参考書としての価値は大

この11月に内容が明らかになった日本版SOX法（J-SOX）の「実施基準」（公開草案）は、全88ページのかなりの分量を割いて、IT統制に関して概要を説明している。システム部門にとって役立つ記述が多い一方で、“うのみ”にすると作業負荷の増大につながる点に注意が必要だ。

　「完成までに少なくとも2回、内容に大幅な変更があったと聞いている。このため、『あわてて作ったのでは』と感じられる個所が残っている。作成するといわれていた、100項目のQ＆Aも含まれていない。一方で、ITの担当者にも分かりやすく、素直に書かれている印象を受ける」。アビームコンサルティングEBS事業部の永井孝一郎プリンシパルは、11月21日に金融庁が明らかにした「実施基準」の公開草案（以下、実施基準案）に関して、こう話す（実施基準案関連の特集ページはこちら）。

　実施基準は、日本版SOX法が求める財務報告の適正性を確保するために、内部統制の整備や評価、監査といった実務作業をどのように進めるかを示した文書である。2005年12月に金融庁が公表した「財務報告にかかる内部統制の評価および監査の基準案（基準案）」の内容を、具体例を示しつつ解説した“参考書”に当たる。内部統制報告書の作成と監査を求める「金融商品取引法」に対応する上場企業は、両文書を参考にする必要がある（図1）。

図1●「日本版SOX法」の概要 実施基準案の登場で、内部統制報告書を作成するための指針が明らかになった [画像のクリックで拡大表示]

　2005年11月に、金融庁企業会計審議会内部統制部会傘下の作業部会が実施基準を作成することと、実施基準の構成案を発表。それ以来、ユーザー企業のシステム部門をはじめ、多くの関係者が実施基準の登場を待ち望んでいた。ところが周囲の予想よりも作業は遅れ、草案の内容がようやく固まったのは1年後の今年11月だった。

　金融庁は12月20日まで、実施基準案に対するパブリック・コメントを受け付ける。それを反映した上で、早ければ今年末か年明けにも正式な実施基準を公開するとみられる。

全般統制と業務処理統制の整備が必須

　実施基準案は、（1）内部統制を整備する際の考え方を示す「内部統制の基本的枠組み」、（2）経営者向けに整備・運用状況の評価方法を示す「財務報告にかかる内部統制の評価および報告」、（3）監査項目を示す「財務報告にかかる内部統制の監査」、の3章で構成する。（1）は内部統制全般を対象としているのに対し、（2）と（3）は金融商品取引法が求める「財務報告の適正性確保」に絞って説明している（図2）。

図2●「実施基準案」の構成 「基準案」と同様、3章から成る [画像のクリックで拡大表示]

　IT関連の記述は、（1）〜（3）すべてに含まれている。全88ページの実施基準案のうち、約6分の1に当たる15ページにIT関連の記述がある（図3）。

図3●実施基準案に含まれる、IT統制に関係する記述の例 [画像のクリックで拡大表示]

　まず（1）では、「（ITを活用することで）より有効かつ効率的な内部統制の構築を可能とする」と、ITの有効性を明記。その上で、内部統制の整備に必要なIT統制を「全般統制」と「業務処理統制」に分けて解説している。