« 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16) | Main | 米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言 »

2023.02.24

英国 科学技術省 上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究を開始...

こんにちは、丸山満彦です。

英国の科学技術省が、上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示がどのような状況になっているかについて調査を始めるようです。。。

 

U.K. Gov - Department for Science, Innovation and Technology

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する調査研究
The government is carrying out research to explore the prevalence and quality of cyber security disclosures made by large companies in their annual reports. 政府は、大企業がアニュアルレポートで行うサイバーセキュリティ開示の普及率と質を調査するための研究を実施している。
Documents 資料
企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
Details 詳細
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー情報開示の普及と質に関する調査をAzets社に委託している。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる予定である。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、Azets社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者に特別なIT知識は必要ない。
Context 背景
This research will support DSIT’s aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research will inform government policy on cyber resilience. This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK digital economy. この調査は、大規模な組織による現行のサイバー情報開示の有効性をより良く理解するというDSITの目的を支援するものである。この研究の結果は、サイバーレジリエンスに関する政府の政策に反映される。この研究は、英国のデジタル経済を保護・促進するための政府の26億ポンドの国家サイバー戦略の一部である。
For more information on the policy context, please see the document above. 政策的背景の詳細については、上記の文書を参照すること。
Who will take part? 誰が参加するのか?
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業のサンプル。代替投資市場で取引されている企業も含まれるが、有限責任事業組合や公共団体は含まれない。

 

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
1. Summary 1. 概要
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー開示の普及と質に関する調査をアゼツに委託した。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、アゼツ社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者は特別なIT知識を必要としない。
For more information, please see the document above. 詳しくは、上記の文書を参照のこと。
2. Context 2. コンテクスト
One of the barriers to companies enhancing their cyber resilience is the lack of accountability and transparency to key stakeholders. One way in which we plan to address this issue is through the introduction of the Resilience Statement. This policy was proposed as part of the Department for Business and Trade’s wider reform of audit and corporate reporting and formed part of their public consultation on audit and corporate governance (p.48). The Resilience Statement will be a statement that forms part of a company’s annual report and will set out how a company is managing risk and building or maintaining business resilience over the short, medium and long-term. It will apply to all UK listed and private companies with 750 employees or more and £750m turnover or more. This includes companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 企業がサイバーレジリエンスを強化する際の障壁のひとつに、主要なステークホルダーに対する説明責任と透明性の欠如がある。この問題に対処するための一つの方法として、レジリエンス・ステートメントの導入が計画されている。この政策は、商務省の監査と企業報告に関する広範な改革の一環として提案され、監査とコーポレートガバナンスに関する公開協議の一部を構成している(p.48)。レジリエンス・ステートメントは、企業の年次報告書の一部を構成するもので、企業が短期、中期、長期にわたってどのようにリスクをマネジメントし、事業の回復力を構築・維持しているかを示すものである。従業員750人以上、売上高7億5000万ポンド以上の英国のすべての上場・非上場企業に適用される。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。
This research will support DSIT’ aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research may be used to inform the supporting guidance for the cyber related aspect of the Resilience Statement, as well as informing wider government policy on cyber resilience. This will support the government’s work with industry and charities to make the UK the safest place to live and work online. この調査は、大企業による現行のサイバー情報開示の有効性をより良く理解するというDSITの目標を支援するものである。この調査の結果は、レジリエンス・ステートメントのサイバー関連の側面に関する支援ガイダンスに活用されるだけでなく、サイバーレジリエンスに関する政府の幅広い政策に情報を提供することもできる。これは、英国をオンラインで生活し働くのに最も安全な場所にするために、政府が産業界や慈善団体と協力して行っている活動を支援するものである。
3. Who will take part? 3. 参加対象者
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。

 

開示関連

・2022.05 [PDF] Restoring trust in audit and corporate governance

20230224-01527

 

