内部統制報告制度（J-SOX）とは？改定基準の概要・対応実務や生成AI・オペレジなどの関連論点

1. はじめに
2. 内部統制報告制度の改訂概要及び対応ポイント
   (１)内部統制報告制度（J-SOX）とは？
   (２)改訂の背景と適用時期
   (３)改訂内容のポイント
   (４)不正を含めたリスクの識別・評価における対応実務例
3. 改訂J-SOX対応と関連性の高い論点
   (１)デジタル化やAIの利用と内部統制
   (２)オペレーショナル・レジリエンスと内部統制
4. おわりに

はじめに

内部統制報告制度（J-SOX）が、2008年に制度導入以来、およそ15年ぶりに大きく改訂され、2024年４月１日以後開始する事業年度から適用されることとなった。不正リスクの考慮やリスクの適時な見直し、サイバーリスクやITの委託業務への対応、質的影響を考慮した評価範囲の決定など幅広い改訂となっている。ITの高度化に対応するような改訂項目もあり、昨今注目されているデジタル化に伴う内部統制や生成AI（Artificial Intelligence）との関連性も高いと考えている。また、同時期に金融庁から公表された「オペレーショナル・レジリエンス確保に向けた基本的な考え方」においても、サードパーティリスクやサイバーリスクへの適切な対応が求められるなど、今般のJ-SOX改訂と関連性の高い論点が多くある。
本稿では、J-SOX改訂の内容を中心として、デジタル化に伴う内部統制やオペレーショナル・レジリエンスなどの関連する領域も含めて説明する。

内部統制報告制度の改訂概要及び対応ポイント

(１)内部統制報告制度（J-SOX）とは？

内部統制報告制度は、2000年代前半におきた粉飾、不正会計事件を契機に、有価証券報告書の提出義務を負う上場企業等を対象に、財務報告の信頼性の確保を目的として2008年に導入され、財務報告に係る内部統制を整備・運用した上でその有効性を評価することが求められた。

(２)改訂の背景と適用時期

改訂の背景には、大きく下記2つが挙げられる。
1つは、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の、内部統制報告制度の実効性に関する懸念が指摘されていること。もう1つは、国際的な内部統制の枠組みである米国のCOSO（トレッドウェイ委員会支援組織委員会）の内部統制の基本的枠組みに関する報告書において、経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂が行われているものの、日本の内部統制報告制度ではこれらの点に関する改訂が行われていないことである。
適用時期については、2024年4月1日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用される。

(３)改訂内容のポイント

まず、内部統制の基本的な枠組みは、内部統制の４つの目的と６つの基本的要素とされており、今般の改訂では、内部統制の目的の１つである「財務報告の信頼性」が「報告の信頼性」と改訂されたほか、４つの基本的要素に改訂が施されており、国際的な内部統制・リスクマネジメントの議論の進展も踏まえ、内部統制の基本的要素に考慮すべき重要事項が追加されたものである（図表1）。主に、不正に関するリスクの評価、リスクの変化の識別と再評価、ITへの対応がキーワードになると考えている。全社的な内部統制は、健全な企業経営をサポートするものであるため、内部統制の基本的要素の重要性を再認識し、会社の内部統制が適切かどうか会社の規模や環境に照らして個々に判断することが求められる。
次に、財務報告に係る内部統制の評価及び報告においては、内部統制報告制度の実効性を向上させる観点から、経営者の内部統制の評価範囲の決定にあたって、金額基準による機械的な判断から質的な影響を含めた財務報告への影響を適切に考慮すべく、リスクアプローチの考え方を強調する改訂が行われている。また、内部統制報告書において評価範囲の決定に使用する指標等について決定の判断事由の記載を求めるなど、経営者による実質的な検討や判断とその過程の合理性の説明を求める姿勢が強く打ち出されている。
最後に、財務報告に係る内部統制の監査においては、監査人は、財務諸表監査にて入手している監査証拠の活用及び評価範囲について経営者と適時適切に協議する必要があることが明記された。監査人に対し、経営者による評価範囲の検討が実質的に行えるよう、独立的立場から指導的機能を発揮することが求められている。

