日本版SOX法(J-SOX法)と内部統制

1.内部統制の概要

┣J-SOXと米国SOX法との違い
┣新会社法の内部統制
┣日本版SOX法の目的
┣日本版SOX法の内部統制
┗COSOフレームワーク

詳しく見る

2.内部統制の構築

┣ソフトウェア資産管理基準
┣予防的統制と発見的統制
┣内部統制の整備状況
┣内部統制における職務分掌
┣内部統制構築のポイント
┣内部統制の具体的作業
┣文書化のポイント
┣フローチャートと業務記述書
┣ITガバナンス
┣連結子会社のITガバナンス
┣内部統制で防ぐカイティング
┣内部統制のコストとリスク
┣フローチャートを作成する
┗ITに関する内部統制

詳しく見る

3.関連ニュース

┣J-SOX対策「MaLion2.0」発表
┣建設業向け内部統制モデル
┣Salesforceで内部統制強化
┣金融庁、Q&A集を公表
┣OBC、「奉行V ERP」を発表
┣東証が上場制度整備方針
┣文書実例集「Fact-JSOX」
┣内部統制の枠組み・確定版
┣監査委員会監査の実施基準
┣アイデンティティ管理最新版
┣IT全般統制対応テンプレート
┣COBITコンサルティング
┣短期・低価格のワークフロー
┣退職給付債務計算サービス
┣内部統制対応版ERP
┣電子文書統合管理ASP
┣SOAでシステム構築
┣18号に基づく監査報告書作成
┣弥生「弥生08シリーズ」発売
┣監査実務上の取扱いを公表
┣文書化テンプレート集を発売
┣評価支援サービスを開始
┣人事給与就業文書3点セット
┣文書化支援ツールJUDE/Biz
┣JSOX クイックドキュメント
┣IT業界向けJSOXガイドライン
┣Visio内部統制文書化ツール
┗Mac対応の内部統制ツール

詳しく見る

インターコム、J-SOX法対策の内部統制支援システム「MaLion 2.0」を発表

インターコムは、J-SOX法対策機能を盛り込んだ内部統制支援システム「MaLion 2.0」の発売を8月に予定していること発表。

新バージョンでは、ID監視、IT統制レポート、暗号化などの機能を追加し、価格は105万円（100クライアント※参考価格）を予定しているという。

「MaLion 2.0」のIT統制に関連する主な機能は下記の通りである。

■ID監視
　 社内で利用されているすべての財務システムのIDやパスワードを統合監視
■IT統制レポート
　 運用規程の見直し協議における資料作成を支援するテンプレートを搭載
■暗号化
　 外部に持ち出された財務データの不正利用を防止するファイルの暗号化
■ログ管理
　 IT全般統制のモニタリングと操作証跡を確保するPC操作ログの取得
■アクセス管理
　 財務データに対するアクセスや操作の制御
■IT資産管理
　 財務システムの停止を招く不正な機器変更を抑止するIT機器構成の管理

なお、同製品は、5月14日から5月16日に東京ビッグサイトで開催される「第5回情報セキュリティEXPO」で詳細なデモンストレーションも予定されている。

国土交通省、中小建設業向けの内部統制モデルを作成

国土交通省は、2008年度、建設業界の法令順守（コンプライアンス）体制を確立するため、内部統制の取り組み状況を調査して中小事業者にも導入しやすい基本モデルを作成する。

公正な競争基盤の確立と下請け取引の適正化に向け、内部統制モデルの普及を図り、下請け代金支払い状況実態調査の件数を増やし、内部統制モデルの作成・普及とともに監視体制も強化するという。

ネットイヤーグループ、SaaS型CRM「Salesforce」全社導入で内部統制を強化

セールスフォース・ドットコムは、ネットイヤーグループがSaaS型CRM「Salesforce」の活用により内部統制強化と複数業務の効率化を実現したと発表。

マーケティング支援を手掛けるネットイヤーグループは、下請法に対応する購買部門の立ち上げに伴い、発注申請や検収などの管理を営業案件管理に活用していた「Salesforce」へ移行し、決裁済みデータをSalesforceにインポートすることで連携管理できるようにしたという。

