日本版SOX法(J-SOX)の適用年度まで残り3カ月の今、同法が求めるIT統制の整備・運用に向けた参考文書が相次いで登場した。日本公認会計士協会(JICPA)と経済産業省のそれぞれが公表した。いずれも、既存の関連文書と異なり、具体的な記述が多い。
JICPAが11月8日に発表した文書は、「ITにかかる内部統制の枠組み~自動化された業務処理統制等と全般統制~(公開草案)」。わずか9ページの文書だが、IT業務処理統制とIT全般統制について、両者の関係や具体的な統制項目例などを挙げる(図)。
 |
| 図●日本公認会計士協会と経済産業省が新たに公開したJ-SOX法対応の参考文書(青色部分) [画像のクリックで拡大表示] |
10月には経産省が、「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス)追加付録 公開草案(以下、追加付録)」を発表した。3月末に公表したJ-SOXに向けたIT統制の実務指針「システム管理基準 追補版」を補足する。財務会計パッケージの機能に対する、内部統制を考慮したチェック・シートや、連結・個別決算、販売、購買など8種類の業務プロセスにおけるIT統制の項目や評価方法と、アサーション(監査要点)の関係を示す表を持つ。
このうち前者は、J-SOXの監査を実施する外部監査人に向けて作成された文書。J-SOX対応で実施する内部統制監査ではなく、財務諸表監査を念頭に置いている。だが、J-SOXに詳しいベリングポイントの山本浩二ディレクター/公認会計士は、「内部統制監査と財務諸表監査は一体として実施するもの。J-SOX対応が意識されているし、IT統制の概念や例示が整理されているだけに、IT統制の実務担当者は参考にしたほうがよい」と話す。
その「ITにかかる内部統制の枠組み」では、システムを(1)メインフレーム、(2)クライアント・サーバー型、(3)オープン系、(4)「EDI(電子データ交換)などで社外のシステムと接続している場合」の4パターンに分類。それぞれにおけるIT全般統制の対象範囲を示している。例えばオープン系の場合は、「個々のアプリケーションの開発、変更、運用等といった全般統制だけでなく、ネットワーク全体の運用・管理までが対象」とする。
このほか、外部委託についても、「委託元の企業が管理責任を有するため、委託先の業務処理統制や全般統制を評価する」との趣旨を明記するし、EUC(エンドユーザー・コンピューティング)にも触れる。両文書とも、具体例が多く、IT統制の実務担当者にとって参考になりそうだ。
一方で「例示をうのみにすると、対応が過剰になる」(ベリングポイントの新井聡マネージングディレクター)との指摘もある。「リスクも整備すべき統制も、個々の企業によって異なる。具体例は、IT統制の整備・運用が完了した後のチェック・シートとして利用すべき」(同)との見方だ。実務担当者は、文書の意味を理解したうえでの活用が欠かせない。
