2023年4月7日、金融庁は15年ぶりに「内部統制報告制度（J-SOX）」の大幅改訂を決定しました。この改訂は、企業の財務報告プロセスにおける不正を防ぎ、内部統制を整備し、その運用状況を報告することを義務付けています。この改訂により、特にクラウドサービスの利用や選択に影響を及ぼす可能性が高まっています。

J-SOXの改訂では、ITへの対応が不可欠な要素の1つとして「IT統制」を強調しており、IT統制の整備・運用は企業にとって重要な対策となります。特に注目すべきは、ITの委託業務に関するIT統制の整備・運用に関する変更です。

ITの委託業務は、自社の情報システムの運用や保守を外部に委託している場合を指します。クラウドサービスの普及が進む中、金融庁は「ITの委託業務にかかる統制の重要性が増している」と明確に指摘しています。このため、J-SOXの改訂において、クラウドサービスの利用やリモートアクセスなどの増加を考慮し、情報セキュリティーの重要性を再強調しています。

また、子会社での不正が財務諸表に与える影響が明らかになったため、グループ会社の選定についても実態に基づいた判断が求められています。これにより、規模の小さい子会社もJ-SOXの対象に含めることが増えていきます。

特に新型コロナ禍の影響で急速に導入されたクラウドサービスには注意が必要です。クラウドサービスを導入した場合、その業務を代替しているクラウドベンダーによる統制の整備・運用状況がJ-SOX対応の一環として評価されます。したがって、J-SOX対応の視点を持たずにクラウドサービスを選択した企業は、今後、対策を講じる必要があります。

最後に、2008年のJ-SOX適用時と比較して、クラウドサービスを利用する企業が増えていることを考慮し、委託先のIT統制の状況を再評価することが重要です。クラウドサービスの利用は増加しており、これに対応するための内部統制を強化する必要があります。

結論として、J-SOXの改訂に伴い、クラウドサービスの利用企業は内部統制に対する注意を強化し、委託先のIT統制の整備・運用状況を評価し、不正を防ぐための対策を講じる必要があることを認識することが重要です。新たな環境下での内部統制の確立は、企業の持続可能性と信頼性を高める鍵となるでしょう。