また、発注決裁のワークフローをSalesforceに移行し、手入力による発注申請を廃止し、財務報告にかかわる書類のステータス管理、定型化した契約書類の作成とログ管理を可能にするとともに、リポート機能を活用して不備や遅延を把握する仕組みも確立。手動で行っていた受注金額に応じた決裁レベルの設定もSalesforceの「ワークフロー承認機能」を活用して自動化した。

ネットイヤーグループは、上記管理に加え、IT資産台帳、プロジェクト管理、予算管理など10の業務にSalesforceを活用している。

金融庁、Q&A集「内部統制報告制度に関する11の誤解」を公表

金融庁は、2008年度から経営リスクの洗い出しを目的とする内部統制報告書に、企業の一部で必要以上の対応がいるという誤解があり、実務現場に過度の負担がかかっていることが問題になっていることから、Q&A集「内部統制報告制度に関する11の誤解」を公表した。

金融庁は、今後も、上場企業や監査法人などに常時ヒアリングを行って誤解の多いポイントの把握に努め、Q&Aの改訂や相談窓口のメールアドレスの公開、制度導入後も必要に応じて実施基準の見直しなどを図るとしている。

OBC、内部統制機能を強化した「奉行V ERP」を発表

オービックビジネスコンサルタント(OBC)は、2月20日、内部統制機能を大幅に強化し、グループ企業の複数社導入のモデルも考慮したリニューアルを行った統合型基幹業務システム「奉行V ERP」を発表し、2月26日から発売予定。

今回リニューアルが行われた「奉行V ERP」は、ログや認証など内部統制に求められる機能を強化し、締処理後の仕訳が一切修正削除不可となる強力な締処理機能を備えるほか、マスターの変更も締処理ごとに履歴を管理できる。また、締処理後の遡及修正機能やその変更履歴レポートの出力などの強化も行われるとのこと。

さらに、「奉行V ERP」の発売に合わせ、現在発売中の内部統制文書作成ツール「奉行DOCUMENT Pack」の43プロセス、約900コントロールが記載されたサンプル文書もリニューアル。

東京証券取引所、金融商品取引法に対応した上場制度整備の方針を公表

1月29日、東証は、金融商品取引法に対応した上場制度整備の方針を公表し、未上場会社の新規上場申請時に、「内部統制報告書及び内部統制監査報告書並びに当該報告書に準じた書類の提出を求めない」とした。また、既上場会社の場合、内部統制報告書における重要な欠陥が、投資家が保護されるべき財務諸表の虚偽記載とは直接結びつかないという理由から「内部統制報告書及び内部統制監査報告書の記載内容をもって、直ちに上場廃止審査の対象にはしない」とした。この方針は、2月28日までパブリックコメントを求めた後、4月より実施する予定だという。

テクノスジャパン、内部統制文書実例集「Fact-JSOX」を価格改定

テクノスジャパンは、内部統制の効率的な文書化を支援する文書実例集「Fact-JSOX」を、中堅中小企業向けに価格改定（価格90万円）し、2月1日より提供。

この「Fact-JSOX」は、約90の基本業務について業務フロー・業務記述書・RCM（リスクコントロールマトリクス）を用意した内部統制文書実例集で、販売・購買・在庫・会計の業務大分類「Level1」、見積・受注・出荷・入金消込などの業務中分類「Level2」、実際の業務レベル「Level3」の3層構造により詳細な業務の記述が行なわれている。

RCMでは、約90の業務プロセスに対して900以上のリスクと1700以上のコントロールが用意されており、ユーザ企業に合うリスクとコントロールを見本として選ぶことができる。

日本公認会計士協会「ITに係る内部統制の枠組み」確定版を公表

2008年1月21日、日本公認会計士協会（JICPA）は、IT委員会研究報告第35号「ITに係る内部統制の枠組み〜自動化された業務処理統制等と全般統制〜」の確定版を公開した。

このITに係る内部統制の枠組みは、基本的に財務諸表監査におけるIT統制の整備・監査について述べられているものが、日本版SOX法を意識した内容になっていることから、IT統制整備の参考書として注目されている。

2007年11月8日に公開していた草案との変更点の1つは、自動化された業務処理統制の考え方で、確定版では、自動化された会計処理手続きと、システムから出力した情報のうち、手作業で実施する業務処理統制に利用する情報を、自動化された業務処理統制に入ると明記されたことだ。

