PR

複数の業界団体から、日本版SOX法(J-SOX)に対応するためのガイドラインが登場する。業界固有の商慣行などを反映し、会員企業の日本版SOX法対応を支援する。実務担当者には分かりやすい半面、金融庁の公式文書ではないため、利用には慎重さが必要だ。

 日本版SOX法対応の業界別ガイドラインの作成を進めているのは3団体。金融情報システムの自主基準などを作成する金融情報システムセンター(FISC)と、ITサービス事業者の業界団体である情報サービス産業協会(JISA)、通信設備建設事業者の業界団体の電信電話工事協会(工事協会)だ。いずれも、金融庁が公表した日本版SOX法の実務指針「実施基準」を補足するための具体例の提供を目指す()。

図●J-SOX対応の効率を高めようと業界別などのガイドライン作成が進む
図●J-SOX対応の効率を高めようと業界別などのガイドライン作成が進む

 まずFISCは3月末に、「システム監査指針」を改訂。その中で、169あるシステム監査のチェック項目のうち、「システムテスト」など約80項目について、実施基準との対応関係を明らかにする。さらに5月末までには、日本版SOX法の監査に必要な文書などを例示する「参考資料」を作成する計画だ。内部統制の「整備」に焦点を当てる見込みである。

 JISAは5月下旬にも、「情報サービス産業におけるガイドライン(受託ソフトウエア開発事業編)」を公開する。架空の中堅ITベンダーをモデルに想定し、日本版SOX法対応に必要な事項を明記する予定だ。

 FISCとJISAがガイドラインを提供するのに対し、工事協会はさらに踏み込む。通信設備建設事業者向けのRCM(リスク・コントロール・マトリックス)のひな型「道標」を2月に作成した。70万円で販売する。この4月には改訂版を提供する計画だ。

 道標は営業、施工、調達の三つの業務プロセスを対象にする。それぞれについて「請求・入金」など76のサブプロセス単位でRCMを作成した。195のリスク項目を定義し、うち63項目を日本版SOX法対応では「必須の項目」とした。

 金融庁が公表した実施基準は、日本版SOX法の適用対象であるすべての上場企業を対象に記述されている。具体例を提供する業界別ガイドラインは、日本版SOX法対応業務の効率を高めることが期待できる。

 実際、JISAの文書は公募により監査法人トーマツに依頼しているほか、FISCはシステム監査の専門家が、工事協会の場合も、公認会計士などがRCMの作成に参加するなど、実施基準との整合性をチェックしている。

 だが各団体とも、「あくまでも参考資料の位置付けだ」と強調する。内部統制のあり方は同じ業界内でも企業によって異なるからだ。金融庁も、「日本版SOX法の公式書は、『基準』と『実施基準』だけ。他団体が公開した文書については一切関知しない」とする。内部統制の整備に向けては、種々のガイドラインだけに頼らない姿勢が重要だ。