英国 投資家等に対するサイバーセキュリティのリスクに対する開示等の個人的な整理....

こんにちは、丸山満彦です。

英国における投資家等に対するサイバーセキュリティのリスクに対する開示等について、整理しておきたいと思いながら、なかなかできていないのですが、まずは初めて見ないということで。。。

まずは、FRC（英国財務報告評議会）[wikipedia] の報告書から。。。FRCといえば、かつては英国の会計基準を策定していた団体ですね。今は国際会計基準になっていますが。。。そして今、監査・報告・ガバナンス機構 (ARGA: Audit, Reporting and Governance Authority) に変わろうとしていますね。。。（2023年4月に完全移行予定？）

 

● The Financial Reporting Council: FRC

・2022.06.16 [PDF] Guidance on the Strategic Report

7A The strategic report: content elements for entities that are not PIEs or are PIEs with 500 or fewer employees

7B The strategic report: content elements for entities that are PIEs with more than 500 employees

の7A.33, 7B.33に関連記載があります（内容は両方とも同じです。。。ので、7B.33を記載しておきます）

7B.33 Significant changes in principal risks such as a change in likelihood, probable timing or possible effect, or the inclusion of new risks, should be highlighted and explained.[32]	7B.33  可能性の変化、起こりうる時期、影響の変化など、主要なリスクの重大な変化、または新たなリスクの包含は、強調して説明されるべきである。[32]。
[32] Further information on risk management can be found in the FRC’s Guidance on Risk Management, Internal Control and Related Financial and Business Reporting for Code companies and Guidance on the Going Concern Basis of Accounting and Reporting on Solvency and Liquidity Risks for non-Code companies.	[32] リスクマネジメントに関する詳しい情報は、FRCの「リスクマネジメント、内部統制、関連する財務および事業報告に関するガイダンス」（規範企業向け）、「継続企業の会計基準および支払能力と流動性リスクに関する報告に関するガイダンス」（非規範企業向け）に記載される。
Example	例
Where the risk profile of an entity has changed, many entities explain whether the individual risks identified have increased, decreased or remained the same severity. The risk mitigation could also show how the entity has responded to the change.	企業のリスクプロファイルが変化した場合、多くの企業は、識別した個々のリスクが増加したのか、減少したのか、それとも同じ深刻さのままなのかを説明している。また、リスク軽減は、企業がその変化にどのように対応したかを示すこともできる。
For instance, in recent years, the cyber risk faced by many entities has significantly increased. The risk disclosures could explain the ways in which cyber risk could affect the business, for instance a cyber attack, loss of sensitive data leading to a lack of customer confidence, a failure of IT systems leading to a failure to operate certain elements of the business etc. The risk mitigation could explain the processes that the entity has put in place to mitigate the increased risk.	例えば、近年、多くの企業が直面するサイバーリスクは著しく増大している。リスク開示は、サイバーリスクがどのように事業に影響を与えうるかを説明することができる。例えば、サイバー攻撃、機密データの損失による顧客の信頼喪失、ITシステムの故障による事業の特定要素の運用不能などである。リスク軽減は、企業が増大するリスクを軽減するために導入したプロセスを説明することができる。

 

・2021. 09.02 [PDF] FRC Lab Call for participants_cyber digital and data risk 2021