また、もう1つの大きな変更点は、IT全般統制に変更があった場合の有効性評価の頻度にかかわる記述であり、草案では「毎期実施する必要な場合が多い」と記述されていたが、確定版では、「有効性の評価は毎期実施することが必要になる」と明記された。

日本監査役協会、「内部統制システムに係る監査委員会監査の実施基準（公開草案）」を公表

日本監査役協会は、1月11日に「内部統制システムに係る監査委員会監査の実施基準（公開草案）」を公表。

この実施基準は、現行の「内部統制システムに係る監査の実施基準」（平成19年4月5日制定）が監査役設置会社における監査役の監査を対象としていることから、新たに委員会設置会社における監査委員会の監査を対象としたものを新設したもので、監査役版内部統制監査実施基準と比べて、実質的な内容の変更はないものの、一部に付加された項目もあるので要チェック。

⇒日本監査役協会

カスタム・テクノロジー、内部統制対応のアイデンティティ管理ソフトウェア最新版を発売

カスタム・テクノロジーは、アイデンティティ管理ソフトウェア「SyncTrust Identity Manager」の最新版Version3.1を販売開始したと発表。

「SyncTrust Identity Manager」は、日本の商習慣と内部統制（J-SOX法）に対応した純国産のアイデンティティ管理ソフトウェアであり、最新版Version3.1は、Windowsサーバ管理機能やExchange 2007対応などの機能強化が図られており、今回の機能拡張により「SyncTrust Identity Manager」からActive Directoryセキュリティ・グループの管理、Windows共有フォルダの作成・削除、さらに、Windowsファイルサーバのアクセス権限管理が行えるようになった。

住商情報システム（SCS）、IT全般統制対応テンプレート販売開始

住商情報システム株式会社は、株式会社エイトレッドとの協業により、IT全般統制テンプレート『SMART SOX for ITGC』の販売を開始した。

IT全般統制テンプレート『SMART SOX for ITGC』は、日本版SOX法の「IT全般統制」に含まれる「情報システム部の業務プロセス」の申請・承認処理を確実に行うための監査対応を主眼においたツールで、住商情報システムにおけるIT全般統制コンサルティングにおけるノウハウをもとに作成した「標準プロセスの運用フロー」をウェブフォーム ワークフロー「X-point」に組込み、IT全般統制の整備を容易かつスピーディーに実現することが可能。

詳しくは ⇒ http://www.scs.co.jp/

サン・マイクロシステムズ、COBITコンサルティングサービスを発表

サン・マイクロシステムズ株式会社は、12月17日、COBITフレームワークを利用して企業の内部統制環境の整備を支援する「COBITコンサルティングサービス」を発表し、同時に、情報技術管理者育成を目的とした「COBITファンデーション・トレーニング」の開設も発表した。

COBITコンサルティングサービスでは、コンサルタントが顧客を訪問し、企業の内部統制の観点からヒアリングを実施し、その結果を、COBITを使用して強みや弱みについて分析した上でレポートにて報告とコンサルティングを行い、弱点をどのように克服すべきかに重点を置いた解決策の提案を行うほか、IT全般統制を整備するためのロードマップを提案するという。

一方、COBITファンデーション・トレーニングでは、COBITの概要を短期間で習得し、企業での内部統制環境整備をリードする技術者の養成を目指し、受講手段として、インストラクターによる集合研修トレーニングと、eラーニングの2種類を用意。

丸紅情報システムズ、短期・低価格のワークフロー「エクシブフロー」販売

丸紅情報システムズ株式会社は、短期・低価格のワークフローシステム構築ソリューション「エクシブフロー(ExiveFlow)」の販売を開始。

このエクシブフローは、稟議や決裁など業務の手続き上必要な、申請・承認処理を実行するワークフローシステムを提供するサービスで、多種多様なワークフローや、複雑な条件分岐や回議など日本独特の業務フローに対応するワークフローエンジンと、顧客固有の要求に合わせて開発を行うための汎用性の高いモジュール群、さらにこれらを有効活用する構築・運用サービスを組み合わせ、信頼性・安定性の高い、導入企業独自のワークフローシステム構築を短期かつ低価格に実現できるという。

