経済産業省が1月19日に公開した、情報システム部門向けの日本版SOX法(J-SOX)対応の実務指針は、金融庁の「実施基準案」を補完するもの。IT統制の整備や評価の方法を、具体例を挙げて解説しており、実施基準案と併せて、IT関連の内部統制整備に役立ちそうだ。
経産省が公開したのは、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」。日本版SOX法に対応する際に整備すべきIT統制について、「具体例を交えつつ、システム部門が実施すべき項目を網羅的に説明した実務指針」(経産省商務情報政策局情報セキュリティ政策室の金井秀紀技術係長)である。システム企画や開発、運用・保守などの規範を示す「システム管理基準」の追補版として、新たに作成された。
追補版は、システム部門向けの「実施基準案の解説書」と位置付けられる。実施基準案は、金融庁企業会計審議会内部統制部会が昨年11月に公開した日本版SOX法対応の実務指針(正式には、「財務報告にかかる内部統制の評価および監査に関する実施基準(公開草案)」と呼ぶ。金融庁は2月1日に、パブリックコメントを反映した「実施基準」の確定版の案を公開した)。この中でIT統制の例を挙げているが、「システム部門の担当者にとってやや分かりにくく、内容も十分とはいえない」(追補版の作成に携わる関係者)。
そこで追補版では、実施基準案が提示するIT統制をシステム部門が整備できるようにするために、「必要な具体例を提示することを目指している」(金井係長)。日本版SOX法の担当である金融庁が作成した文書ではないが、「実施基準案を十分踏まえた内容」(同)という。用語を実施基準案に合わせたほか、追補版の作成には実施基準案にかかわった、ITに詳しい公認会計士が参加している。
追補版ではIT全般統制について、システム管理基準や「情報セキュリティ管理基準」との関連性を明確にしながら、整備や評価の方法を示している。IT業務処理統制に関しては、財務報告にかかわる内部統制の例として「入力管理」「データ管理」「出力管理」を挙げ、(1)業務プロセスにおけるリスクの例、(2)リスクに対する統制活動の例、(3)統制活動の評価方法の例、を解説している。
加えて、実施基準案では触れていないエンドユーザー・コンピューティングに対する統制の整備や評価方法についても説明している。IT統制の有効性を評価するテストに必要なサンプルの数も例示している。
追補版はI~IVの4章で構成し、参考文献や付録を合わせると約150ページある。その多くをIT統制の説明にあてている。具体的には「II章 IT統制の概要について」「III章 IT統制の経営者評価」「IV章 IT統制の導入ガイダンス(IT統制の例示)」である(関連記事「【速報】経済産業省がJ-SOX向け「IT統制」の指針を公開、具体例を豊富に記載」を参照)。公認会計士のほか、情報サービス産業協会(JISA)や日本情報システム・ユーザー協会(JUAS)といったITにかかわる業界団体、さらにユーザー企業やITベンダーから15人が作成に参加している。
 |
| 表●日本版SOX法対象企業向けの主な指針 [画像のクリックで拡大表示] |
今回公開したのは、正確には追補版の草案だ。経産省は草案に対するパブリック・コメントを募集し、それを反映させて今年3月をメドに確定版を出す予定である。
システム部門にとって、ITの視点から記述された追補版の登場は朗報といえよう。ただし、「追補版に従って対策を施しても、日本版SOX法で求められている内部統制が有効と判断されるとは限らない」(金井係長)ことに注意が必要である。