3.1 Resilience Statement  3.1 レジリエンス・ステートメント 
What the White Paper proposed  白書が提案したこと 
3.1.1 The White Paper proposed that companies within scope of the new Public Interest Entity definition should produce an annual Resilience Statement, which sets out their approach to managing risk and developing resilience over the short, medium and long term. The proposal responded to a recommendation in the Brydon Review and to concerns expressed in both that Review and the FRC Review that existing risk and viability reporting by many companies – including the viability statement produced under the UK Corporate Governance Code – lacked sufficient detail and specificity, and was not long-term enough in outlook.   3.1.1 白書は、新しい公益事業体の定義の範囲内にある企業は、短期、中期、長期のリスクマネジメントとレジリエン ス開発へのアプローチを示すレジリエンス・ステートメントを毎年作成することを提案している。この提案は、Brydon レビューでの提言と、同レビューおよび FRC レビューで表明された、多くの企業による既存のリスクと実行可能性の報告(英国コーポレートガバナンス・コードの下で作成された実行可能性報告書を含む)が十分な詳細さと具体性を欠き、長期的な展望に欠けるという懸念に対応するものであった。 
3.1.2 The White Paper proposal consisted primarily of the following:  3.1.2 白書の提案は、主に次のような内容であった。
•       The Resilience Statement should incorporate and build on the existing going concern and viability statements;  ・レジリエンス・ステートメントは,既存のゴーイングコンサーンやバイアビリティ・ステートメントを組み込んで構築されるべきである。
•       The short-term section of the Resilience Statement should include material uncertainties to a company being a going concern even if these were rendered immaterial following mitigating action or the use of significant judgement;  ・レジリエンス・ステートメントの短期セクションには、継続企業の重要な不確実性が,緩和措置や重要な判断の使用により重要でなくなった場合であっても含めるべきである。
•       The short- and/or medium-term sections should at a minimum provide disclosures on how a company is addressing certain risks or resilience issues, including threats to business continuity, supply chain resilience and cyber security; and  ・短期及び/又は中期セクションは,少なくとも,事業継続,サプライチェーンの強靭性,サイバーセキュリティに対する脅威など,特定のリスクやレジリエンスの問題に企業がどのように対処しているかについての開示を提供すること。
•       The medium-term section should include two reverse stress testing scenarios and should cover a five-year forward look.  - 中期的なセクションは、2つの逆ストレステストのシナリオを含み、5年間のフォワードルックをカバーする必要がある。
Issues arising from consultation  コンサルテーションから生じた問題 
3.1.3 There was broad support for the Resilience Statement in principle, including from a large majority of civil society and investor respondents, and from most business respondents. Many respondents said there was a need for a clearer understanding of the risks that companies face over the short, medium and long term which might threaten the resilience of the business, and a corresponding interest in understanding the mitigating actions being taken by management in response. It was generally accepted that existing disclosures under the viability statement often lacked specificity and sufficient detail to provide confidence that a company had robust plans in place to prepare for business shocks while also delivering sustainable value.  3.1.3 市民社会と投資家の回答者の大多数、および企業の回答者の大多数から、原則的にレジリエンス・ステートメ ントに対する幅広い支持が得られた。多くの回答者は、事業のレジリエンスを脅かす可能性のある、企業が短期、中期、長期にわたって直面するリスクをより明確に理解する必要があり、それに応じて経営陣が取っている緩和策を理解することに関心があると述べている。存続可能性報告書の下での既存の開示は、しばしば、企業が持続可能な価値を提供しつつ、ビジネスショックに備える強固な計画を有していることを確信させるに足る具体性と十分な詳細性を欠いていることが、一般に受け入れられていた。
3.1.4 With supportive comments came a number of suggestions – including from investors, civil society groups, a trade union body, audit firms and a number of business respondents – for how the Resilience Statement could be made more effective than the viability statement, including by:  3.1.4 投資家、市民社会団体、労働組合、監査法人、企業の回答者など、支持するコメントとともに、レジリエンス・ステートメントをバ イアビリティ・ステートメントよりも効果的にする方法として、以下のような提案がなされた。
•       providing an over-arching management narrative on resilience planning, covering both operational and financial resilience and links to the business strategy;  ・レジリエンス計画に関する包括的な経営説明を提供し,事業と財務の両方のレジリエンスを網羅し,事業戦略との関連性を持たせる。
•       incorporating existing disclosures on principal risks and uncertainties made within the Strategic Report;  ・戦略報告書内の主要なリスクと不確実性に関する既存の情報開示を取り入れる。
•       highlighting critical accounting judgements and estimates made in the company’s financial statements;  ・会社の財務諸表で行われる重要な会計上の判断と見積りを強調する。
•       requiring management to set out the mitigating actions they had put in place to address individual risks, and to explain how they saw particular risks crystallising over time;  ・経営陣に対し,個々のリスクに対処するために実施した緩和策を提示し,特定のリスクが時間とともにどのように顕在化すると見ているかを説明するよう求める。
•       focusing less on whether a company would remain viable and meet its liabilities over a given time – which some commented had led to unhelpful and minimalist binary reporting in the viability statement – and more on the company’s actions to help ensure it remained viable, on which investors and other interested stakeholders could then form a view; and/or  ・企業が存続し,一定期間負債を返済し続けるかどうかに焦点を当てるのではなく(そのために,存続可能性報告書において,役に立たない,最小限のバイナリーレポートになっているとのコメントがあった),企業が存続し続けるための行動をより重視し,投資家や他の利害関係者は,それについて意見を形成すること。
