5分で絶対に分かるJ-SOX IT統制ガイダンス：5分で絶対に分かる（3/6 ページ）

[鍋野 敬一郎，＠IT]

2分−ガイドラインとガイダンスの違いはあるの？

　では、金融庁の「実施基準（ガイドライン）」と、経産省の「IT統制ガイダンス」の違いとは何でしょうか。それは、実施基準（ガイドライン）が法律を守るべき基本的な規範（ルール・縛り）を示していることに対して、ガイダンスが考え方や進め方についてその具体例を挙げて対処方法を指南しているところにあります。

　つまり、金融庁の「実施基準（ガイドライン）」は日本版SOX法への対応を前提とした内部統制の仕組みの構築や財務報告に係る評価、経営者評価、監査の規範について守るべきことを説明しています。企業によってどのように対応するかは個々に判断が異なるため、具体的な内容について言及できないという事情もあります（詳細な言及をすると仕組みが形骸化して、本来の目的である財務報告の信頼性と乖離したものになりかねません）。

　一方、経産省のIT統制ガイダンスでは、こうした状況を踏まえて“まえがき”に「財務統制に係る内部統制を念頭に、主要なケースを想定しつつ、IT統制に関する概念、経営者評価、導入ガイダンス等を示したものである」という説明が書かれています。あくまでも主要なケースとして、例示したものであるという姿勢でありこの内容に沿ったものが、すべての企業にとって必ずしも正解とはならないと断っています。

「ガイドライン（実施基準）」と「ガイダンス（IT統制ガイダンス）」

ガイドライン（実施基準）：規範となる考え方

金融庁 企業会計審議会内部統制部会「実施基準（公開草案）」

　実施基準とは、日本版SOX法に対応する際に必要になる内部統制報告書を作成・評価・監査する際の指針（ガイドライン）となる「基準案」の内容を、実務支援のためにより詳細に説明した文書。

• 2006年11月21日に基準案（草案）が公開された。
  （http://www.fsa.go.jp/news/18/singi/20061121-2.html）
• 2007年1月31日の部会で草案に対するパブリックコメントとコメントに対する考え方が協議され、その修正版が公開された。この内容が正式版として2007年2月中に登場する予定。
  （http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20070131.html）

ガイダンス（IT統制ガイダンス）：指南書、主要なケースの例示

経済産業省 商務情報政策局情報セキュリティ政策（問い合わせ先）

「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）（案）」2007年1月19日公開

　金融庁が進めている日本版SOX法対応のガイドラインに対して、「ITへの対応」における主要なケースを想定してIT統制に関する概念や経営者評価、導入ガイダンスなどを示したもの。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

（注1）内部統制

（注2）日本版SOX法

（注3）「財務報告に係るIT統制ガイダンス（案）」（2007年1月19日公開）