Cyber, Digital and Data risk	サイバー、デジタル、データリスク
The Financial Reporting Lab (Lab) is inviting companies, investors and other interested parties to participate in a new project around cyber, digital and data risk. This project will consider how company processes are changing and how that might translate into useful external disclosures. Contact the Lab at [mail] if you are interested in taking part.	財務報告ラボ（Lab）は、企業、投資家、その他の関係者に、サイバー、デジタル、データリスクに関する新しいプロジェクトに参加するよう呼びかけている。このプロジェクトでは、企業のプロセスがどのように変化し、それがどのように有用な外部開示につながる可能性があるかを検討する予定である。参加に興味のある方は、mail まで連絡すること
Background	背景
As part of the Lab’s recent project on Reporting on risks, uncertainties, opportunities and scenarios, we found that companies face increasingly complex risks around digital processes, systems and data. The increase in risk is driven by changing business models, increased use of data, and the COVID-19-accelerated digital transformation of operations.	当研究所の最近のプロジェクト「リスク、不確実性、機会、シナリオに関する報告」の一環として、企業はデジタルプロセス、システム、データに関するますます複雑なリスクに直面していることが分かった。リスクの増加は、ビジネスモデルの変化、データ活用の増加、COVID-19によって加速する業務のデジタル変革によってもたらされている。
The government’s recent proposals on the resilience statement also identified digital security risk as one of the key issues businesses are expected to report on.	レジリエンス・ステートメントに関する政府の最近の提案でも、デジタル・セキュリティ・リスクは、企業が報告することが期待される重要な課題の1つであるとされている。
We have heard that, in response to this increase in risk, companies are evolving processes, oversight and mitigations. However, such changes are not always evident in external disclosures.	このようなリスクの高まりに対応して、企業はプロセス、監視、緩和策を進化させていると聞いている。しかし、そのような変化は、必ずしも外部開示において明らかではない。
We therefore want to speak to companies, investors and others with an interest in this evolving risk reporting area.	そこで、この進化するリスク報告分野に関心を持つ企業、投資家、その他の方々にお話を伺いたいと考えている。
The project scope will be determined in conjunction with participants but is expected to include:	プロジェクトの範囲は参加者とともに決定されるが、以下を含むことが予想される。
• how companies’ risk management practices are evolving to counter cyber, digital and data risks;	・企業のリスクマネジメントは,サイバー、デジタル、データリスクに対応するためにどのように進化しているか。
• how boards are building expertise in cyber, digital and data; and	・取締役会がサイバー、デジタル、データに関する専門知識をどのように構築しているか。
• how external disclosures such as risk reports, viability and (in future) resilience statements should communicate cyber, digital and data risk and what specific disclosures would be useful when such risks crystalise.	・リスク報告書、実行可能性報告書、（将来的には）レジリエンス報告書などの外部開示は、どのようにサイバー、デジタル、データリスクを伝えるべきか、また、そのようなリスクが顕在化した場合にどのような具体的開示が有用であるか。

 

・2021.09.02 [PDF] Reporting on risks, uncertainties, opportunities and scenario

P29にPageGroupの2020年の年次報告書46ページとともに紹介されています。。。

Cyber, data and digital risk	サイバー、データ、デジタルリスク
Like climate change, cyber, digital and data risks are becoming a topic of enhanced focus. The technological acceleration of companies’ business models driven by the COVID-19 pandemic now means that almost every company will face some type of cyber, data and digital risk (collectively or individually).	気候変動と同様に、サイバー、デジタル、およびデータのリスクは、より注目されるテーマとなっている。COVID-19の大流行によって企業のビジネスモデルが技術的に加速されたことは、ほとんどすべての企業が（集団または個人として）何らかのサイバー、データ、デジタルリスクに直面することを意味している。
As part of this project our discussions with companies identified that those at the leading edge are developing new ways to monitor and manage such risks. The Lab is undertaking a deep-dive into this risk area to understand current practice, approaches and disclosures. If you would be interested in taking part in such a project please email us at: [mail]	このプロジェクトの一環として、私たちは企業との話し合いの中で、最先端を行く企業がこのようなリスクを監視・マネジメントするための新しい方法を開発していることを確認した。ラボでは、このリスク領域を深く掘り下げ、現在の実践、アプローチ、情報開示について理解することを目的としている。このようなプロジェクトに参加することに興味がある方は、mail までメールで連絡すること。

● U.K.  Department for Business, Energy & Industrial Strategy

・Policy paper Restoring trust in audit and corporate governance

・2021.03.18 [PDF] Restoring trust in audit and corporate governance Consultation on the government’s proposals

該当箇所は、P60の「3 New corporate reporting」の 「3.1 Resilience Statement」ですね。。。

レジリエンスに影響を与える項目として、「デジタルセキュリティリスク（外部からのサイバーセキュリティの脅威と、内部の不備から生じる大規模なデータ漏洩のリスクの両方を含む）」が例示されていますね。。。