•       including wider disclosures on sustainability, and matters arising from business operations that might be material to society and the environment, which took account of existing international and European Union proposals on sustainability reporting, highlighting any risks to a company’s resilience arising from major contract dependencies and complex business structures (including extensive use of subcontracting and out-sourcing).  - 持続可能性に関するより広範な開示、および事業運営から生じる社会と環境にとって重要な事項の開示。これは、持続可能性報告に関する既存の国際的な提案や欧州連合の提案を考慮し、大規模な契約依存や複雑な事業構造(下請けやアウトソーシングの大規模利用など)から生じる企業の回復力に対するあらゆるリスクを強調するものである。
3.1.5 While a large majority of business respondents, including business groups and individual companies, supported the introduction of a Resilience Statement, this support in many cases came with the following two qualifications. First, there was concern over the White Paper proposal that every Resilience Statement should address a minimum set of risks or resilience issues, such as a business continuity shock or major supply chain dependency. Both businesses and many investors argued that this could produce a tick-box approach to resilience reporting, while undermining the responsibility of the board of directors to determine what risk and resilience matters were specifically material for their company in any given year. Second, many companies were concerned about the proposal to mandate a minimum five-year forward look for the medium-term section of the Resilience Statement (the length of the longterm section being left to the discretion of each company). It was argued that this did not take account of the varying business cycles of different companies and sectors, and many businesses said it would not align with their typical three-year business planning process.  3.1.5 企業グループや個々の企業を含む回答者の大多数は、レジリエンス表明の導入を支持していたが、多くの場合、この支持には、次の二つの制約があった。第一に、すべてのレジリエンス・ステートメントが、事業継続のためのショックや主要なサプライチェーンへの依存など、最低限のリスクやレジリエンスの問題を扱うべきだという白書の提案に懸念がありました。企業も多くの投資家も、この提案はレジリエンス報告に対して画一的なアプローチになりかねず、また、どの年度のどのリスクやレジリエンス事項が自社にとって特に重要かを決定する取締役会の責任も損なわれる、と主張しました。第二に、レジリエンス・ステートメントの中期セクションについて、最低5年間のフォワードルックを義務付ける(長期セクションの長さは各社の裁量に委ねる)という提案に、多くの企業が懸念を抱いていました。これは、企業やセクターによって異なるビジネスサイクルを考慮に入れていないと主張し、多くの企業は、これが通常の3年間の事業計画プロセスとは一致しないと述べている。
3.1.6 Around a quarter of business respondents raised concerns, or otherwise asked for more clarification, on the proposal that companies should carry out two reverse stress tests each year and report on this within the Resilience Statement. Some commented that this risked providing commercially sensitive information and/or could create a false expectation that a company was genuinely at risk of failure. Others asked why two reverse stress tests were needed and suggested that just one test was needed which focused on the key variable in a company’s business model and planning which, if not managed correctly, could threaten its survival. A small number of respondents highlighted existing reverse stress testing requirements covering banks and other financial institutions and asked how the new obligation in the Resilience Statement would interact with those for companies subject to both measures.  3.1.6 企業の回答者の約四分の一は、企業が毎年二回の逆ストレステストを実施し、レジリエンス・ステートメントの中でこれを報告すべきという提案に懸念を示し、あるいはさらに明確にするよう求めました。一部の回答者は、これは商業的に敏感な情報を提供するリスクがある、および/または、企業が本当に破綻のリスクにさらされているという誤った期待を抱かせる可能性があるとコメントしています。また、なぜ2つの逆ストレステストが必要なのかという質問もあり、企業のビジネスモデルと計画のうち、正しく管理されなければ企業の存続を脅かす可能性のある重要な変数に焦点を当てた1つのテストだけが必要であると提案した。少数の回答者は、銀行や他の金融機関を対象とした既存の逆ストレステストの要件を強調し、レジリエンス・ステートメントにおける新しい義務が、両方の措置の対象となる企業のそれらとどのように相互作用するかを質問している。
3.1.7 A further concern, raised by a small number of business respondents, was over the proposal to expand the going concern statement to include material uncertainties that existed prior to the exercise of significant judgement or the taking of mitigating action by management. It was argued that this could potentially lead to disclosure of a long list of material uncertainties that routine management action rendered immaterial every year and so create an unjustified impression that a company was struggling to remain a going concern.  3.1.7 さらに、少数の企業回答者が提起した懸念は、継続企業の前提を拡大し、経営陣による重要な判断の行使や緩和措置の実施以前に存在した重要な不確実性を含めるという提案であった。これは、経営者の日常的な行動によって重要でなくなった重要な不確実性のリストを毎年開示することになり、企業が継続企業の地位を維持するのに苦労しているという不当な印象を与える可能性があるというものであった。
3.1.8 The White Paper also invited views on whether new mandatory reporting under the framework of the Taskforce on Climate-related Financial Disclosures (TCFD) should be included within the Resilience Statement in whole or part. A large majority of respondents were opposed to this, with most arguing that since TCFD reporting will be both substantial and focused on a particular issue, it should be reported separately. Nonetheless, a number of respondents noted the parallel short, medium and long-term structures of the Resilience Statement and the TCFD framework and said it would be helpful for companies to cross-refer to relevant TCFD disclosures within their Resilience Statement.  3.1.8 白書は、気候関連財務開示タスクフォ ース(TCFD)の枠組みに基づく新たな義務的報告の全部または一部をレジリエンス表明に 含めるべきかどうかについても意見を求めている。回答者の大多数はこれに反対しており、TCFDの報告は実質的であり、特定の問題に焦点を当てたものとなるため、個別に報告されるべきであると主張している。しかし、多くの回答者がレジリエンス・ステートメントとTCFDの枠組みが短期、中期、長期と並行して構成されていることを指摘し、企業がレジリエンス・ステートメントの中で関連するTCFDの開示を相互参照することは有用であると述べている。
