オーケー食品工業株式会社 内部統制報告書 第55期(令和3年4月1日-令和4年3月31日)
| 提出書類 | 内部統制報告書-第55期(令和3年4月1日-令和4年3月31日) |
|---|---|
| 提出日 | |
| 提出者 | オーケー食品工業株式会社 |
| カテゴリ | 内部統制報告書 |
EDINET提出書類
オーケー食品工業株式会社(E00477)
内部統制報告書
【表紙】
【提出書類】 内部統制報告書
【根拠条文】 金融商品取引法第24条の4の4第1項
【提出先】 福岡財務支局長
【提出日】 2022年6月29日
【会社名】 オーケー食品工業株式会社
【英訳名】 OK Food Industry Co., Ltd.
【代表者の役職氏名】 代表取締役社長 竹田 哲
【最高財務責任者の役職氏名】 該当事項はありません。
【本店の所在の場所】 福岡県朝倉市小田1080番地1
【縦覧に供する場所】 オーケー食品工業株式会社 東京支店
(東京都台東区雷門1丁目16番4号 立花国際ビル)
オーケー食品工業株式会社 大阪支店
(大阪府茨木市駅前3丁目2番2号 晃永ビル)
オーケー食品工業株式会社 名古屋支店
(愛知県名古屋市熱田区比々野町41番1号 第三小島ビル)
オーケー食品工業株式会社 中四国支店
(広島県広島市西区西観音寺15番14号 興国ビル)
株式会社東京証券取引所
(東京都中央区日本橋兜町2番1号)
1/3
EDINET提出書類
オーケー食品工業株式会社(E00477)
内部統制報告書
1【財務報告に係る内部統制の基本的枠組みに関する事項】
代表取締役社長である竹田哲は、当社の財務報告に係る内部統制の整備及び運用に責任を有しており、企業会計審
議会の公表した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関
する実施基準の改訂について(意見書)」に示されている内部統制の基本的枠組みに準拠して財務報告に係る内部統制
を整備及び運用している。
なお、内部統制は、内部統制の各基本的要素が有機的に結びつき、一体となって機能することで、その目的を合理
的な範囲で達成しようとするものである。このため、財務報告に係る内部統制により財務報告の虚偽の記載を完全に
は防止又は発見することができない可能性がある。
2【評価の範囲、基準日及び評価手続に関する事項】
財務報告に係る内部統制の評価は、当事業年度の末日である2022年3月31日を基準日として行われており、評価に
当たっては、一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠した。
本評価においては、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制(全社的な内部統制)の評価を
行った上で、その結果を踏まえて、評価対象とする業務プロセスを選定している。当該業務プロセスの評価において
は、選定された業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点を識別し、当該
統制上の要点について整備及び運用状況を評価することによって、内部統制の有効性に関する評価を行った。
財務報告に係る内部統制の評価の範囲は、会社及び連結子会社について、財務報告の信頼性に及ぼす影響の重要性
の観点から必要な範囲を決定した。財務報告の信頼性に及ぼす影響の重要性は、金額的及び質的影響の重要性を考慮
して決定しており、会社及び連結子会社を対象として行った全社的な内部統制の評価結果を踏まえ、業務プロセスに
係る内部統制の評価範囲を合理的に決定した。
業務プロセスに係る内部統制の評価範囲については、各事業拠点の当連結会計年度の売上高(連結会社間取引消去
後)の金額が高い拠点から合算していき、当連結会計年度の連結売上高の概ね2/3に達している事業拠点を「重要
な事業拠点」とした。選定した重要な事業拠点においては、企業の事業目的に大きく関わる勘定科目として売上高、
売掛金及び棚卸資産に至る業務プロセスを評価の対象とした。さらに、選定した重要な事業拠点にかかわらず、それ
以外の事業拠点をも含めた範囲について、重要な虚偽記載の発生可能性が高く、見積りや予測を伴う重要な勘定科目
に係る業務プロセスやリスクが大きい取引を行っている事業又は業務に係る業務プロセスを財務報告への影響を勘案
して重要性の大きい業務プロセスとして評価対象に追加している。
3【評価結果に関する事項】
上記の評価手続を実施した結果、当事業年度末日時点において、当社の財務報告に係る内部統制は有効であると判
断した。
4【付記事項】
付記すべき事項はありません。
5【特記事項】
(㈱ニップングループの情報ネットワークがサイバー攻撃を受けシステム障害が発生した問題等)
1.サイバー攻撃によるシステム障害の発生とその後の取り組み
2021年7月7日未明から、当社が使用している親会社である㈱ニップンのグループシステムでサイバー攻撃によるシ
ステム障害が発生いたしました。被害を封じ込めるための対応として、㈱ニップンは、速やかに全サーバーの停止と社
内外のネットワークの遮断を行いましたが、それにより、基幹システムをはじめとする全ての社内システム、データが
保管されている共有ファイルサーバーへのアクセスも不可となりました。
しかしながら、当社の財務データについては、バックアップデータに被害を受けていなかったことから、安全性を確
認のうえ、会計システムをシステム障害発生前の状態に復旧させました。その後、当社の生産販売基幹システムをはじ
めとする全ての社内システムについては、データの整合性や復旧プロセスの合理化を図るため、データの上流である受
発注、入出庫管理等を担う生産販売基幹システムの復旧を最優先とし、代替サーバーを導入することにより、2021年8
月中旬より生産販売基幹システムを稼働させ、その他の関連システムについては、2022月2月までに一部の重要性の低
いシステムを除く主要な基幹システムの復旧を完了いたしました。
一方、決算の取り纏めについては、㈱ニップンや生産販売基幹システム開発元であるNECネクサソリューションズ