3.1  Resilience Statement	3.1 レジリエンス・ステートメント
The Government agrees with the Brydon Review recommendation and proposes to introduce a statutory requirement on public interest entities to publish an annual Resilience Statement, consolidating and building on the existing going concern and viability statements. The Government proposes that the Resilience Statement should be required initially of premium listed companies, in view of their existing experience of producing viability statements, and should extend to other public interest entities two years later.	政府は、ブライドン・レビューの提言に同意し、公益事業体に対して、現行の継続企業の前提条件と存続可能性報告書を統合し、さらに発展させたレジリエンス・ステートメントを毎年公表することを法的に義務付けることを提案している。政府は、レジリエンス・ステートメントを、上場企業の既存のバイアビリティ・ステートメント作成の経験に鑑み、当初はプレミアム上場企業に要求し、2年後にその他の公益事業体に拡大することを提案する。
Background	背景
3.1.1  How a company identifies and manages risks to its survival and success over the short, medium and long term is of considerable interest to existing and potential investors and creditors, as well as to regulators and other stakeholders. There is also a clear public interest in companies building resilience to reduce the risks of disorderly corporate failure, and the attendant social and economic shocks that such failures can cause.	3.1.1 企業が短期、中期、長期の生存と成功に対するリスクをどのように特定し、管理しているかは、既存、潜在的な投資家や債権者、規制当局や他のステークホルダーにとって大きな関心事である。また、企業が無秩序な企業破綻のリスクと、そうした破綻が引き起こす可能性のある付随的な社会的、 経済的衝撃を低減するためにレジリエンスを構築することには、明確な公共の利益が存在する。
3.1.2  All large and medium sized companies must already disclose in their annual accounts any ‘material uncertainties’ that could affect the company’s ability to continue as a going concern under accounting standards required to be followed by UK company law . Those companies must also describe each year, within their strategic report, the principal risks and uncertainties facing the business.	3.1.2すべての大・中企業は、英国会社法で義務づけられている会計基準のもと、継続企業の前提に影響を与えうる「重要な不確実性」を年次報告書で開示しなければならない。また、これらの企業は、毎年、戦略報告書の中で、事業が直面する主なリスクと不確実性を記述しなければなりません。
3.1.3  Additional requirements apply to premium listed companies under the UK Corporate Governance Code, underpinned by the Financial Conduct Authority’s Listing Rules. In particular, premium listed companies must publish annually a going concern statement, a viability statement, and an assessment of the company’s emerging and principal risks and explanation of how they are being managed or mitigated .	3.1.3 プレミアム上場企業には、金融行動監視機構（Financial Conduct Authority）の上場規則に基づく英国コーポレートガバナンス・コードの下で追加的な要件が適用される。特に、プレミアム上場会社は、継続企業の前提に関する記述、存続可能性に関する記述、会社の新たな主要リスクの評価、およびそれらのリスクの管理または軽減方法の説明を毎年公表しなければならない。
3.1.4  The going concern statement requires the board to state whether it considers it appropriate to adopt the going concern basis of accounting in respect of its half-yearly and annual accounts, and identify any material uncertainties as to its ability to do so for at least the next twelve months. The viability statement requires the board to assess the prospects of the company, and to specify the period in respect of which that assessment applies and why it is appropriate. It also requires the board to state whether it has a reasonable expectation that the company will be able to continue in operation and meet its liabilities over that period, drawing attention to any qualifications or assumptions as necessary.	3.1.4 継続企業の前提に関する記述では、取締役会が半期報告書および年次報告書に関して継続企業の前提を採用することが適切と考えるかどうかを述べ、少なくとも今後12ヶ月間継続企業の前提を採用できるかどうかに関する重要な不確実性を明らかにすることを義務付けている。実行可能性報告書は、取締役会が会社の見通しを評価し、その評価が適用される期間とそれが適切である理由を明示することを要求しています。また、その期間中、会社が事業を継続し、債務を履行することができると合理的に期待できるかどうかを、必要に応じて除外項目や仮定に注意を払いながら説明することも要求している。