3.1.9 Finally, a small number of business respondents said the Government should review whether the implementing legislation for the Resilience Statement should include a ‘safe harbour’ protection for directors given the greater and potentially longer-term information it would provide concerning the future of businesses. The reasoning here was that directors should be able to set out their views on the resilience of their business on the basis of what could be reasonably known and planned for at the time, and not be constrained by liability concerns which might arise if future events called into question those previous judgements and actions.  3.1.9 最後に、少数の企業回答者は、レジリエンス・ステートメントが企業の将来に関してより大きく、より長期的な情報を提供する可能性があることから、レジリエンス・ステートメントの実施法に取締役に対する「セーフハーバー」保護を含めるべきかどうかを政府が検討すべきであると述べている。その理由は、取締役は、その時点で合理的に知ることができ、計画することができたことに基づいて、事業のレジリエンスに関する見解を示すことができるべきであり、将来の出来事がそれらの以前の判断や行動を疑問視する場合に生じるかもしれない責任懸念に拘束されるべきではないというものであった。
Government response  政府の対応 
3.1.10 The Government welcomes the general support for the Resilience Statement proposal and the constructive feedback offered by many respondents on how it can be most effectively implemented. The Government intends to continue with this proposal, subject to the changes set out below. The Government confirms that the Resilience Statement will apply to companies which are Public Interest Entities in line with the size thresholds set out in Chapter 1 of this document (see paragraph 1.6.48); that is, public and private companies with 750 employees or more and an annual turnover of at least £750m.  3.1.10 政府は、レジリエンス・ステートメントの提案に対する全般的な支持と、それを最も効果的に実施する方法について多くの回答者から提供された建設的なフィードバックを歓迎する。政府は、以下に示す変更点を前提に、この提案を継続する意向である。政府は、レジリエンス・ステートメントが、本書第1章(1.6.48項参照)に示された規模の閾値に沿って、公益事業体、すなわち、従業員750人以上、年間売上高7億5000万ポンド以上の公共及び民間企業に適用されることを確認する。
Identification of material resilience matters  レジリエンスに関する重要事項の特定 
3.1.11 The Government accepts that mandating a common set of risks to be addressed in every statement would cut across the directors’ responsibility to identify, manage and report on those risk and resilience issues that are most material to their business. Instead, the Government intends to legislate for companies to report on matters that they consider a material challenge to resilience over the short and medium term, together with an explanation of how they have arrived at this judgement of materiality. In doing so, companies will be required to have regard to the following[1]:  3.1.11 政府は、すべての報告書で扱うべき共通のリスク群を義務付けることは、自社の事業にとって最も重要なリスクとレジリエンス の問題を特定、管理、報告するという取締役の責任を回避することになると受け止めている。その代わりに、政府は、企業が短期・中期的にレジリエンスにとって重要な課題と考える事項について、その重要性の判断に至った経緯の説明とともに報告することを法律化する予定である。その際、企業は以下の点に留意することが求められる[1]。
•       any materially significant financial liabilities or expected refinancing needs occurring during the assessment period of the short and medium term sections of the Resilience Statement;  ・レジリエンス・ステートメントの短期・中期セクションの評価期間中に発生する,重大な金融負債や借り換えの必要性の予想。
•       the company’s operational and financial preparedness for a significant and prolonged disruption to its normal business trading;  ・通常の事業取引に重大かつ長期的な支障が生じた場合の会社の業務及び財務上の備え。
•       significant accounting judgements or estimates contained in the company’s latest financial statements that are material to the future solvency of the company;  ・会社の最新の財務諸表に含まれる,会社の将来の支払能力にとって重要な会計上の判断や見積り。
•       the company’s ability to manage digital security risks, including cyber security threats and the risk of significant breaches of its data protection obligations;  ・サイバーセキュリティの脅威およびデータ保護義務の重大な違反のリスクを含む,デジタルセキュリティリスクの管理能力。
•       the sustainability of the company’s dividend policy;  ・会社の配当政策の持続可能性
•       any significant areas of business dependency with regard to the company’s suppliers, customers, products, contracts, services or markets which may constitute a material risk; and  ・会社のサプライヤー,顧客,製品,契約,サービス,市場に関して,重大なリスクを構成する可能性のある事業依存の重要な分野。
•       the impact on the company’s business model of climate change, to the extent that this is not already addressed by the company in other statutory reporting.  - 気候変動が会社のビジネスモデルに与 える影響(他の法定報告で取り上げられていない範囲で) 
3.1.12 Supporting guidance by the regulator will set out more detail of how the potential materiality of these matters should be considered as well as on the Resilience Statement as a whole.   3.1.12 規制当局による補助ガイダンスには、レジリエンス・ステートメント全 体に加え、これらの事項の潜在的重要性を 考慮する方法について、より詳細が規定 される予定である。 
