金融商品取引法に盛り込まれた「J-SOX法」は、2008年4月1日以降に始まる事業年度から適用されることになりました。
経済産業省はその指針として、2007年3月30日に「システム管理基準　追補版」を発表し、内部統制の考え方と方向性を詳細に示しました。
また金融庁は、内部統制への準備に悩む企業が多いことを踏まえ、2007年10月1日に「内部統制報告制度に関するQ&A」を発表しました。

このうち経済産業省の「システム管理基準　追補版」では、IT全社的統制の評価について、5つの留意点を示しています。

1. 経営者が内部統制を支えるITの重要性を認識しているか（全社的統制の基本）
2. 経営者が財務情報に係るITの信頼性について、リスク評価と対応を検討しているか（リスク対応方針・規程）
3. 経営者が財務情報に係るITの整備・運用の予算を承認しているか（経営資源の確保）
4. 経営者は財務情報に係るITの整備・運用の状況について適宜報告を受け、改善できる仕組みを設けているか（情報と伝達及びモニタリング）
5. IT統制に係る記録の採取と保存に関する規程や体制が存在するか（経営者評価・監査人による監査の保証）

　これらの留意点に沿って進められたIT全社的統制は、その業務遂行の主要基幹をIT全般統制とIT業務処理統制に委ねています。
それは4つのポイントに示されます。

1. 情報システムの開発、パッケージソフトウェアの導入、IT運用・管理統制の評価
2. 適切なデータの正当なプログラムでの処理、信頼性の高いデータ処理統制の評価
3. データ、ソフトウェア、ハードウェア及び関連施設の保全、アクセス管理の評価
4. 情報システム開発、管理委託業者の管理・統制評価

　ここで注目したいのは、そもそもIT統制に係る記録の採取と保存に関する規程や体制が不十分な場合、経営者による評価、監査人による監査業務に支障をきたす可能性があることです。
「内部統制報告書」作成以前の内部監査が不十分であれば、報告書の信頼は初めから怪しくなってしまいます。
また当該年度内での大規模なシステム変更や、自社システムプログラムへの市販ソフトウェアの追加などはリスクが限定されないため、「リスク回避」が不十分と判断される可能性もあることに気をつけなければなりません。
このようなリスクを避けるために、IT全般統制とIT業務処理統制の基本指針に沿ってIT全社的統制を随時点検する必要があるのです。

　内部統制において企業に求められるのは、「J-SOX法」の目標である「内部統制報告書」の作成・提出と、そのプロセスを保証する、IT統制まで含んだ「全般的内部統制」の構築です。
一般的には、COSOフレームワークが示す「5つの基本要素」（統制環境、リスクの評価、統制活動、情報とコミュニケーション、モニタリング）にITを連動させることがポイントといわれています。
各企業は現在、J-SOX法の直前対策に取り組んでいますが、その進捗度合いは千差万別です。
とはいえ、現時点で内部統制計画の進捗に遅れが見られるとしても、拙速な判断や行動は避けるべきでしょう。
仮に2008年の下半期に内部統制評価を行う予定であったところを、取り組みが不十分であることを気にして、2009年4月に新システムを導入しようものなら、2008年と2009年に別々の評価報告が必要になり、「統制リスク」が高まるばかりでなく、業務負担まで増加してしまいます。
また、内部統制報告書を保証するプロセスにこだわるあまり、内部統制の文書化（業務記述書や業務フロー、RCM等）を細かくしすぎると、報告のための報告書作成となってしまい、結局は余計な時間と労力を費やす羽目に陥ります。
内部統制報告は当該年度以降も継続し、1回では終わらないことを意識すべきです。
むしろ規程集や業務マニュアルなどの作成・整理など、日常的な対応に重点を置いた方がよいでしょう。
内部統制については、必要最小の標準化を行い、状況に応じて追加、変更してゆくやり方が現実的な対応といえます。
いずれにせよ、目標に向けて焦ることなく取り組む姿勢が大切です。