3.1.5  The Brydon Review has proposed that a new Resilience Statement should set out a company’s approach to exploring and mitigating risks and uncertainties over the short term (12 years), medium term (5 years) and long-term (an indefinite period to be determined by the company) . The Review recommends that, in doing so, the Statement should incorporate and build on the existing going concern and viability statements, including greater transparency on the potential ‘material uncertainties’ considered by companies in their going concern assessment, and greater use of scenario testing.	3.1.5 ブライドン・レビューは、新しいレジリエンス・ステートメントが、短期（1, 2年）、中期（5年）、長期（会社が決定する無期限）のリスクと不確実性を調査・軽減する会社のアプローチを示すべきであると提唱している。その際、企業が継続企業の評価で考慮する潜在的な「重要な不確実性」の透明性を高め、シナリオ・テストをより活用するなど、既存の継続企業の評価と実行可能性の評価を取り込み、構築することを提言している。
Government proposals	政府の提案
3.1.6  The Government accepts the Brydon Review proposal in principle, subject to consultation on the specific implementation options set out below. There is strong investor and wider stakeholder interest in how companies are building business resilience to cope with severe yet plausible scenarios in the short and medium term, and in understanding how a company’s directors are exploring and preparing for likely challenges over the long term. Better disclosures of management thinking on resilience enable better informed investment decisions which can lower the cost of capital.	3.1.6 政府は、以下に示す具体的な実施方法についての協議を前提として、原則としてブライドン・レビューの提案を受け入れている。企業が、短期・中期的に、厳しいがもっともらしいシナリオに対処するために、どのように事業のレジリエンスを構築しているか、また、企業の取締役が長期的に起こりうる課題についてどのように検討し準備しているかを理解することに、投資家や幅広いステークホルダーが強い関心を持っています。レジリエンスに関する経営陣の考え方の開示が改善されれば、より良い情報に基づく投資判断が可能となり、 資本コストを引き下げることができる。
3.1.7  The experience of Covid-19 has further increased investor appetite for fuller and more meaningful disclosures by companies about how they are planning for potential future challenges. It has heightened expectations that companies will be able to explain how they are preparing to cope with liquidity, solvency and operational risks during a prolonged period of uncertainty.	3.1.7 Covid-19 の経験から、企業が将来の潜在的な課題にどのように対処するかについて、より充実した意味のある情報開示を求める投資家の欲求がさらに高まった。不確実性が長期化する中で、企業が流動性、ソルベンシー、オペレーショナルリスクに対処するための準備をどのように行っているかを説明できるようになることへの期待が高まった。
3.1.8  Existing risk and viability reporting requirements produce useful disclosures, although much reporting in practice does not look beyond the next three years. The viability statement in particular has not proved as effective as originally hoped. As a number of investors have pointed out, most companies prepare viability statements on a three year forward look, which does not cover how a company is planning to survive and thrive through a typical business cycle . Investors have also pointed to a relative lack of detail on the risk scenario planning referred to in many viability statements. The Government therefore sees a strong case for a single consolidated statement that is more useful to investors than the two existing reports.	3.1.8 リスクと実現可能性の報告に関する既存の要求事項は、有用な情報開示をもたらすが、 実務上の報告の多くは、今後3年間を見通したものではない。特に実現可能性ステートメントは、当初期待されたほどには有効でないことが判明している。多くの投資家が指摘しているように、ほとんどの企業は、3年先まで見通した実現可能性ステートメントを作成しており、これでは、企業が通常のビジネスサイクルの中でどのように生き残り、繁栄していくかをカバーできていない。また、投資家からは、多くの実現可能性ステートメントで言及されているリスクシナリオの計画について、相対的に詳細が欠けているとの指摘がなされている。そのため、政府は、既存の2つの報告書よりも投資家にとって有用な単一の連結報告書を作成することを強く推奨しています。
Resilience Statement – implementation options	レジリエンス・ステートメント - 実施オプション
Minimum new reporting requirements	新しい報告要件の最小化
3.1.9  The Government accepts the Brydon Review proposal that the Resilience Statement should address business resilience over the short, medium and long-term.	3.1.9 政府は、レジリエンス・ステートメントが短期、中期、長期の事業の回復力を扱うべきであるというブライドン・rレビューの提言を受諾している。