3.1.13 On the suggestion by some respondents that the Resilience Statement should be a vehicle for sustainability reporting, in October the Government published “Greening Finance: A Roadmap to Sustainable Investing”[2], a roadmap which sets out plans for a new Sustainability Disclosures Requirement (SDR) regime for UK corporates, financial services firms, asset owners and financial products. It recognises the crucial role of industry, investors and stewardship in delivering a sustainable future. The new SDR regime will require disclosures relevant to enterprise value creation against International Sustainability Standards and disclosures relevant to a company’s impact on the environment using the UK’s Green Taxonomy. In preparing the implementing legislation for the Resilience Statement, and its supporting guidance, the Government and the regulator will consider how the Resilience Statement can effectively reference, make links to and provide a coherent reporting framework with wider sustainability disclosures.  3.1.13 一部の回答者によるレジリエンス・ステートメントを持続可能性報告の手段とすべきとの指摘に 対し、政府は、10 月に「Greening Finance: これは、英国の企業、金融サービス企業、資産家、金融商品に対する新しい持続可能性開示要件(SDR)体制の計画を定めたロードマップである。これは、持続可能な未来を実現するために、産業界、投資家、スチュワードシップが果たす重要な役割を認識するものである。新しい SDR 体制では、国際的な持続可能性基準に照らした企業価値の創造に関連する開示と、英国の Green Taxonomy を用いた企業の環境への影響に関連する開示が要求されます。レジリエンス・ステートメントの施行法およびそれを支えるガイダンスを作成するにあたり、政府と規制当局は、レジリエンス・ステートメントが、より広範な持続可能性の開示といかに効果的に参照、連携し、一貫した報告枠組みを提供できるかを検討する予定である。
Assessment period  評価期間 
3.1.14 The Government continues to believe that companies should be able to demonstrate to shareholders (where relevant) and other interested stakeholders that they are working to help ensure the resilience of the company’s business model, its financial base and its operations over the short, medium and long term. Nonetheless, the Government accepts that having a one-size-fits-all minimum assessment period would be inflexible, given the variation in business cycles and business planning processes across different companies and sectors. The Government therefore intends to replace the five-year mandatory assessment period previously proposed for the combined short- and medium-term sections of the Resilience Statement with an obligation on companies to choose and explain the length of the assessment period for the medium-term section. Companies will be required to include a description of how resilience planning over the chosen period aligns with the company’s strategy and business investment cycle[3]. If the assessment period is the same as the one chosen in the previous year, the company will need to explain why it continues to be justified.  3.1.14 政府は、企業が、株主(関連する場合)やその他の利害関係者に対して、短期、中期、長期にわたって企業のビジネスモデル、財務基盤、事業の回復力を確保するために努力していることを示すことができるべきであると引き続き考えている。しかしながら、政府は、企業やセクターによって事業サイクルや事業計画プロセスが異なることを考慮すると、一律の最低評価期間を設定することは柔軟性に欠けることを認めている。そこで政府は、レジリエンス・ステートメントの短期と中期を合わせたセクションについてこれまで提案されていた5年間の評価期間の義務付けに代えて、中期セクションの評価期間の長さを選択し説明することを企業に義務付ける予定である。企業は、選択した期間におけるレジリエンス計画が、企業の戦略や事業投資サイクルとどのように整合しているかについての説明を含めることが要求される[3]。評価期間が前年度に選択したものと同じである場合、企業は、それが引き続き正当化される理由を説明する必要がある。
High-level narrative  ハイレベルな説明 
3.1.15 The Government accepts that the statement should contain a high-level explanation of the company’s approach to maintaining or enhancing its operational and financial resilience over the short and medium term. This explanation should clearly set out how the company’s assumptions on resilience planning and risk management are influenced by and relate to its strategy on the one hand, and also the main trends and factors that are likely to affect the future development, performance and position of the company’s business[4]. This reporting should precede the company’s specific reporting on individual risk and resilience issues. Again, the supporting guidance by the regulator will provide more detailed advice on good practice.  3.1.15 政府は、声明に、短期および中期にわたって業務および財務のレジリエンスを維持または強化するための会社のアプローチに関するハイレベルな説明を含めるべきであると受け止めている。この説明では、レジリエンス計画とリスクマネジメントに関する会社の前提が、一方でどのように会社の戦略に影響され、関連しているか、また、会社の事業の将来の発展、業績、地位に影響を与えそうな主なトレンドと要因を明確に打ち出すべきである[4]。この報告は、個々のリスクとレジリエンスの問題に関する会社の具体的な報告に先行するものであるべきです。ここでも、規制当局による支援ガイダンスが、グッドプラクティスに関するより詳細なアドバイスを提供することになります。
Disclosure of principal risks and uncertainties  主要なリスクと不確実性の開示 
3.1.16 The Government recognises that, in the interest of integrated and holistic reporting on risk and resilience, the existing Strategic Report requirement on companies to describe the principal risks and uncertainties facing them should be incorporated within the Resilience Statement. The Government intends that companies within scope be given the flexibility to report these risks within the short- and/or medium-term sections of the Resilience Statement, noting that different kinds of risk or uncertainty may crystallise or resolve over different time periods.   3.1.16 政府は、リスクとレジリエンスに関する統合的かつ総合的な報告という観点から、企業が直面する主要なリスクと不確 実性を記述するよう求めている現行の戦略報告書を、レジリエンス表明に組み入れるべきであると認識している。政府は、さまざまな種類のリスクや不確実性が、異なる期間にわたって結晶化したり、解決されたりする可能性があ ることに留意し、対象範囲内の企業には、これらのリスクをレジリエンス表明の短期・中期セクションで報告する柔軟性が 与えられることを意図している。 