最小販売構成は200ライセンス〜で、販売価格は200万円〜。

大和総研が内部統制対応の退職給付債務計算サービス提供

大和総研は、金融商品取引法が退職給付会計業務に求める内部統制への対応をサポートする新たな退職給付債務（PBO）計算サービスを2007年10月より開始。

この退職給付債務計算サービスは、PBOの変動額をその要因別に分析し、年度ごとに積み上げた結果から制度特有の債務構造を浮き彫りにし、今後のPBOの変動幅を経営者が効率的に把握・管理することをサポートするものだという。

また、現在、監査基準委員会報告書第18号に定める「内部統制の整備及び運用状況報告書」（日本版SAS70）の取得を目指して監査法人と調整を行っており、同報告書の定める「内部統制の整備及び運用状況報告書」を提出することで、金融商品取引法により企業に求められる、外部委託業務の内部統制にも対応予定だという。

ミロク情報サービス・内部統制対応版ERP発売

財務・会計システム及び経営情報サービスを開発・販売する株式会社ミロク情報サービスは、内部統制対応版ERP『Galileopt（ガリレオプト）財務大将シリーズ』を11月20日より発売を開始した。

既に2005年10月より発売されている初期バージョン『Galileopt（ガリレオプト）』を大幅に機能強化し、また平成21年3月期事業年度から始まる内部統制の、IT業務処理統制で求められる機能を標準搭載。

特にワークフロー機能の中でも、“業務プロセスワークフロー”においては、複数の業務処理間に承認機能を設定し、各業務処理を統制することにより、IT業務処理統制を実現し、かつ業務処理の正確性を飛躍的に向上。

主な内部統制機能は以下の通り。

IT業務処理統制に必要なコントロール機能の搭載により、業務効率化・信頼性強化・ガバナンス強化・資産保全を実現し、企業競争力を強化。（アイデンティティ＆アクセス管理、リアルタイムモニタリング機能、入力ミス防止機能、リポジトリ管理、プロセス間制御機能等）

電子文書統合管理ASPサービス「BIGLOBEドキュメントコントロールサービス」

アドビシステムズ(Adobe)とNECビッグローブは、10月24日、電子文書統合管理ASPサービス「BIGLOBEドキュメントコントロールサービス」の提供を開始すると発表し、企業内、企業間における文書流通の一元管理を実現するサービスで、内部統制強化や情報漏洩対策のソリューションとして普及を目指す。

このサービスは、PDFのアクセス権限を統合管理するサーバ製品「Adobe LiveCycle Rights Management ES」技術をベースにしたPDF文書管理ソリューション。PDFに対して閲覧期限の設定や印刷・コピーの禁止などのポリシーを付与し、その後のドキュメントの利用状況を監視できるようにする。同サービスを利用してPDF文書を発行する際は、管理者が事前にユーザーとポリシー(各種アクセス制限)を設定しておき、文書発行者は閲覧者とポリシーを指定してから専用サーバ経由でポリシー付きPDFを作成、これを電子メールなどで配布する。

日本IBMなどＳＯＡを活用したシステム構築事業

日本ＩＢＭやＮＥＣなど情報各社は中堅企業向けのシステム構築事業を強化し、2008年度から全上場企業が金融商品取引法に基づく内部統制強化を求められることもあり、中堅企業向けの需要開拓を急ぐ。

ＩＢＭは2008年2月から欧米で広がっている「ＳＯＡ（サービス指向アーキテクチャー）」と呼ばれる先進的手法で、「出荷」「在庫管理」など業務単位のソフト部品を自由に組み合わせて顧客にシステムとして提供する。

ＳＯＡ（Service-Oriented Architecture）とは、大規模なコンピュータ・システムを構築する際の概念あるいは手法の一つで、業務上の一処理に相当するソフトウェアの機能をサービスと見立て、そのサービスをネットワーク上で連携させてシステムの全体を構築していくことを指す言葉である。

野村総合研究所（NRI）が監査基準18号に基づいた監査報告書を作成

野村総合研究所（NRI）は、11月1日「『監査基準委員会報告書第18号（監査基準18号）』に基づいた監査報告書を作成する体制を整えた」と発表。

監査基準18号は、外部委託業務の内部統制の運用状況を監査するための基準で、日本版SOX法（J-SOX）対応において、NRIに開発・運用を委託する企業は、内部統制の評価・監査の負担を下げることが可能になる。