㈱のサポートがあったものの、アクセス数が制限された代替サーバーによる運用が続き、企業内容等の開示に関する内
閣府令に規定する四半期報告書の提出期限延長に関する承認申請を提出せざるを得ませんでした。当社は2021年8月16
日に2022年3月期第1四半期報告書の提出期限を2021年11月15日とする延長に関する承認申請書を福岡財務支局に提出
し、ご承認を頂きました。
2022年3月期第1四半期の決算取り纏めに当たり、当社は決算を行うために必要なデータの有無を確認し、安全性を
確認のうえ、決算作業を進めました。その結果、当社は2021年11月15日に2022年3月期第1四半期報告書を提出いたし
ました。
2/3
EDINET提出書類
オーケー食品工業株式会社(E00477)
内部統制報告書
2022年3月期第2四半期については、代替サーバーの導入により、生産販売基幹システムは稼働したものの、従来利
用していたグループサーバーの通信環境よりも処理能力が劣るため、アクセス数が制限される上に、動作も時間を要
し、 従来のように大量のデータを同時に処理することは出来ない状況が続いたため、当社は2021年11月12日に2022年3
月期第2四半期報告書の提出期限を2022年1月20日とする延長に関する承認申請書を福岡財務支局に提出し、ご承認を
頂き、2022年1月20日に2022年3月期第2四半期報告書を提出いたしました。
2022年3月期第3四半期については、エクセル等による手作業による集計作業に習熟度が向上したものの、2022年3
月期第2四半期と同様に未だに生産販売基幹システムがもとの状況まで復旧できておらず、当社は2022年2月14日に
2022年3月期第3四半期報告書の提出期限を2022年2月28日とする延長に関する承認申請書を福岡財務支局に提出し、
ご承認を頂き、2022年2月28日に2022年3月期第3四半期報告書を提出いたしました。
第4四半期においては、2022年2月からほぼ全てのシステムが復旧し、システム障害発生前と同様の会計処理ができ
る状態に戻りました。当社は2022年3月期有価証券報告書を法定期限内の2022年6月29日に提出いたしました。
2.本件システム障害の原因と対策
(1)本件システム障害の原因
㈱ニップンでは外部の専門家を含めて原因調査を実施した結果、サイバーセキュリティに係るシステムの技術的な脆
弱性対応が十分にできていなかったという事実の指摘がなされるとともに、その事実の背景にある組織や内部統制の課
題が指摘されました。
本件システム障害が発生したのは、㈱ニップンが構築したインターネットと同社ネットワークシステムの境界線を制
御する装置(以下、VPN)に隠れていた脆弱性を突いて外部から侵入されたことに因るものと判明しており、さらに
㈱ニップングループシステムのネットワーク内に二重のファイヤーウォールが無かったことにより被害が拡大いたしま
した。
ただし、本件システム障害の発端は上記理由によるところが大きいものの、根本的な原因のひとつとして、当社にお
けるサイバーセキュリティに関するポリシー群が不十分であったことが挙げられます。
これまで当社には、情報セキュリティ対策実施手続といった規程類があり、具体的な運用ルールや手続きを記した要
領、ガイドライン等は定められていたものの、2021年1月にグループ会社が提供するネットワークシステム導入に際
し、サイバーセキュリティリスクの評価が不十分であり、結果的に、今回のような脆弱性を孕んだシステムネットワー
クの選定につながったものと認識しております。
(2)本件システム障害の改善策
このような状況を踏まえて、当社の行ったサイバーセキュリティに係るシステムの技術的なVPNの脆弱性対応に関
しては、当社システムを㈱ニップングループシステムのネットワークから切り離し、当社独自のネットワーク環境を構
築いたしました。その他、サイバーセキュリティに関するポリシー群の運用強化と経営層のサイバーセキュリティ対す
る意識向上を図り、ITに係る経営戦略(人材確保・投資を含む予算措置など)や適切なリスク評価が行われる体制の
整備・運用を実施しております。
3.本件システム障害の内部統制上の整理(不備の特定と評価)
(1)(全社的な内部統制について)
当社は、四半期報告書の法定提出期限までに財務諸表の公表ができない状況が生じたという重大な事実を踏まえる
と、サイバー攻撃による被害を受けた2021年7月7日以前において、サイバーセキュリティに関する全社的な内部統制
(リスクの評価と対応)について、重要な不備があったと評価しております。このため、当社の2021年3月末時点の財
務報告に関する内部統制は有効ではなく、開示すべき重要な不備が存在すると評価いたしました。
したがって、当社は本日2021年6月28日に提出した第54期内部統制報告書の訂正報告書を提出いたしました。
このように2022年3月期は四半期報告書の提出期限の延長という重大な影響が第1から第3四半期まで続きました
が、当社は代替サーバーを導入してシステム障害前と同様の手順で正確な決算を報告することを前提としたこともあ
り、決算の報告は遅れたものの当事業年度末までに一部の重要性の低いシステムを除く主要な基幹システムの復旧を完
了し、なおかつ独自のネットワーク環境を構築したうえでシステム障害前と同様の会計処理ができる状態に復旧してい
ること、また財務報告に影響を与えていないことから、当社の2022年3月末時点における全社統制(リスク評価と対
応)については、適正に整備・運用されており、重要な不備は改善されていると評価しております。
(2)IT全般統制について
本件システム障害により、㈱ニップンのグループシステム共有サーバーが停止されたものの、代替サーバーの導入に
よりシステム障害前の環境に近づけた上で決算作業に臨んだため、IT全般統制の評価対象である財務データの生成・
保管、システム開発や運用保守、アクセス管理等は有効に機能しており、また、システム内に保管されていた財務報告
に係るデータやプログラムの不正な変更は検出されませんでした。
したがって、2022年3月期のIT全般統制については2021年3月期に引き続き有効と評価いたしました。
3/3
