2024年のIT統制はどうなるの？

これは CAMPFIRE Advent Calendar 2023 3日目の記事です。

3日目が誰もいなかったので、2日目の記事では収まりきらなかった来年以降のIT統制状況について簡単に書いていきます。

2023年、そして2024年はIT統制的に大きな節目の年になっています。というのも、様々なIT統制に関する資料のアップデートが立て続けにあるからです。

まずは「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」です。もう覚えましたね、例のやつです。

金融庁のホームページによれば、令和４年12月15日（木曜）から令和５年１月19日（木曜）にかけて広く意見の募集を行い、今年の4月に意見書が取りまとめられています。

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」の公表について

特に注目すべきなのは、内部統制の目的の一つである「財務報告の信頼性」が「報告の信頼性」に改訂されている点ですが、「報告の信頼性」には「財務報告の信頼性」が含まれ、金融商品取引法上の内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることが強調されていることから、実際の内部統制作業に大きな影響はないものと思われます。

また、その他不正に関するリスクの強調や、情報システムのセキュリティ確保の重要性などの内容が追加されています。ちなみに、この改訂はなんと15年ぶりだそうです。ヴェルディみたいですね。

これらは令和６（2024）年４月１日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用されます。

次に経済産業省が出している「システム監査基準」、及び「システム管理基準」です。こちらも今年の4月に改訂されています。

システム監査制度について（METI/経済産業省）

改訂の背景についてはこちらの資料にまとまっていますが、システム監査の前提となる監査人の倫理についてや、アジャイルやAIなどの最新状況の反映とともに、実施⽅法等の「実践部分」については切り離して別冊化し、システム監査に知⾒のある⺠間団体（⽇本システム監査⼈協会）がアップデートを図っていくとされています。

上記を踏まえ、アジャイルについてもより詳細なガイドラインが出てくるかと思っていたのですが、私の観測する限り特に出ていないようです。これから出てくるのか、記載の簡略化にとどめているのかはわかりませんが、「システム監査基準」などからアジャイルについての詳細な記述が消えているからといって、ウォーターフォール開発にシフトしないといけないわけでは全くありませんので大丈夫です。引き続きアジャイルについての重要性は謳われています。

以上、簡単ですが今年から来年にかけて変化がありそうな資料をピックアップしてみました。全体として大きな変更はなく、これまでと同様国際的な潮流に合わせたアップデートが中心になると思われます。

ただし、前者の意見書については、中長期的にダイレクトレポーティングを検討するべきではないかとの文言もあったため、この辺りももしかしたら今後変わっていくかもしれませんね。もし大きな変更がありそうなら、そのタイミングでまた何か書きたいと思います。それではまた。