(４)不正を含めたリスクの識別・評価における対応実務例

改訂の背景を踏まえると、企業においては、内部統制の実効性を確保するために内部統制を適切に評価していく枠組みを構築していくことが求められていると考えられ、そのためには、不正を含めた企業内外の様々なリスクを適時に識別し、リスクアプローチのもと評価範囲を決定した上で関連する内部統制を評価していくような仕組みが必要である。
現状においても、多くの企業では、不正を含めた様々なリスク要因について、リスクを統括する部門が不正リスクを含む各種リスク事象を取り纏めていたり、コンプライアンスを統括する部門がコンプライアンス事案に関する取り纏めをしていることなどを通じて把握していることもあると考えられる。また、財務部門においては、当該報告の内容を各種委員会資料で確認している、子会社・関連会社及び各部署などからの変更事象に関する報告を受けている、会計・制度動向の調査をしていることが考えられる。一方で、それらの情報を一元的に管理し、財務報告へ及ぼす影響を評価し、適切に評価範囲に組み込んだ上で対応していくといったような一連の流れが整備できていない企業も多く見受けられる。こういったケースに対応するため、例えば、内部統制の観点からリスクを識別、評価するような部署が、各々の部署が縦割りで管理していたリスクに横軸を通す形で情報を収集し、分析していくといったような対応が考えられる。
まずは、企業グループとして、財務報告に重要な影響を及ぼす可能性のある状況の変化や新たに生じた事象や取引を適時に把握できる仕組みとなっているかにつき確認する必要がある。

改訂J-SOX対応と関連性の高い論点

(１)デジタル化やAIの利用と内部統制

<1> デジタル化やAIの利用の普及
社会環境の急激な変化とともに、企業活動も非対面での業務が拡大し、リモートワークの導入も進んでいる。また、ChatGPTの普及など、生成型人工知能（生成AI）が業務の自動化及び実行をすることにより、ビジネスが大きく変わりつつある。さらにはDX（デジタルトランスフォーメーション）という言葉も急速に浸透してきている。DXの定義は広いが、その中でも従来紙面で行われていた業務を電子契約システムや電子ワークフローシステムを利用して、デジタル文書を中心とした業務形態に移行することや、RPA（Robotic Process Automation）やAIを利用して業務の高度化、効率化などを目指す業務プロセスなどは、財務報告に係る内部統制に影響を及ぼすと考えられる。

<2> デジタル化やAIと内部統制上の課題・留意点
デジタル化やAIの導入の前提として、改ざん、なりすまし、情報喪失を防止できること、透明性、信頼性、セキュリティの確保等が行えることが求められ、関連する内部統制を適切に構築していく必要がある。
例えば、電子帳票には、誰が作成したのかわかりにくい、形跡なく編集されやすい、分散管理されやすく、二重計上又は計上漏れに気づきにくい等のリスクがあるが、電子署名のドメイン確認やシステム上での訂正・削除の防止機能の付与又はログ管理などにより当該リスクを低減することが考えられる。
AIの利用においても、AIが下す判断をどのように検証するのか、予期せぬ状況においても適切な処理が可能なのか、セキュリティの確保はどのように行うかなど内部統制上の課題が多く考えられる。課題への対処方法として、判断や処理に高い正確性が求められる場合などは、一定程度人が介在して検証をすることや、AIモデルの定期的な精度検証を行うことが挙げられる。またセキュリティの確保に対しては、IT全般統制において防御統制を構築することなど、状況に応じて適切な内部統制を構築することが考えられる。

<3> 改訂J-SOX対応との関連性
今般のJ-SOX改訂では、内部統制の基本的枠組みにおける「ITへの対応」の中で、セキュリティの確保が重要であることが明記され、「情報と伝達」の中でも、大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況においては、情報の信頼性が重要であることが追加された。従来のマニュアル型の統制からデジタル化、AIの利用に伴うシステム依存型の統制になりつつある中で、<2>で説明したようなリスクや課題を考慮し、システムの開発や導入の段階からどのようにして財務報告に関連する情報の信頼性を確保していくのかを検討していくことが求められる。

