DX化による新たなリスクに立ち向かう DXの推進と内部統制の現在

DX化を推進する企業は大量で多種多様なデータを保持し、業務の効率化や新規事業の開発を進めています。上場企業の内部統制を法制化したJ-SOX導入から15年が経ち、クラウドサービス、AIやRPAなど企業活動を支援するDX技術も多数運用されています。DX化で変化するリスクに内部統制はどうあるべきかを解説します。

目次

  1. J-SOXの導入の経緯とその内容
  2. DX化による企業の新たな活動
  3. DX化による内部統制への影響
  4. 終わりに

J-SOXの導入の経緯とその内容

2001年に米国で発覚したエンロン社の不正会計事件を機に、企業の不正会計を規制するために米国政府はいわゆるSOX法を制定しました。このころに米国で起きた複数の巨額粉飾、不正監査事件をきっかけに、会計の不正や誤りを防止する取り組みが十分とは言えない上場企業が日本にも多いことが明らかなりました。

この流れを受けて金融商取引法のなかで、企業内部統制の状況や有効性を評価する仕組みを整備することが法制化されました。これがJ-SOX(日本版SOX法)と呼ばれ2008年から適用されています。この制度は、経営者が内部統制の状況や有効性を評価した内部統制報告書を作成し、公認会計士等がそれを監査する、二重責任の原則に基づいて報告・監査するように法制化したものです。

J-SOXは、4つの目的と6つの基本的要素から構成されています。

4つの目的は
業務の有効性・効率性
  事業活動の目的の達成のため、業務の有効性及び効率性を高めること
財務報告の信頼性
  財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
法令遵守
  事業活動に関わる法令その他の規範の遵守を促進すること
資産の保全
  資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること


になります。この目的では企業の事業活動を効率性、信頼性の観点で遂行することが記されています。

6つの基本的要素は
統制環境
 企業の基本理念、経営方針や戦略、経営者の姿勢や倫理観、組織構造と適切な権限規定の浸透など
リスク評価と対応
 組織目標の達成を阻害する要因をリスクとして識別、分析、評価し、リスクへの適切な対応
統制活動
 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続の浸透
情報と伝達
 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること
モニタリング手法
 内部統制が有効に機能していることを継続的に評価するプロセス ITへの対応
 業務の実施において組織の内外のITに対し適切に対応すること

になります。

企業のDX化の推進により、J-SOXの6つの基本要素はどのように変化したでしょうか。DXについて改めて整理し、J-SOXへの対応として大きな変化があった箇所をいくつかピックアップしてみます。

4つの目的、6つの基本的要素については、金融庁サイトの「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表についての別紙1に基づき作成しています。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について:金融庁

DX化による新たなリスクに立ち向かう DXの推進と内部統制の現在

DX化による企業の新たな活動

企業のDX化により、J-SOXへの対応が大きく変わってきています。改めてDXとは何かを整理します。DX(デジタルトランスフォーメーション)は、企業がデジタル技術を活用してビジネスプロセスや顧客体験、それを提供する企業分野や社会的価値を根本的に変革することを指します。DXの主な目的は、効率性の向上、新しいビジネスモデルの創出、そして顧客体験の向上です。これにより、企業は競争力を高め、持続可能な成長を目指します。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
Octo Knot(オクトノット)|DXだけじゃない!EXやGXなど、旬な●Xワードをまとめてチェック!
最近よく聞くDXという言葉、CMなどでも聞かれますし、すっかり市民権を得ましたね。皆さんは、DX以外にもいろんな”●X”というキーワードがあることをご存知でしょうか?今回は、DXはもちろん、巷で話題の●Xというワードにスポットを当てながら、今どきのビジネストレンドをチェックします。

DXは、製造業からサービス業、そして金融業に至るまで、多くの業界で推進されその業務を大きく変えています。まずJ-SOXが適用された当初では想定されていなかった多種多様で大量のデータを企業が利用できるようになりました。IoTを中心に多くのセンサーやデバイスからリアルタイムにデータが蓄積されています。人々の行動もスマートフォンを通じてデジタルデータとして蓄積されています。こうしたデータを利用して、事業活動が行われてきています。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
Octo Knot(オクトノット)|デジタルトランスフォーメーション(DX)とは - 事例や成功率を上げるためにできること
デジタルトランスフォーメーション(DX)とは、進化するデジタル技術を使って業務を効率化し、顧客のニーズにあった商品やサービス、さらにはビジネスモデルへと変革する取り組みです。ここ数年でかなり市民権を得てきた言葉ですが、そもそもなぜDXが求められているのか、何から始めたら良いのか、まだまだ漠然としている方も多いかもしれません。オクトノット編集部では、DXの定義や事例などについて、いま一度詳しく整理してみました。

金融業では、DXが進むことで、顧客のオンライン取引が容易になり、また、データ解析によってよりパーソナライズされたサービスの提供もされています。融資して購入された工作機械の稼働状況によって返済金額を動的に変化させる新たな融資サービスも行われています。

農業も、IoTの導入による生産効率の向上が図られている分野です。土壌の温度、湿度、気温、CO2濃度など農作物の育成条件をモニタリングするなどデータを有効に使った農業が実施されています。牛の個体データで畜産農家の経営判断をサポートとする取り組みもされています。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
牛の個体データで畜産農家の経営判断をサポートするツールを提供 | NTTデータ - NTT DATA | NTTデータグループ - NTT DATA GROUP
株式会社NTTデータ(社長:本間 洋、以下、NTTデータ)とデザミス株式会社(社長:清家 浩二、以下、デザミス)は、2022年12月から畜産農家向けの経営管理分析ツールを提供します。