3.1.17 Given that companies’ existing description of their principal risks and uncertainties may well overlap with the new requirement to identify and report on material risk and resilience issues facing the company over the short to medium term, the Government intends that the implementing legislation will give companies flexibility to meet the existing requirement through their assessment of risk and resilience issues over the short to medium term. The implementing legislation will also require companies to report, for each risk or resilience issue identified over the short to medium term:  3.1.17 企業の主要なリスクと不確実性に関する既存の説明は、短中期的に企業が直面する重要なリスクとレジリエンス の問題を特定し報告するという新しい要件と重複する可能性が高いことから、政府は、実施法が企業に、短中期的 なリスクとレジリエンスの問題の評価を通じて既存の要件を満たす柔軟性を付与することを意図している。また、実施法では、企業は、短中期的に特定されたリスクやレジリエンスの課題ごとに、以下の事項を報告することが求められる。
•       the likelihood of the risk and its impact on the company’s operations or financial health if it were to materialise;  ・リスクが顕在化する可能性と,顕在化した場合の会社の業務または財務の健全性に対する影響。
•       the time period over which the risk is expected to remain, and potentially crystallise, if known;  - リスクが残存し、潜在的に結晶化すると予想される期間(もし分かっていれば)。
•       what mitigating action, if any, the company has put or plans to put in place to manage the risk; and  - リスクをマネジメントするために会社が実施した、または実施する予定の緩和措置(もしあれば)。
•       any significant changes to any of the above since the previous year’s Resilience Statement.  ・前年のレジリエンス・ステートメント以降に上記のいずれかに生じた重大な変更。
Reverse stress testing  リバース・ストレステスト 
3.1.18 The Government recognises that reverse stress testing may require significant time and internal management resource. However, this investment can provide management with valuable tools and insight with which to re-appraise a company’s capacity to cope with severe but plausible scenarios which, if not planned for properly, could cause the business to fail or otherwise lose the confidence of its customers and finance providers. The Government believes it is appropriate that large public interest entities should be able to demonstrate that they have undergone such a critical evaluation of their business’s key potential vulnerabilities. The Government also notes that a number of large businesses outside the financial services sector are already voluntarily making use of reverse stress testing to understand their resilience[5] and improve their risk management.  3.1.18 政府は、リバース・ストレステストにはかなりの時間と内部の管理リソースが必要であることを認識している。しかし、この投資は、もし適切な計画がなければ、事業の失敗や顧客や金融機関の信頼を失う原因となり得る、厳しいが、もっともらしいシナリオに対処する企業の能力を再評価するための貴重なツールや洞察を経営陣に提供することが可能です。政府は、大規模な公益事業体が、事業の主要な潜在的脆弱性についてこのような重要な評価を受けていることを実証できるようにすることが適切であると考えている。また、政府は、金融サービス部門以外の多くの大企業が、自社のレジリエンスを理解し[5]、リスクマネ ジメントを改善するために、すでに自主的にリバース・ストレステストを活用していることに留意している。
3.1.19 The Government therefore intends to continue with its proposal that companies within scope of the Resilience Statement should perform reverse stress testing. However, in light of the consultation feedback, companies will be required to perform at least one reverse stress test rather than a minimum of two. The Government also recognises the need for consistency between this new requirement and existing reverse stress testing obligations covering banks and insurance companies[6], while not replicating in full obligations that are designed to test solvency and capital adequacy in the financial system. It therefore intends that the Resilience Statement will require a company to:  3.1.19 従って、政府は、レジリエンス・ステートメントの適用範囲内の企業は逆ストレステストを実施すべきであるという提案を継続するつもりである。しかし、コンサルテーションフィードバックを考慮し、会社は最低2回のリバースストレステ ストではなく、最低1回のリバースストレステストを実施することが要求されることになります。政府は、この新しい要件と銀行や保険会社[6]を対象とする既存の逆ストレステストの義務との間の整合性の必要性も 認識していますが、金融システムの支払能力や資本の妥当性をテストするために設けられた義務を完全に複製する ことはありません。そのため、レジリエンス・ステートメントは、企業に対して以下を要求することを意図しています。
•       identify annually a combination of adverse circumstances which would cause its business plan to become unviable;   ・事業計画が実行不可能となるような不利な状況の組み合わせを毎年特定すること。
•       assess the likelihood of such a combination of circumstances occurring; and  ・そのような状況の組み合わせが発生する可能性を評価する。
•       summarise within the Resilience Statement the results of this assessment and any mitigating action put in place by management as a result. The summary would not be required to include any information which, in the opinion of the directors, would be seriously prejudicial to the commercial interests of the company.  ・この評価結果と,その結果経営陣が講じた緩和策をレジリエンス・ステートメントに要約すること。この要約には,会社の商業的利益を著しく損なうと取締役が判断した情報を含める必要はない。
3.1.20 The process should be documented and carried out according to the nature, size and complexity of the business. The supporting documentation will not be required to be published but should be available to the regulator to review on request. The Government will address in its design of the implementing legislation how banks and other financial service companies which already carry out mandatory reverse stress testing may rely on this existing activity to comply with the Resilience Statement requirement.  3.1.20 プロセスは、事業の性質、規模、複雑性に応じて文書化され、実施されなければならない。裏付けとなる文書は公表する必要はないが、規制当局が要求に応じて閲覧できるようにする必要がある。政府は、実施法の設計において、すでに強制的な逆ストレステストを実施している銀行やその他の金融サービス会社が、レジリエンス・ステートメントの要件に準拠するためにこの既存の活動に依存する方法について対処する予定である。
