経済産業省は、今年9月以後に通期決算を迎える株式公開企業に「金融商品取引法」が適用されることに伴って発生する内部統制の評価、監査の義務に対応し、システム監査のあり方を見直す。また同法の適用が新たなIT投資に弾みをつけるとみて、IT経営促進施策を拡充する。

 金融商品取引法は「日本版SOX(J-SOX)法」とも呼ばれるが、企業活動のうち金融庁が示しているのは「財務報告の信頼性」確保の手段にとどまっている。これに対して経産省は昨年8月、「コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組みについて」を発表している。

 経産省のフレームは、「業務の効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4項目を横軸に、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」の6項目を縦軸に設定しており、「このいずれにも情報システムが深く関与している」(情報政策課・片倉正美課長補佐)とみている。

 ところが、(1)システム障害や情報セキュリティへの対策は講じているものの、事業継続計画の策定が未着手の企業が少なくないこと(2)CIOの設置は進んでいるもののITスキル標準やシステム管理基準といった指標(目安)が普及・定着していないこと──などから、情報システムのブラックボックス化がこれ以上進むと、内部統制が形骸化することになりかねない。

 こうしたことから経産省ではセキュリティ監査基準の策定を促すとともに、第三者によるシステム監査の実施と併せ、システム監査のあり方を見直すことにした。早ければ年内に一定の方向を出し、2007年度の情報化推進施策に反映させたい考え。

 ITの戦略的導入のための行動指針やIT経営力指標に基づく第三者評価と組み合わせ、上場・非上場を問わず企業のIT経営化を促す。