3.1.10 The short-term section of the Statement would incorporate companies’ existing going concern statement, including disclosure of any material uncertainties considered by management during their going concern assessment, which were subsequently determined not to be material after the use of significant judgement and/or the introduction of mitigating action. Such disclosures are currently required under international financial reporting standards in respect of the application of significant judgement, but the Government accepts the Brydon Review proposal that this should be required in the Resilience Statement, including disclosure of uncertainties no longer judged material after mitigating action. This has the potential to drive better compliance and more informative reporting in this area.	3.1.10 ステートメントの短期セクションには、継続企業の評価において経営陣が考慮した重要な不確実性のうち、重要な判断を経て、あるいは緩和策を導入した結果、重要ではないと判断されたものの開示を含む、企業の現行の継続企業の記述を組み込むことになる。このような開示は、現在、重要な判断の適用に関して国際財務報告基準で要求されているが、政府は、緩和措置の後に重要でなくなった不確実性の開示を含め、これをレジリエンス・ステートメントで要求すべきであるというブライドン・レビューの提案を受け入れている。これは、この分野でのコンプライアンス向上と、より有益な報告を促進する可能性を持っている。
3.1.11 The medium term section of the Statement would incorporate the existing viability statement requirements to provide an assessment of the company’s prospects and resilience, and to address matters which may threaten the company’s ability to continue in operation and meet its financial liabilities as they fall due . However, the Government agrees with the Brydon Review that the mandatory assessment period should be five years, rather than the three year period currently chosen by most companies who produce viability statements. The Government also agrees with the Brydon Review that viability reporting over the medium term should do more to evidence scenario planning by companies  and views are invited on how this could best be achieved in practice. The Government intends, at this stage, to require companies to include at least two reverse stress testing scenarios in their Resilience Statement.	3.1.11ステートメントの中期セクションは、会社の見通しとレジリエンスの評価を提供し、会社が事業を継続し、期限が到来した金融負債を支払う能力を脅かす可能性のある問題に対処するために、既存の実現可能性ステートメントの要件を取り入れることになる。しかし、政府は、強制的な評価期間を、実現可能性ステートメントを作成する多くの企業が現在選択している3年ではなく、5年にすべきであるというブライドン・レビューに同意している。また、政府は、中期的な実現可能性ステートメントは、企業によるシナリオ・プランニングを証明するためにもっと行われるべきで、これを実際にどのように達成するのが最善であるかについて意見を求めるという点でも、ブライドン・レビューに同意している。政府は、現段階では、少なくとも2つの逆ストレステストのシナリオをレジリエンス・ステートメントに含めることを企業に要求する予定である。
3.1.12 The Government also proposes to require further specific disclosures in both the short and medium-term sections of the Resilience Statement. The existing going concern and viability statements largely leave it to companies’ discretion to determine which specific matters of risk and viability should be considered and reported. The Government accepts that companies should continue to have flexibility in the Statement to report on resilience matters most relevant and material to their individual business. The Government recognises, however, that there are resilience issues common to many, if not all, businesses, and that it could be helpful to shareholders and other users to have these addressed specifically in the Statement.	3.1.12 政府は、レジリエンス・ステートメントの短期と中期の両セクションで、さらに具体的な開示を要求することも提案している。現行の継続企業の前提に関するステートメントと実現可能性ステートメントは、リスクと存続可能性のどの具体的事項を検討し、報告すべきかを決定することを、主として企業の裁量に委ねている。政府は、企業が、個々の事業にとって最も関連性が高く重要なレジリエンス事項を報告するために、引き続きステートメントの中で柔軟性を持つべきであることを認めている。しかし、政府は、すべてではないにしても、多くの事業に共通するレジリエンス問題があり、それをステートメントで具体的に取り上げることが、株主や他の利用者にとって有用であることを認識している。
3.1.13 These might include:	3.1.13 こうした問題には次のようなものがある。
• threats to liquidity, solvency and business continuity in response to a major disruptive event (such as a pandemic) which disrupts normal trading conditions;	・通常の取引条件を混乱させるような大規模な破壊的事象（パンデミックなど）に対応する流動性、支払 能力、事業継続性への脅威。
• supply chain resilience and any other areas of significant business dependency (e.g. on particular markets, products or services);	・サプライチェーンのレジリエンス、およびその他の重大な事業依存分野（特定の市場、製品、サービスなど）。
• digital security risks (both including external cyber security  threats, and the risk of major data breaches arising from internal lapses);	・デジタルセキュリティリスク（外部からのサイバーセキュリティの脅威と、内部の不備から生じる大規模なデータ漏洩のリスクの両方を含む）。
• the business investment needs of the company to remain productive and viable;	・生産性と生存力を維持するための事業投資の必要性
• the sustainability of the company’s dividend and wider distribution policy; and	・会社の配当政策及びその他の分配政策の持続可能性