NRIが監査基準18号に基づいた監査の対象にしているのは、開発、運用・保守の2業務で、同社の開発、運用・保守のマニュアルに、日本版SOX法対応に必要な統制を織り込んだという。

日本版SOX法では、開発や運用・保守を外部に委託している場合、委託先の内部統制の状況を評価する必要があり、自らが評価するためには、自社の内部監査人を派遣するほか、外部監査を実施する監査法人の監査人も委託先に出向かなければならないため負担が大きい。この点について日本版SOX法の監査基準を定めた文書では、「（委託元の企業が自社で確認しない場合）外部委託先の内部統制の状況を評価するためには、監査基準18号に基づいた報告書の入手が必要」といった趣旨が書かれている。

つまり、委託先から監査基準18号に基づいた報告書を受け取った場合、委託元の企業は外部委託先に出向かなくても、報告書を基に評価・監査が実施でき、委託先にとっても、個々の顧客企業からの評価・監査を受けなくて済むというメリットがある。

ちなみに、米国では、同様な監査基準に基づいた報告書「SAS70(Statment on Auditing Standard No.70)」がある。

弥生、最新版「弥生08シリーズ」発売

弥生株式会社は、業務ソフト「弥生シリーズ」の新版「弥生08シリーズ」を12月7日に一斉発売すると発表。

弥生08シリーズでは内部統制対応を全製品共通の強化点としており、内部統制に有効な機能として弥生08シリーズでは、伝票・仕訳承認機能を強化。財務諸表が正確に、漏れなく記載される仕組みとして、弥生会計の対象期間中の仕訳すべてが承認された後でなければ、決算書の作成が行えないようにした。ただし、業務で利用する日計表、試算表などの集計表については、業務に支障をきたさないよう、未承認のものも含め作成することが可能となっている。

弥生販売08のデータを弥生会計08に転送する場合、伝票締め切りを行い、弥生会計に仕訳データ転送後に、伝票の修正や赤伝を発行することが起こる。その場合、漏れや重複を防ぐために、締め切り後の修正データを自動的に該当月の仕訳に自動的に転送する機能を設け、伝票の漏れや重複を防ぎ、内部統制に欠かせない、「正確なデータの実現」と、業務の利便性向上を実現している。

弥生販売08の主な機能強化ポイント

(1)伝票承認機能（ネットワーク版のみ）
(2)アクセスログ機能（ネットワーク版のみ）
(3)伝票番号の重複警告機能
(4)伝票の「入力者」「更新日」の表示
(5)仕訳転送後の伝票一括締切
(6)受注からの発注一括作成
(7)発注伝票の「発送先指定」
(8)出荷予定一覧表
(9)倉庫別在庫集計の強化

価格は、「弥生販売08プロフェッショナル 5ユーザー」が26万2500円、「同プロフェッショナル 2ユーザー」が12万6000円、「弥生販売08 プロフェッショナル」が8万4000円、「同スタンダード」が4万2000円。

日本公認会計士協会がJ-SOX監査実務上の取扱いを公表

日本公認会計士協会は、10月24日に、「財務報告に係る内部統制の監査に関する実務上の取扱い」を公表。

これは、財務報告に係る内部統制の関係法令及び「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」（平成19年2月15日の企業会計審議会）を踏まえ、監査人が実施する財務報告に係る内部統制の監査における実務上の取扱いとして、具体的な監査手続、留意すべき事項、監査報告書の文例等を取りまとめたものとなっている。

詳細は、日本公認会計士協会のホームページにて掲載されている。

内部統制文書化テンプレート集『KNOWLEDGE CONC.』

住商情報システム株式会社は、株式会社アグリーメントと販売代理店契約を締結し、同社製品『KNOWREDGE CONC.（ナレッジコンク）』の販売を開始した。

『KNOWLEDGE CONC.』は、内部統制を熟知した公認会計士とシステム監査人が、信頼出来る実績とノウハウをもとに作り上げた内部統制文書化テンプレート集で、各ステップに合わせてRelease�T〜�Vに分かれており、Release�Vはクライアントが今後実施予定の評価作業を見据えた製品構成となっている。ウォークスルー調書やテスティング調書などの評価作業に必要不可欠な文書雛形のほか、標準的なコントロールに対する評価手続集が用意されている。

