どこまでIT統制を整備すべきか─。日本版SOX法(J-SOX)への対応を急ぐ企業にとっては大きな課題だ。その指針になるとの期待が高まっていた監査人向けの指針と実施基準のQ&A集。だが、そこにはIT統制についての詳細な記述は“ない”ことが分かった。 <<最新情報を末尾に追加しました(2008/12/5)>>


 日本版SOX法の実施基準(財務報告にかかる内部統制の評価および監査に関する実施基準)について、それを補完する公式文書の中で、内容が不明な文書が2つある。1つは、金融庁が作成を予定する、実施基準の「Q&A集」だ。今夏以降に公開されるもようである。


 Q&A集については、「実施基準の内容の緩和措置が盛り込まれる」との一部報道があった。しかし、当の金融庁は、「制度が始まる前から、緩和することはあり得ない」と全面的に否定。内容についても、「過去に受けた問い合わせのうち、誤解が多いものを中心に、その解釈の仕方を提示する方針。IT統制についても、実施基準以上に詳細な具体例を示す予定はない」と説明する。


 もう1つの文書が、日本公認会計士協会(JICPA)が作成する「財務報告にかかる内部統制の監査に関する実務上の取り扱い(以下、監査指針)」だ。監査人の視点から内部統制報告書の監査方法について記述する。文書自体はこの5月中旬に完成しているが、いまだに公開時期は決まってない(:末尾の追記を参照)。

図●日本版SOX 法への対応時に参照が必要な文書
図●日本版SOX 法への対応時に参照が必要な文書
[画像のクリックで拡大表示]


 本誌が独自に入手した監査指針を見ると、ここにもIT統制について詳細な記述はない。全体で約90ページある監査指針だが、ITに関する部分は2ページ。IT全般統制について、「(財務報告にかかる内部統制の)評価方法は財務諸表監査におけるITにかかる全般統制の評価手続きと同様である」と述べるにとどまっている。同様とするのは、JICPAが2005年7月に公表した「IT委員会報告第3号」に基づく監査だ。


 金融庁が2月15日に公表した実施基準は、約90ページ中15ページがITにかかわる内容だ。だが、「あいまいな部分が多い」との指摘は少なくない。日本に先行した米SOX法(サーベインズ・オクスリー法)は、詳細な監査基準を示しており、対象企業はそれを基に「統制をどの程度、整備すべきか」を判断できたとされる。


 こうした見方に対し、金融庁は「実施基準において、財務報告にかかる内部統制の整備に必要な事項は十分に示している」と主張する。日本版SOX法関連の公式文書は、金融庁やその傘下の企業会計審議会内部統制部会が作成している。実施基準よりも詳細な文書を公表することは、「余分な混乱を招く」との姿勢を崩さない。


 2008年4月の適用開始時期が迫る中、「緩和策が出る」「具体的な対応策が示される」といった希望的観測は、日本版SOX法のコンサルタントや公認会計士らの側にもある。だが金融庁の姿勢を見る限り、現時点で言えることは1つ。すでに明らかになっている必須対策、すなわち、内部統制が規定通りに整備・運用されていることを社内外の監査人に示すための文書の整備を着実に進めることである。



(追記) 金融庁はJ-SOX関連の「Q&A集」の第一弾を2007年10月に,第二弾を2008年6月に発表した(関連記事1関連記事2)。20問のQ&Aを掲載した第一弾では期末前のシステム変更について言及。新たに47問を追加した第二弾ではシステム変更やIT統制の評価範囲、電子メールの保存などに関するQ&Aを追加した。

 日本公認会計士協会(JICPA)は「財務報告にかかる内部統制の監査に関する実務上の取り扱い(以下、監査指針)」の草案を2007年7月18日に公開(関連記事3)。同10月24日に正式公開した。

 JICPAはJ-SOX対応を視野に入れて,IT統制に関するQ&A集「IT委員会研究報告第31号」も2008年3月と同11月の2回にわたり修正。「アクセス・ログの取得」「職務の分離と権限の分掌」「アウトソーシングの受託会社監査人の留意点」「スプレッドシート統制」などJ-SOX対応で問題になる個所に触れている(関連記事4関連記事5)。

■変更履歴1
JICPAの監査指針の公開時期に関する注記を本文末尾に追加しました。 [2008/08/29 21:50]

■変更履歴2
文中で触れた二つの文書と関連文書に関する情報を追記として末尾に追加しました。それまで載せていた注もここに含めました。[2008/12/5 18:50]