小売業では、顧客の商品購入データやオンライン店舗、リアル店舗での行動の融合など、顧客体験の向上がDX化によりもたらされています。メタバースにより新たなホスピタリティを提供する企業もあります。このようにDX化は企業活動に新たな価値を与える取り組みになっています。

DX化による新たなリスクに立ち向かう DXの推進と内部統制の現在

DX化による内部統制への影響

大量のデジタルデータを活用し企業の生産性を効率化し、新たな価値を創造するDX化は内部統制にも大きな影響を与えると考えられます。J-SOXの6つの基本的要素のうちDX化の影響を強く受けると思われる、「リスク評価と対応」、「情報と伝達」、「モニタリング手法」、「ITへの対応」の4つについて具体的に考えたいと思います。

・リスク評価と対応
DX化により、セキュリティのリスクが増加する可能性が想定されます。企業は多種多様の大量のデータを扱うことで、新たなビジネスを展開しますが、悪意のあるデータの取得、デジタルチャネルに対する攻撃などのリスクにさらされることになります。DX化によるビジネスモデルの変化で新たなリスクが生じる可能性もあります。

製品の小売に注力していた企業がDX化しマーケティングに注力することで新たなリスクを引き起こす場合があり注意が必要です。例えば、オンライン店舗と実店舗を融合した販売チャネルでは多くの顧客データを取得できますが、一方でGDPR(EUの一般データ保護規則)や個人情報保護法などの法的規制の対象となるなど、自らのビジネスのリスクを評価し対応することも必要になってきます。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
Octo Knot(オクトノット)|新規事業企画の担当者必見!2022年改正個人情報保護法の要件とは?(前編)
2022年4月1日に改正個人情報保護法が施行されます。新規事業においても個人情報を取扱う機会は多く、企画に携わる方々にとっても気になる話題ではないでしょうか。今回はそんな改正個人情報保護法について、当該分野のスペシャリストとして数々のセミナーにも登壇されているNTTデータ先端技術株式会社の戸田勝之さんより、改正の概要や留意すべきポイントなどをテーマにご寄稿いただきました。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
Octo Knot(オクトノット)|新規事業企画の担当者必見!2022年改正個人情報保護法の要件とは?(後編)
前編では令和4年(2022年)4月より施行される改正個人情報保護法に関して、個人の権利保護強化や事業者の責務拡大、仮名加工情報等について解説しました。後編では事業者の責任者や海外との関わり、そして金融分野ガイドラインについて解説します。

・情報と伝達
情報の取得、処理、保管、伝達に関する手順・規定の策定や、情報システムのセキュリティの確保などもDX化で情報の取得や処理が自動化される場合が多くなるため、大きく変わります。またクラウドサービスの拡大によりデータの保管場所も変わり、アクセス権限の管理もより重要になってきます。さらに大量のデータがビジネス上の文脈で複雑に関連しあうことも想定され、内部統制の観点でエビデンスの取得や解釈が難しくなることがあります。そのため、情報の誤記載や不正操作の防止の重要性が増していきます。

・モニタリング手法
企業が内部統制を継続的に評価・改善するための要素としてモニタリング手法があります。AI技術の導入で企業の業務遂行における不正と思われる特異点の検出が自動化され、モニタリングの効率化が期待されます。一方でリアルタイム監視の必要性の増加、クラウドサービスの利用の拡大による監視の困難化、エンドユーザーを特定したマーケティング実施時などのプライバシー保護対応など、DX化が進むことによって新たなタスクや深刻な課題も発生します。

・ITへの対応
「ITへの対応」の要素は、企業が情報技術を活用した業務プロセスの内部統制を適切に行うための要素です。システム開発ライフサイクルにおける内部統制の実施や、システムの運用・保守における内部統制の実施、システムのセキュリティに関する内部統制の実施などが含まれます。

業務の効率化や新規市場拡大のためにAIを利用することも増えています。AIやRPAという新たなITの業務への適切な利用が効果的です。しかし、新規にAIやRPAを導入すると新規に導入したAIやRPAやその周辺のシステムのセキュリティ管理といった内部統制上の対応が追加で発生することになります。新たな技術の導入にはこうした注意も必要です。

自社ECのSEOを正しく理解していますか?すぐに実行できる7つの施策や対策を徹底解説【セミナーレポート】
Octo Knot(オクトノット)|AIガバナンスとは? AI時代におけるリスク管理の必要性と企業の取り組み方
技術の日進月歩とともに、AIは私たちのビジネスや生活のあらゆる場面に浸透しています。仕事や暮らしが便利になる一方で、AIの利活用にまつわる問題が顕在化。その流れから、金融機関をはじめ各企業において「AIガバナンス」の取り組みの強化が進んでいます。AIガバナンスがなぜ必要なのか、各国の動きや企業の取り組み事例とともに紹介します。

DX化による新たなリスクに立ち向かう DXの推進と内部統制の現在

終わりに

J-SOXが2008年に適用され15年が経ちました。DX化を進めるためのIoT、クラウドサービス、AIやRPAなど企業活動を支援するDX技術も多数運用されています。これらの技術を利用することで、多くのステークホルダーを巻き込んだ新たな領域に事業が拡大します。これは企業の成長にとってはたいへん重要なことです。一方でDX化により多くのデータを収集し、多くのチャネルを新しいITで利活用することで新たなリスクがもたらされることもあります。こうしたリスクに対して内部統制を堅実に遂行していくことが今後より必要になると思われます。

>> お問い合わせはこちら
※お問い合わせの際は「オクトノットを見た」とご記載ください