金融庁と経産省のガイドラインの違い

SOX法に関して早くも省庁間の認識の違いが発生!?

2007/02/05

 1月31日、待ちに待ったというべき日本版SOX法のガイドライン正式版が金融庁の企業会計審議会内部統制部会に了承された。多くの上場企業にとってはこのガイドラインを参考に、いよいよ本格的に日本版SOX法への対応を始める時期となった。

 一方、経済産業省は1月19日、日本版SOX法に対応したIT統制のガイドラインである「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、IT統制ガイダンス)の公開草案を発表した。IT統制ガイダンスは、金融庁が発表したガイドラインとの関係を示しながら、IT統制の概要や導入ガイダンスなどを150ページにわたって例示・解説している。

 例示の中には、「売り上げ比率において重要拠点でなくても、システムが連携していればアプリケーションシステムを評価対象に加えなければならない。データセンタや外部委託も同様」といった非常に細かい点にまで言及しているものが多い。このような詳細かつ広範囲の例示は、体力のある大企業の場合は、それに従って対応すればよいので参考になるケースが多いと思われるが、中堅・中小の上場企業の場合には、IT部門の負荷が懸念される。

 米国SOX法は施行後「対応コストの負担が大き過ぎる」として、すでに数回の修正が加えられている。例えば、米国PCAOB(公開会社会計監視委員会)が2006年12月に発表した「監査基準第2号の改訂版(草案)」では、中堅・中小規模企業への配慮がなされている。

 金融庁のガイドラインにも、米国の現状を踏まえて「ITを有効活用し、できる限り作業負荷とコストを抑えよう」といった発想が含まれている。しかし、今回のIT統制ガイダンスはその発想に逆行しているように思われる点がある。つまり、金融庁と経産省のIT統制に対する認識の違いが見受けられるのだ。

 IT統制ガイダンスは2月19日まで意見を募集し、その後正式決定する予定なので、それまでに省庁間で調整が行われる可能性もある。今後、企業のIT部門担当者は、金融庁のガイドラインと経産省のIT統制ガイダンスを参考にしつつ、対応を進めていくことが必要だ。中小企業は、限られた時間と予算の中で両方の指針に対応するためには、かなりの工夫が必要だろう。

関連リンク

(@IT 大津心)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)