J-SOXの導入の経緯とその内容
2001年に米国で発覚したエンロン社の不正会計事件を機に、企業の不正会計を規制するために米国政府はいわゆるSOX法を制定しました。このころに米国で起きた複数の巨額粉飾、不正監査事件をきっかけに、会計の不正や誤りを防止する取り組みが十分とは言えない上場企業が日本にも多いことが明らかなりました。
この流れを受けて金融商取引法のなかで、企業内部統制の状況や有効性を評価する仕組みを整備することが法制化されました。これがJ-SOX(日本版SOX法)と呼ばれ2008年から適用されています。この制度は、経営者が内部統制の状況や有効性を評価した内部統制報告書を作成し、公認会計士等がそれを監査する、二重責任の原則に基づいて報告・監査するように法制化したものです。
J-SOXは、4つの目的と6つの基本的要素から構成されています。
この流れを受けて金融商取引法のなかで、企業内部統制の状況や有効性を評価する仕組みを整備することが法制化されました。これがJ-SOX(日本版SOX法)と呼ばれ2008年から適用されています。この制度は、経営者が内部統制の状況や有効性を評価した内部統制報告書を作成し、公認会計士等がそれを監査する、二重責任の原則に基づいて報告・監査するように法制化したものです。
J-SOXは、4つの目的と6つの基本的要素から構成されています。
4つの目的は
業務の有効性・効率性
事業活動の目的の達成のため、業務の有効性及び効率性を高めること
財務報告の信頼性
財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
法令遵守
事業活動に関わる法令その他の規範の遵守を促進すること
資産の保全
資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること
になります。この目的では企業の事業活動を効率性、信頼性の観点で遂行することが記されています。
6つの基本的要素は
統制環境
企業の基本理念、経営方針や戦略、経営者の姿勢や倫理観、組織構造と適切な権限規定の浸透など
リスク評価と対応
組織目標の達成を阻害する要因をリスクとして識別、分析、評価し、リスクへの適切な対応
統制活動
経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続の浸透
情報と伝達
必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること
モニタリング手法
内部統制が有効に機能していることを継続的に評価するプロセス
ITへの対応
業務の実施において組織の内外のITに対し適切に対応すること
になります。
業務の有効性・効率性
事業活動の目的の達成のため、業務の有効性及び効率性を高めること
財務報告の信頼性
財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
法令遵守
事業活動に関わる法令その他の規範の遵守を促進すること
資産の保全
資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること
になります。この目的では企業の事業活動を効率性、信頼性の観点で遂行することが記されています。
6つの基本的要素は
統制環境
企業の基本理念、経営方針や戦略、経営者の姿勢や倫理観、組織構造と適切な権限規定の浸透など
リスク評価と対応
組織目標の達成を阻害する要因をリスクとして識別、分析、評価し、リスクへの適切な対応
統制活動
経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続の浸透
情報と伝達
必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること
モニタリング手法
内部統制が有効に機能していることを継続的に評価するプロセス
ITへの対応
業務の実施において組織の内外のITに対し適切に対応すること
になります。
企業のDX化の推進により、J-SOXの6つの基本要素はどのように変化したでしょうか。DXについて改めて整理し、J-SOXへの対応として大きな変化があった箇所をいくつかピックアップしてみます。
4つの目的、6つの基本的要素については、金融庁サイトの「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表についての別紙1に基づき作成しています。
4つの目的、6つの基本的要素については、金融庁サイトの「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表についての別紙1に基づき作成しています。
DX化による企業の新たな活動
企業のDX化により、J-SOXへの対応が大きく変わってきています。改めてDXとは何かを整理します。DX(デジタルトランスフォーメーション)は、企業がデジタル技術を活用してビジネスプロセスや顧客体験、それを提供する企業分野や社会的価値を根本的に変革することを指します。DXの主な目的は、効率性の向上、新しいビジネスモデルの創出、そして顧客体験の向上です。これにより、企業は競争力を高め、持続可能な成長を目指します。
DXは、製造業からサービス業、そして金融業に至るまで、多くの業界で推進されその業務を大きく変えています。まずJ-SOXが適用された当初では想定されていなかった多種多様で大量のデータを企業が利用できるようになりました。IoTを中心に多くのセンサーやデバイスからリアルタイムにデータが蓄積されています。人々の行動もスマートフォンを通じてデジタルデータとして蓄積されています。こうしたデータを利用して、事業活動が行われてきています。
金融業では、DXが進むことで、顧客のオンライン取引が容易になり、また、データ解析によってよりパーソナライズされたサービスの提供もされています。融資して購入された工作機械の稼働状況によって返済金額を動的に変化させる新たな融資サービスも行われています。
農業も、IoTの導入による生産効率の向上が図られている分野です。土壌の温度、湿度、気温、CO2濃度など農作物の育成条件をモニタリングするなどデータを有効に使った農業が実施されています。牛の個体データで畜産農家の経営判断をサポートとする取り組みもされています。
農業も、IoTの導入による生産効率の向上が図られている分野です。土壌の温度、湿度、気温、CO2濃度など農作物の育成条件をモニタリングするなどデータを有効に使った農業が実施されています。牛の個体データで畜産農家の経営判断をサポートとする取り組みもされています。
