2007年2月15日、「財務報告に係る内部統制の評価および監査に関する実施基準（以下"実施基準"）」が承認され、企業会計審議会により公表されました。 この実施基準には、米SOX法と比較して以下のような特徴が見られます。

Direct reportingの不採用

実施基準においては、監査人は米SOX法が要求するように財務報告に係る内部統制の有効性を自ら評価し、意見するのではなく、 企業の経営陣が行った内部統制の有効性評価が妥当なものかどうかについて意見することとされています。

内部統制評価の対象範囲について

多くの米国上場企業で米SOX法対応に多大なコストがかかったことへの反省を踏まえ、 実施基準では（全社的な統制などの評価を除き）連結グループ全体の2/3程度の売上高を占める事業拠点を対象として内部統制の評価をすればよいとしています。 また、各事業拠点では売上、売掛金、棚卸資産といった企業活動の根幹をなすプロセスに加え、 デリバティブ取引や繰延税金のように不正や虚偽記載が発生するリスクが高いプロセスに絞って統制の評価をすればよい、という記述もあり、 具体的な数値やプロセス名を示して企業側が過大な対応をしなくていいような配慮をしています。 しかし一方では、米SOX法でも対象範囲外とされていた持分法適用関連会社を内部統制評価の対象に含めるなど、企業側が対応に苦慮しそうな面もあります。

ITを使った統制について

実施基準では、ITを使った統制の評価を重要な課題としており、IT統制とその評価についての記述が多くあります。 しかしこれによって、ITサービス企業が、ITによる統制の導入が“日本版SOX法”対策に必須であるかのように喧伝する事例が見られるなど、皮肉な結果も招いているようです。

実施基準自体の評価は分かれるところでしょうが、いずれにしてもこの公表によって、適用が始まる2008年4月1日以降開始会計年度に向けてようやく各上場企業の“日本版SOX法”対策が本格化しています。