• climate change risk (for more on which please see paragraphs 3.1.15-3.1.18 below).	・気候変動リスク（詳細は下記3.1.15〜3.1.18項参照）
19. Do you agree that the above matters should be included by all companies in the Resilience Statement? If so, should they be addressed in the short or medium term sections of the Statement, or both? Should any other matters be addressed by all companies in the short and medium term sections of the Resilience Statement?	19. 上記の事項を全ての会社がレジリエンス・ステートメントに含めるべきことに同意するか。同意する場合、ステートメントの短期、中期、又はその両方のセクションで取り上げるべきであるか？その他の事項についても、レジリエンス・ステートメントの短期及び中期のセクションで全ての企業が取り上げるべきであるか？
3.1.14 The Government agrees with the Brydon Review that the content in the long-term section of the Resilience Statement should not in general be prescribed. This section should instead set out what the directors of the company consider to be the main long-term challenges to the company and its business model, and how these are being addressed. These might include the impact of long-term changes in demographics, technology, consumer preferences and other identified trends on the company’s long-term business model.	3.1.14 政府は、レジリエンス・ステートメントの長期セクションの内容を一般的に規定すべきではないというブライドン レビューの意見に同意する。このセクションでは、代わりに、会社の取締役が会社とそのビジネスモデルに対する主な長期的課題として考えていることと、それらにどのように対処しているかを示すべきである。これには、人口統計、技術、消費者嗜好、その他特定された傾向の長期的変化が会社の長期的ビジネスモデルに与える影響も含まれるかもしれない。
3.1.15 However, the Government would welcome views on whether the Resilience Statement as a whole, including the long-term section, should specifically address the impact of climate change on the company’s business model and financial planning. In this respect, views are invited on whether the Resilience Statement could provide a means for companies in future  to provide disclosures consistent with the recommendations of the Taskforce on Climate-related Financial Disclosures (TCFD) , in whole or part.	3.1.15 しかし、政府は、長期的なセクションを含むレジリエンス・ステートメント全体が、気候変動が企業のビジネスモデルや財務計画に与える影響について具体的に取り扱うべきかどうかについての意見を歓迎する。この点に関して、レジリエンス・ステートメントが、今後企業が気候関連財務情報開示タスクフォース（TCFD）の提言に沿った情報開示を行うための手段となり得るかどうか、全体又は部分的な見解を求めたい。
3.1.16 The TCFD framework encourages companies to report on how they are identifying and managing climate change risks (and opportunities) over the short, medium and long-term, including with reference to their governance, strategy and risk assessment processes. UK companies are not currently required to report according to TCFD recommendations. The Financial Conduct Authority has recently introduced a new Listing Rule which requires premium listed companies to set out whether and where they have made disclosures in line with TCFD recommendations, and to explain why they may not have made any such disclosures . The Government has also announced plans to introduce mandatory climaterelated financial reporting in line with TCFD recommendations for all UK companies above a certain size threshold by 2025, and will consult separately on those proposals.	3.1.16 TCFDの枠組みは、ガバナンス、 戦略、リスク評価プロセスを含め、短・ 中・長期的な気候変動リスク（及び機会） をどのように特定しマネジメントしている かについて報告することを企業に奨励している。英国企業は、現在、TCFDの提言に従った報告をすることを求められていない。金融行動監視機構は最近、新しい上場規則を導入し、プレミアム上場企業に対し、TCFDの勧告に沿った開示を行っているかどうか、またどこで行っているか、そしてなぜそのような開示を行っていないのかを説明するよう求めている。また政府は、2025年までに一定規模以上の全ての英国企業に対して、TCFDの勧告に沿った気候変動関連の財務報告を義務付ける計画を発表しており、その 提案については別途協議する予定である。
3.1.17 The TCFD focus on climate related financial disclosures across the short, medium and long term may complement the structure of reporting under the Resilience Statement. The Government is interested to hear from all interested parties on whether, and if so how, these two reporting measures might be integrated.	3.1.17 短期、中期、長期にわたる気候関連 の財務情報開示に焦点を当てたTCFDは、レジリエンス・ステートメントに基づく報告の構造を補完するものと考えられる。政府は、これら2つの報告手段を統合 するかどうか、また統合する場合にはどのように統合するかについて、全ての関係者から情報を得ることに関心を持っている。