ここには、会計監査人やシステム監査人が実施する監査の手順が盛り込まれているので、これらを参考にすることで、評価手続きを効率的に実施することが可能となる。

J-SOX対応の経営者のための評価支援サービス

ベリングポイントは、10月2日に金融商品取引法に基づく内部統制報告制度（J-SOX法）に対応するための新サービスとして、「経営者のための評価支援サービス」を開始することを発表した。

このサービスは、J-SOX法が要求する「経営者による内部統制の有効性評価」を確実に実施することを支援するソリューションで、これにより、重要な欠陥があるにもかかわらず、経営者が「内部統制は有効である」と誤って判断してしまうリスクを避けることができるという。

J-SOX法では、経営者が自ら財務報告に係る内部統制の有効性について評価し、報告することを求めており、経営者は、重要な欠陥があればその内容を内部統制報告書において開示する必要がある。また、内部統制報告書の記載に重要な虚偽記載があれば、監査人より不適正意見を受けることになる。一方、内部統制の有効性の評価手法についてはまだ明らかでない点が多くあり、多くの企業では評価に必要なスキルを持つスタッフを十分確保していないのが現状だという。

こうした背景に基づき、同サービスでは、ユーザー企業のJ-SOX法対応の準備状況に応じて、次の3つを組み合わせて提供するという。

1.評価基盤の確認
2.評価計画の策定支援
3.評価手続の実施支援

同サービスの導入費用は、500万円からで、同社では、J-SOX法の対象となる上場企業を対象に、初年度で123億円(うち新規獲得顧客15社で11億円)の売上を目指すという。

人事給与業務の内部統制文書化テンプレート

株式会社ブレイニーワークスは、人事給与就業パッケージソフトウェア（「ＰＯＳＩＴＩＶＥ」／「ＳＴＡＦＦＢＲＡＩＮ」）の内部統制文書3点セット（業務フロー、業務記述書、リスクコントロールマトリックス）の標準サンプル文書を纏めたテンプレートを2007年10月より提供開始。

日本版SOX法（金融商品取引法）をはじめとした内部統制整備において、人事情報は社内システムのアクセス権など各権限の基礎となる情報であり、人事関連システムについてもＩＴ統制の重要度が高まっている。

ブレイニーワークスが開発・販売する統合人事パッケージソフトウェアは、セキュリティ機能や監査ログ機能など既に多数のＩＴ統制機能を強化し実装しているが、さらなる内部統制対応の支援のため、効率的な文書化を支援する内部統制テンプレートを作成。これにより、ユーザーは業務プロセス統制に費やす工数を大幅に削減することが可能となる。

＜対象業務例＞

・入社・異動発令・昇降格・人事考課・退職・社員属性変更（雇用／再雇用）・休職・復職・出向・月次給与・賞与・社会保険（定時改定／随時改定／異動）・住民税・年末調整
・就業（日次／月次／賞与）・届出申請・セキュリティ管理・マスタ管理

内部統制文書化支援ツール「JUDE/Biz 2.0」β版

チェンジビジョンは、内部統制に対応した文書化支援ツール「JUDE/Biz」の新バージョン「2.0」のベータ版をリリースした。同社ウェブサイトより、評価を目的とした無償ダウンロードが可能となっている。

JUDE/Bizは、内部統制における「業務フロー」「業務記述書」「RCM（リスク・コントロール・マトリックス）」といった主要文書の作成、管理を支援するツール。新バージョンでは、これまでも実現していたRCMのカスタマイズに加え、ユーザーからの要望が多かった業務記述書のカスタマイズ機能を追加した。また、職務分掌表作成やファイルへのパスワード設定、ファイルロック機能など、より実務向けの機能が強化されている。

なお、正式版のリリースは9月25日に予定されており、ベータ版の公開は正式版の発売と共に終了する。

内部統制文書などを自動作成「JSOX クイックドキュメント」

ドラゴン・ネットワークス（DNA）とJMC、レビックグローバルの3社は、9月4日、共同で企画・開発した内部統制文書化作業を効率化する「JSOX クイックドキュメント」システムを発売し、9月27日からASPサービスも開始すると発表。

業務プロセスを部署、実施者、時期、証跡、作業の5つのマスター化した項目から選択することで、金融商品取引法（JSOX法）で義務づけられる内部統制構築のための3点セット「業務記述書」「リスクコントロールマトリックス（RCM）」「業務フローチャート」を、在来よりも効率よく作成できるという。