(２)オペレーショナル・レジリエンスと内部統制

<1> オペレーショナル・レジリエンスとは
2023年4月に金融庁より「オペレーショナル・レジリエンス確保に向けた基本的な考え方」（金融庁ペーパー）が公表され、2023年6月に「主要行等向けの総合的な監督指針」が改定された。これを受け主要行等を中心にオペレーショナル・レジリエンス態勢の整備を進める動きが出はじめている。オペレーショナル・レジリエンスとは、テロやサイバー攻撃、自然災害等の発生時においても、金融機関が重要な業務を継続できる能力のことを指す。
近年、デジタル化によるITへの依存の高まりやサイバーセキュリティなど、金融機関を取り巻くリスク環境が複雑化している。大規模震災や大規模システム障害だけでなく、新型コロナウィルス感染症といった想定外の事象が生じたことを受けて、金融機関が決済サービスなどの金融システムにとって「重要な業務」を提供し続ける能力を確保することが重要視されている。

<2> オペレーショナル・レジリエンスの基本動作
金融庁ペーパーでは、オペレーショナル・レジリエンスの基本動作ともいうべきポイントが整理されている。具体的には、①「重要な業務」を特定した上で、②業務中断後の金融システムや利用者の影響を一定の範囲内に収めるべく、重要な業務の最低限維持すべき水準（耐性度）を設定し、③社内外における業務プロセスの相互連関性のマッピングにより、必要な経営資源（ヒト・モノ・カネ）を確保し、④訓練・テストを通じて適切性を検証し、必要に応じて追加対応を実施するなど、定期的に見直し続けるというPDCAサイクルが基本動作として紹介されている。

<3> 改訂J-SOX対応との関連性
今般のJ-SOX改訂では、内部統制の基本的枠組みにおける「ITへの対応」において、クラウドやリモートアクセス等の様々な技術を活用するに当たって、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保について追記された。また、こういったクラウドサービスの活用等、情報システムの開発・運用・保守など IT に関する業務の全て又は一部を、外部組織に委託するケースもあることから、IT の委託業務に係る統制の重要性も追記された。このサイバーセキュリティやITを含めた業務委託は金融庁ペーパーでも論点・課題・事例等として言及されており（図表2）、J-SOX改訂対応を行うにあたって参考になると同時に、オペレーショナル・レジリエンス確保のための態勢整備と並行して行っていくことが効果的・効率的と考えられる。

おわりに

今般の改訂は内部統制の基本的枠組みの変更を伴っており、トップダウンアプローチを採用する我が国の内部統制報告制度において極めて重要であると考えられる。さらに昨今注目を集めているデジタル化やオペレーショナル・レジリエンスとの関連性も高いため、全社的な観点で企業の内部統制を見直すよい機会だと考えられる。

寄稿

EY新日本有限責任監査法人
シニアマネージャー
堀 敦哉 氏

証券会社勤務を経て2007年に新日本監査法人（現 EY新日本有限責任監査法人）に入所。入所以来13年間にわたり主に金融機関の法定監査業務に従事。地方銀行・大手損害保険会社・生命保険会社・アセットマネジメント会社・国内大手銀行の会計監査を担当し、国内大手銀行の財務諸表監査業務では約5年間統括主査として従事。直近ではIFRS導入支援、内部統制基準改訂対応に従事。

寄稿

EY新日本有限責任監査法人
マネージャー
野口 昌宏 氏

2014年新日本有限責任監査法人（現：EY新日本有限責任監査法人）に入所。入所後は、金融機関の日本基準監査、米国基準監査に従事し、主に金融商品（デリバティブ・有価証券）の会計監査を担当。現在は、米国および日本の内部統制報告制度（SOX）関連の各種アドバイザリー業務に従事し、内部統制基準改訂対応にも関与。