Material uncertainties  重要な不確実性 
3.1.21 The Government acknowledges the concern that requiring companies to disclose all material uncertainties to a company being a going concern prior to mitigating action or the use of significant judgement could potentially produce a long list of risks that are routinely rendered immaterial by business-as-usual action. At the same time, consultation responses from investors and other stakeholders show there is significant interest in understanding critical judgements or actions taken by management to conclude that an identified material uncertainty is no longer material.  3.1.21 政府は、緩和措置や重要な判断を行う前に、企業が継続企業であるための重要な不確実性をすべて開示することを義務付けると、通常通りの行動で重要性が低下するリスクの長いリストを作成する可能性があるという懸念を認識している。同時に、投資家や他の利害関係者からのコ ンサルテーションの回答は、識別された重要 な不確実性がもはや重要でないと結論づける ために経営者が行った重要な判断や行動を理解 することに、大きな関心があることを示してい る。
3.1.22 This information need is arguably already met to an extent by international accounting standards. International Accounting Standard 1 requires companies to disclose the management judgements that have had the most significant effect on the financial statements and also requires disclosure of major sources of estimation uncertainty. Additionally, since 2014, US GAAP has required that management’s initial going concern evaluation should not take account of mitigating actions that are ongoing.  3.1.22 この情報ニーズは、間違いなく、国際会計基 準によって既にある程度満たされている。国際会計基準1号は、財務諸表に最も重要な影響を与えた経営判断の開示を企業に求め、また、見積りの不確実性の主要な原因の開示も求めている。さらに、2014 年以降、米国会計基準では、経営者による最初の継続企業の評価は、進行中の緩和措置を考慮すべきではないとされている。
3.1.23 Balancing the need for proportionality with legitimate and wider investor interest in the going concern assessment process, the Government intends that companies within scope of the Resilience Statement should identify any material uncertainties to going concern, that existed prior to the taking of mitigating action or the use of significant judgement, which the directors consider are necessary for shareholders and other users of the statement to understand the current position and prospects of the business.   3.1.23 政府は、継続企業の評価プロセスにおける正当かつ幅広い投資家の関心と比例する必要性とのバランスを取りながら、レジリエンス・ステートメントの範囲内の会社は、緩和措置の実施や重要な判断の使用以前に存在した、株主やその他の計算書の利用者が事業の現状と展望を理解するために必要だと取締役が考える継続企業の重要な不確実性を特定すべきと意図している。 
Viability statement and Going Concern statement  実行可能性報告書と継続企業の報告書 
3.1.24 The Government confirms that, for companies within scope of the Resilience Statement, the existing viability statement provision in the UK Corporate Governance Code (Provision 31) extending to premium listed companies will be incorporated and adapted within the statutory requirements for the Resilience Statement. As part of this, and taking account of consultation feedback on the viability statement’s provisions on prospects and liabilities, the Government and the FRC will consider how the existing objectives of the viability statement can be adapted within the Resilience Statement, while meeting the aims set out in the White Paper and this response to deliver more meaningful and extensive reporting on risk and resilience.   3.1.24 政府は、レジリエンス・ステートメントの適用範囲内の企業について、プレミアム上場企業に適用される英国コーポレートガバナンス・コード(条項31)の既存のバイアビリティステートメントの条項が、レジリエンス・ステートメントの法定要件に組み込まれ、適合されることを確認した。この一環として、また、見通しと負債に関する実行可能性報告書の規定に関するコンサルテーションのフィードバックを考慮し、政府とFRCは、リスクと回復力に関するより有意義で広範な報告を実現するという白書とこの回答で示された目的を達成しつつ、実行可能性報告書の既存の目的を回復力報告書にどう適合させられるかを検討する。 
3.1.25 The Government and the FRC intend that the existing viability statement provision in the Code (Provision 31) will no longer apply after the Resilience Statement enters into force. Its removal will be subject to consultation by the FRC at the same time it consults on other proposed changes to the Code in response to the Government's final policy position set out in this response. Existing FRC guidance[7]37 under the Code on risk and viability will continue in force, since it is relevant to other Code Principles and Provisions relating to resilience and risk management[8]38 which will continue to apply to all companies that follow the Code.   3.1.25 政府とFRCは、レジリエンス・ステートメントの発効後、現行の実行可能性報告書の規定(条項31)を適用しないことを意図している。本回答で提示した政府の最終的な方針を受けて、FRCは規範の他の変更案について協議すると同時に、その削除について協議する予定である。リスクと実行可能性に関する既存のFRCガイダンス[7]37 は、レジリエンスとリスクマネジメントに関する他のコード原則と規定[8]38 に関連しており、コードに従う全ての企業に適用され続けるため、今後も効力を維持します。 