3.1.18 The Government also agrees with the Brydon Review that companies should consider, as part of their Audit and Assurance Policy80, whether any independent assurance is required of the Resilience Statement, as well as outlining the company’s internal assurance of the Statement’s content. Any such independent assurance would be in addition to that required by the statutory audit.	3.1.18 政府は、企業が監査・保証方針80 の一環として、レジリエンス・ステートメントの内容に関する企業の内部保証の概要を示すだけでなく、 レジリエンス・ステートメントに何らかの独立した保証が必要かどうかを検討すべきであるというブライドン・レビューにも同意している。そのような独立した保証は、法定監査で要求されるものに加えられることになる。
20. Should the Resilience Statement be a vehicle for TCFD reporting in whole or part?	20. レジリエンス・ステートメントは、TCFD報告の全体または一部とすべきか？
Scope of company coverage and implementation route	対象企業の範囲と実施ルート
3.1.19 Premium listed companies currently have more extensive experience of risk and viability reporting through disclosures they provide under the UK Corporate Governance Code and the UK Listing Rules. The Government therefore intends to introduce the Resilience Statement initially in respect of premium listed companies only.	3.1.19 プレミアム上場企業は現在、英国コーポレートガバナンス・コードと英国上場規則に基づく開示を通じて、リスクと実行可能性の報告についてより広範な経験を有している。このため、政府は当初、プレミアム上場企業のみを対象としてレジリエンス・ステートメ ントを導入する予定である。
3.1.20 However, the Government believes that the public interest in resilience reporting extends to other listed and to unlisted companies with a significant economic and social footprint. The Government therefore intends to extend the requirement to provide a Resilience Statement to other Public Interest Entities within two years of it coming into force for premium listed companies, subject to the possible exclusion of recently listed companies as set out in paragraph 1.3.26 and Q4 above. Recently listed companies would retain the option of voluntary compliance in order to build investor confidence in their reporting and future prospects.	3.1.20 しかし、政府は、レジリエンス・ステートメントに対する公共の利益は、他の上場企業や、経済的・社会的影響が大きい非上場企業にも及んでいると考えている。そのため、政府は、レジリエンス・ステートメントの提供という要件を、プレミアム上場企業については発効後2年以内に他の公益事業体にも拡大する方針であるが、上記1.3.26項及びQ4で示したとおり、直近の上場企業は除外する可能性がある。直近の上場会社は、その報告や将来の見通しに対する投資家の信頼を高めるため、自主的な遵守という選択肢を保持することになる。
21. Do you agree with the proposed company coverage for the Resilience Statement, and the proposal to delay the introduction of the Statement in respect of non-premium listed PIEs for two years? Should recently-listed companies be out of scope?	21. レジリエンス・ステートメントの対象会社案、及び、非プレミアム上場 PIEs に関するステートメントの導入を 2 年遅らせるという提案に同意するか。最近上場した会社は対象外とすべきであるか？
3.1.21 The Government’s preferred implementation route at this stage is to implement the Resilience Statement through legislation as a new section of the existing Strategic Report, supported by non-statutory guidance to be maintained by the new Audit, Reporting and Governance Authority (ARGA). The Government and regulators will consider what consequential changes may be needed to the UK Corporate Governance Code and relevant provisions in the UK Listing Rules to ensure that there is no duplication across the Strategic Report, the Code and the Listing Rules. Any changes to the Listing Rules would be for the Financial Conduct Authority to determine and would be subject to separate FCA consultation. The Government will also consider what scope there may be for companies to report existing statutory disclosures on risk within the Resilience Statement.	3.1.21 現段階での政府の望ましい実施ルートは、レジリエンス・ステートメントを既存の戦略報告書の新しいセクションとして法制化し、新しい監査・報告・ガバナンス機構（ARGA）が維持する法定外のガイダンスによって支援することである。政府と規制当局は、戦略報告書、コード、上場規則に重複がないように、英国コーポレート・ガバナンス・コードと英国上場規則の関連規定にどのような変更が必要になるかを検討することになる。上場規則の変更は、金融行動監視機構（FCA）が決定し、FCA の個別の協議に付されることになる。また、政府は、企業がリスクに関する既存の法定開示をレジリエンス・ステートメントで報告する余地があるかについても検討する予定である。

 

 

ブライドン・レビュー

● Chartered Governance Institute UK & Ireland (CGI)

・The Brydon Review (2019)

・2019.12[PDF] ASSESS, ASSURE AND INFORM IMPROVING AUDIT QUALITY AND EFFECTIVENESS  - REPORT OF THE INDEPENDENT REVIEW INTO THE QUALITY AND EFFECTIVENESS OF AUDIT (SIR DONALD BRYDON CBE)

 

 

 

---

 

米国については、、、

● まるちゃんの情報セキュリティきまぐれ日記

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則