小売業では、顧客の商品購入データやオンライン店舗、リアル店舗での行動の融合など、顧客体験の向上がDX化によりもたらされています。メタバースにより新たなホスピタリティを提供する企業もあります。このようにDX化は企業活動に新たな価値を与える取り組みになっています。
DX化による内部統制への影響
大量のデジタルデータを活用し企業の生産性を効率化し、新たな価値を創造するDX化は内部統制にも大きな影響を与えると考えられます。J-SOXの6つの基本的要素のうちDX化の影響を強く受けると思われる、「リスク評価と対応」、「情報と伝達」、「モニタリング手法」、「ITへの対応」の4つについて具体的に考えたいと思います。
・リスク評価と対応
DX化により、セキュリティのリスクが増加する可能性が想定されます。企業は多種多様の大量のデータを扱うことで、新たなビジネスを展開しますが、悪意のあるデータの取得、デジタルチャネルに対する攻撃などのリスクにさらされることになります。DX化によるビジネスモデルの変化で新たなリスクが生じる可能性もあります。
製品の小売に注力していた企業がDX化しマーケティングに注力することで新たなリスクを引き起こす場合があり注意が必要です。例えば、オンライン店舗と実店舗を融合した販売チャネルでは多くの顧客データを取得できますが、一方でGDPR(EUの一般データ保護規則)や個人情報保護法などの法的規制の対象となるなど、自らのビジネスのリスクを評価し対応することも必要になってきます。
DX化により、セキュリティのリスクが増加する可能性が想定されます。企業は多種多様の大量のデータを扱うことで、新たなビジネスを展開しますが、悪意のあるデータの取得、デジタルチャネルに対する攻撃などのリスクにさらされることになります。DX化によるビジネスモデルの変化で新たなリスクが生じる可能性もあります。
製品の小売に注力していた企業がDX化しマーケティングに注力することで新たなリスクを引き起こす場合があり注意が必要です。例えば、オンライン店舗と実店舗を融合した販売チャネルでは多くの顧客データを取得できますが、一方でGDPR(EUの一般データ保護規則)や個人情報保護法などの法的規制の対象となるなど、自らのビジネスのリスクを評価し対応することも必要になってきます。
・情報と伝達
情報の取得、処理、保管、伝達に関する手順・規定の策定や、情報システムのセキュリティの確保などもDX化で情報の取得や処理が自動化される場合が多くなるため、大きく変わります。またクラウドサービスの拡大によりデータの保管場所も変わり、アクセス権限の管理もより重要になってきます。さらに大量のデータがビジネス上の文脈で複雑に関連しあうことも想定され、内部統制の観点でエビデンスの取得や解釈が難しくなることがあります。そのため、情報の誤記載や不正操作の防止の重要性が増していきます。
情報の取得、処理、保管、伝達に関する手順・規定の策定や、情報システムのセキュリティの確保などもDX化で情報の取得や処理が自動化される場合が多くなるため、大きく変わります。またクラウドサービスの拡大によりデータの保管場所も変わり、アクセス権限の管理もより重要になってきます。さらに大量のデータがビジネス上の文脈で複雑に関連しあうことも想定され、内部統制の観点でエビデンスの取得や解釈が難しくなることがあります。そのため、情報の誤記載や不正操作の防止の重要性が増していきます。
・モニタリング手法
企業が内部統制を継続的に評価・改善するための要素としてモニタリング手法があります。AI技術の導入で企業の業務遂行における不正と思われる特異点の検出が自動化され、モニタリングの効率化が期待されます。一方でリアルタイム監視の必要性の増加、クラウドサービスの利用の拡大による監視の困難化、エンドユーザーを特定したマーケティング実施時などのプライバシー保護対応など、DX化が進むことによって新たなタスクや深刻な課題も発生します。
企業が内部統制を継続的に評価・改善するための要素としてモニタリング手法があります。AI技術の導入で企業の業務遂行における不正と思われる特異点の検出が自動化され、モニタリングの効率化が期待されます。一方でリアルタイム監視の必要性の増加、クラウドサービスの利用の拡大による監視の困難化、エンドユーザーを特定したマーケティング実施時などのプライバシー保護対応など、DX化が進むことによって新たなタスクや深刻な課題も発生します。
・ITへの対応
「ITへの対応」の要素は、企業が情報技術を活用した業務プロセスの内部統制を適切に行うための要素です。システム開発ライフサイクルにおける内部統制の実施や、システムの運用・保守における内部統制の実施、システムのセキュリティに関する内部統制の実施などが含まれます。
業務の効率化や新規市場拡大のためにAIを利用することも増えています。AIやRPAという新たなITの業務への適切な利用が効果的です。しかし、新規にAIやRPAを導入すると新規に導入したAIやRPAやその周辺のシステムのセキュリティ管理といった内部統制上の対応が追加で発生することになります。新たな技術の導入にはこうした注意も必要です。
「ITへの対応」の要素は、企業が情報技術を活用した業務プロセスの内部統制を適切に行うための要素です。システム開発ライフサイクルにおける内部統制の実施や、システムの運用・保守における内部統制の実施、システムのセキュリティに関する内部統制の実施などが含まれます。
業務の効率化や新規市場拡大のためにAIを利用することも増えています。AIやRPAという新たなITの業務への適切な利用が効果的です。しかし、新規にAIやRPAを導入すると新規に導入したAIやRPAやその周辺のシステムのセキュリティ管理といった内部統制上の対応が追加で発生することになります。新たな技術の導入にはこうした注意も必要です。
終わりに
J-SOXが2008年に適用され15年が経ちました。DX化を進めるためのIoT、クラウドサービス、AIやRPAなど企業活動を支援するDX技術も多数運用されています。これらの技術を利用することで、多くのステークホルダーを巻き込んだ新たな領域に事業が拡大します。これは企業の成長にとってはたいへん重要なことです。一方でDX化により多くのデータを収集し、多くのチャネルを新しいITで利活用することで新たなリスクがもたらされることもあります。こうしたリスクに対して内部統制を堅実に遂行していくことが今後より必要になると思われます。