3.1.26 The FRC also intends to consult on removing Provision 30 from the Code, covering the Going Concern statement, on the basis that this will also be included and built on within the Resilience Statement, and also since all companies subject to the Code will continue to provide a Going Concern statement as required by accounting standards and company law, irrespective of whether they are subject to the new Resilience Statement requirement. Again, the FRC will retain its existing Code guidance on going concern, since it will remain of relevance to all companies which follow the Code.  3.1.26 また、FRCは、レジリエンス・ステートメントに含まれ、その基礎となる継続企業の前提条件(Going Concern Statement)を規定する第30条の削除について協議する意向である。また、FRCは、継続企業の前提に関する既存のコードガイダンスを維持します。なぜなら、このガイダンスは、コードに準拠する全ての企業にとって引き続き適切なものだからである。
Safe harbour  セーフハーバー 
3.1.27 The Government confirms that the Resilience Statement will form part of the Strategic Report. Information provided by directors in the Statement will therefore be covered by the existing ‘safe harbour’ provision in Section 463 of the Companies Act 2006. That means that directors would be liable to the company for untrue or misleading information in the Resilience Statement only if they knew the information was untrue or misleading (or were reckless as to whether it was so) or if they dishonestly concealed a material fact.  3.1.27 政府は、レジリエンス・ステートメントが戦略的報告書の一部を構成することを確認した。そのため、取締役が声明で提供する情報は、2006年会社法第463条にある既存の「セーフハーバー」条項の対象となる。つまり、取締役がレジリエンス・ステートメントにおける虚偽または誤解を招く情報に対して会社に対して責任を負うのは、その情報が虚偽または誤解を招くと知っていた場合(あるいはそのような情報かどうか無謀だった場合)、あるいは重要事実を不誠実に隠蔽した場合に限られる、ということである。
[1] This list of matters to which companies will be required to have regard does not necessarily reflect the precise wording that will be set out in the implementing legislation in due course.  [1] 企業が考慮する必要のある事項のリストは、今後施行される法律で規定される正確な文言を必ずしも反映しているわけではありません。
[2] https://www.gov.uk/government/publications/greening-finance-a-roadmap-to-sustainable-investing 
[3] Existing FRC guidance on the viability statement asks companies to take account of its investment and planning periods in choosing their assessment period, but does not require them to explain how the assessment period aligns with both the investment cycle and company strategy.  [3] 生存能力報告書に関する既存のFRCガイダンスは、評価期間を選択する際に投資期間と計画期間を考慮するよう企業に求めていますが、評価期間が投資サイクルと企業戦略の両方とどのように整合するかを説明するよう求めてはいません。
(https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-Risk-ManagementInternal-Control-and-Related-Reporting.pdf) 
[4] Section 414C of the Companies Act already requires quoted companies’ strategic reports to include a description of their strategy and of the main trends and factors likely to affect the future development, performance and position of the company’s business.  [4] 会社法414条C項では、既に上場会社の戦略報告書に、戦略、及び会社の事業の将来の発展、業績、地位に影響を及ぼす可能性のある主な傾向や要因についての説明を含めるよう求めている。
[5] The FRC’s Thematic Review of the Going Concern and Viability Statements published in September 2021 found that 5 of the 27 non-financial service companies it sampled which had prepared a viability statement had also carried out a reverse stress test.  [5] 2021年9月に公表されたFRCの継続企業報告書及び実行可能性報告書のテーマ別レビューでは、サンプリングした非金融サービス企業27社のうち、実行可能性報告書を作成していた5社が逆ストレステストも行っていたことが判明しています。
[6] For example, see the existing FCA rules on reverse stress testing under the Senior Management, Systems and Controls Framework [web] [6] 例えば、シニアマネジメント、システム及びコントロールの枠組みの下でのリバースストレステストに関する既存のFCA規則を参照 
[7] https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-RiskManagement-Internal-Control-and-Related-Reporting.pdf
37       In particular:  37 特に 
Principles N + O – The board should present a fair, balanced and understandable assessment of the company’s position and prospects. The board should establish procedures to manage risk, oversee the internal control framework, and determine the nature and extent of the principal risks the company is willing to take in order to achieve its long-term strategic objectives. 原則N+O - 取締役会は、会社の立場と見通しについて、公正でバランスのとれた理解しやすい評価を示すべきである。取締役会は、リスクを管理する手続きを確立し、内部統制の枠組みを監督し、長期的な戦略目標を達成するために会社が取ることをいとわない主要なリスクの性質と範囲を決定すべきである。
Provision 1 – The board should describe in the annual report how opportunities and risks to the future success of the business have been considered and addressed, the sustainability of the company’s business model and how its governance contributes to the delivery of its strategy  規定1 - 取締役会は、事業の将来の成功に対する機会とリスクがどのように考慮され、対処されたか、会社のビジネスモデルの持続可能性、および会社のガバナンスが戦略の実現にどのように寄与しているかを年次報告書に記述するものとする。
Provision 28 - The board should carry out a robust assessment of the company’s emerging and principal risks.9 The board should confirm in the annual report that it has completed this assessment, including a description of its principal risks, what procedures are in place to identify emerging risks, and an explanation of how these are being managed or mitigated. 規定 28 - 取締役会は、会社の新興リスクと主要リスクについて確固たる評価を行うべきである9 。取締役会 は、主要リスクの説明、新興リスクを特定するためにどのような手続きが行われているか、およびそれらが どのようにマネジメントまたは緩和されているかの説明を含め、この評価が完了していることを年次報告書 で確認しなければならない。

 

 

|

« 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16) | Main | 米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16) | Main | 米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言 »