイバー攻撃などの発生状況の把握、原因調査、対策の実施状況や、実施した対策の有効性を評価し、関係者にフィードバックを実施することが対策として考えられます。

上記を踏まえて、情報セキュリティに関する方針、計画や対策の実施状況は、IT概要書などのITに関する説明資料にもまとめておくことが必要でしょう。

内部統制基準等は、2024年4月1日以後に開始する事業年度から適用されるため、早期に改正内容を把握し、関係者と対応を協議しておくことが必要と考えられます。
なお、内部統制基準等の改訂にともない、公認会計士協会から、財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」(改正日2023年7月28日付)の改正が行われているため、併せて参照されることをおすすめします。

※当コラムの内容は私見であり、BBSの公式見解ではありません。

関連コラム記事

前のコラムへ
次のコラムへ
コラム一覧へ戻る

関連サービス

  • IT統制対応支援
    • 内部統制
    • 経理財務
    • システムコンサルティング
    • IPO
    • 会計
    • コンサルティング

    内部統制報告制度(J-SOX)におけるIT内部統制(IT全社統制、IT全般統制、IT業務処理統制)について、シ…

    もっと見る