サイバー攻撃による決算作業への影響～株式会社ニップンのケース～

以前、株式会社ニップン（以下「ニップン社」）が受けたサイバー攻撃による決算発表遅延について当ブログで少し触れたことがあるのですが、2021年11月12日に「2022年3月期第2四半期報告書の提出期限延長に関する承認申請書提出のお知らせ」というリリースが出ておりました。

一読してみたのですが、かなり厳しい状況のようです。

以下に概要をまとめてみます。

時系列

• 2021年6月30日；2022年3月期第1四半期末

• 2021年7月7日；サイバー攻撃によるシステム障害発生

• 2021年8月16日時点では財務会計システムについて現行システムの復旧見通しは立っていなかったが、別環境でニップン社単体と一部グループ会社のシステムの導入をすすめ、9月中旬に完全な状態で利用が可能となった。

• その他のグループ会社は影響を受けていないことから既存のシステムを復旧させ、8月下旬に決算作業ができる体制となった。

• 2021年9月30日；2022年3月期第2四半期末

• 販売管理システムについては10月上旬に全ての復旧が完了。その他の業務関連システムについては上流から下流へと順次対応で復旧作業中。

• 2021年10月29日；2022年3月期第1四半期連結決算を発表

• 2021年11月15日；2022年3月期第1四半期報告書提出

第1四半期と第2四半期のニップン社が置かれた状況の違い

• 第1四半期は、決算を行うための上流の各システムで作成された売上やリベート等主要取引のバックアップデータや印刷物が保管されていたため、手作業による追加作成が必要な帳票類は限定されていた。そのため、印刷物で保管されていた振替伝票を財務会計システムへ入力し直す単純業務が作業の中心だった。

• 第2四半期は、会計データに連動している業務管理や物流管理等を停止した基幹システムの復旧が、受発注機能のみ搭載した代替システムの仮復旧に止まっており、本来であれば自動生成・記帳されていた仕訳データが全て手作業となった。そのため、決算の元となる資料の作成完了までに相当の労力を要するのに加えて、手作業で生成された帳票類をもとに、本来なら自動作成されていた振替伝票を一から作成する必要があり、第1四半期と比較してより多くの作業時間が必要となっている。

会計監査人側の状況

• 会計監査人による第2四半期レビューに関しては、基幹システムが停止している期間については業務プロセスを大きく変更せざるを得ない特殊な状況であるため、変更プロセスに対応する新たな内部統制を理解した上で必要な手続を新たに作成してレビューを実施することになるため、第1四半期レビューと比較してより多くの時間を要する可能性が高い。

以上が概要ですが、率直に言って気の毒としか言いようのない状況です。

特に第2四半期決算に係る要作業量はニップン社側、会計監査人側いずれも第1四半期の比ではなく、且つ業務関連システムの復旧状況次第では第2四半期決算に要する作業量が第3四半期、年度末まで続くことになる訳で、控え目に言って悪夢でしかありません。

サイバー攻撃の恐ろしさを痛感させられる事件であります。