ブラウザで操作するため面倒な設定は不要で、ネットワーク経由で接続が可能な全国の支店、営業所、海外の子会社などからも利用できる。また文書はExcel形式でのエクスポートが可能で、印刷や各監査法人用のフォーマットの修正も簡単に行うことができる。

IT業界向けのJ-SOX対応ガイドライン

情報サービス産業協会（JISA）は7月30日、ITベンダーが自ら内部統制を整備する際に利用するガイドライン（指針）「情報サービス産業における内部統制ガイドライン（以下「ガイドライン」という）」を公表した。

このガイドラインは、「基準や実施基準など、金融庁が公式に発表した文書を補足する形で、情報サービス産業に即した項目を盛り込んだ」もので、報告書と内部統制評価ツールと呼ばれるCD-ROMで構成されている。

報告書はITベンダー向けに、基準・実施基準に即して内部統制の整備や有効性の評価などについて説明している。もう1つの内部統制評価ツールは、自社の内部統制の整備状況を確認するための「診断表」のほか、内部統制の整備過程で作成する文書類のひな型などをExcel形式で収めたものだ。ひな型には、販売・購買・棚卸資産についての業務フロー図と統制活動一覧表などが含まれる。

内部統制評価ツールを利用することにより、「中堅・中小規模のITベンダーが自ら内部統制を整備する際に利用できる」（JISA）という。日本版SOX法では、上場をしていない中堅・中小ITベンダーでも内部統制の有効性の評価が求められる可能性がある。例えば、上場企業の連結子会社であったり、日本版SOX法対応企業から開発・運用を受託している場合などだ。ガイドラインはこうした企業の「内部統制の整備の支援を目指すもの」（JISA）という。

ガイドラインは、JISAの会員企業に1部ずつ無償で配布する。このほかJISAのWebサイトから購入することも可能で、価格はJISAの会員の場合3000円、非会員は7000円。報告書だけ購入することも可能で、会員は2000円、非会員は4000円。

Microsoft Office Visio 内部統制文書化ツール

マイクロソフトは7月4日、「Microsoft Office Visio 2007（Visio 2007）」と「Visio 2003」上で動作し、内部統制の仕組み構築に対応した業務プロセスの文書化を支援するツール「Microsoft Office Visio 内部統制文書化ツール」の無償提供を開始したと発表。

2006年10月に公開した「汎用版Visio内部統制テンプレート」をもとに、「Windows Vista」「.NET Framework 2.0」上で動作するための対応や、一部の動作変更などを行った。ユーザーインターフェイスも、シンプルでわかりやすいものに変更した。

同ツールとVisio 2007、Excel、WordなどのOffice製品を利用することで、業務フローの作成から変更、更新作業までを効率化できる。テンプレートの設定やソースのカスタマイズにより、独自のリスクコントロールマトリックス（RCM）フォーマットなどを使用した内部統制の文書化も行える。

⇒ Microsoft Office Visio 内部統制文書化ツール

業界初のMac対応の内部統制ツール

インテリジェントワークスは、PC操作ログ収集・解析やIT資産管理、プリンタ監視を簡単にできるMac対応の内部統制ツール「コンテンツウォッチャー・スマート」を5月下旬に発売すると発表。

この「コンテンツウォッチャー・スマート」は、クライアントPCのさまざまな操作ログをリアルタイムに抽出し、ファイル操作ログやアプリケーションの動作ログ、プリンタの出力ログ、デバイス監視などを行える内部統制ツール。

社内のPCのアプリケーション情報やフォント情報を資産台帳として作成でき、スケジュールを設定すれば、一定期間ごとに自動で資産台帳作成が可能だ。

また、未登録のPCからファイル操作があった場合に、アラートで管理者に知らせる不正PCの検知機能、重要情報をUSBメモリなどで持ち出そうとした場合に警告を通知する機能などを搭載し、情報漏洩を未然に防ぐことができる。

■対応OS■
Mac OS 9以降、Mac OS X以降、Windows XP／2000／NT 4.0／Me／98

Copyright(C) 2007-2008 日本版SOX法(J-SOX法)と内部統制 All rights reserved.