情報サービス産業協会(JISA)は7月30日、ITベンダーが自ら内部統制を整備する際に利用するガイドライン(指針)「情報サービス産業における内部統制ガイドライン(以下、ガイドライン)」を公表した。ITベンダーやソフト・ハウスといったJISAの会員企業が、日本版SOX法(J-SOX)に対応するために必要な項目を解説している。「基準や実施基準など、金融庁が公式に発表した文書を補足する形で、情報サービス産業に即した項目を盛り込んだ」ものだ。

 ガイドラインは、報告書と内部統制評価ツールと呼ばれるCD-ROMで構成する。報告書はITベンダー向けに、基準・実施基準に即して内部統制の整備や有効性の評価などについて説明している。もう1つの内部統制評価ツールは、自社の内部統制の整備状況を確認するための「診断表」のほか、内部統制の整備過程で作成する文書類のひな型などをExcel形式で収めたものだ。ひな型には、販売・購買・棚卸資産についての業務フロー図と統制活動一覧表などが含まれる。このほかIT全般統制についての目標一覧なども用意している。

 内部統制評価ツールを利用することにより、「中堅・中小規模のITベンダーが自ら内部統制を整備する際に利用できる」(JISA)という。日本版SOX法では、上場をしていない中堅・中小ITベンダーでも内部統制の有効性の評価が求められる可能性がある。例えば、上場企業の連結子会社であったり、日本版SOX法対応企業から開発・運用を受託している場合などだ。ガイドラインはこうした企業の「内部統制の整備の支援を目指すもの」(JISA)という。

 ガイドラインは、JISAの会員企業に1部ずつ無償で配布する。このほかJISAのWebサイトから購入することも可能だ。価格はJISAの会員の場合3000円、非会員は7000円。報告書だけ購入することも可能で、会員は2000円、非会員は4000円。