http://www.itmedia.co.jp/enterprise/articles/0612/01/news009.html

J-SOX法と呼ばれているのは、正確には「金融商品取引法」の一部を指す。

そして、実施基準案には「財務報告に係る内部統制」に関する事が書いてある程度なので
世間で思われているイメージ(?)の「ITに関して全部ガチガチにやれ」とは書いて無いのが事実かと。
(ただ、新会社法にも内部統制に関する実施基準はあったと記憶してます。ただ、実施は任意だったっけか。)
内容的には「当たり前(と思われる)の事を当たり前にやりましょうね」という感じでしょう。
ある程度(人によっては「相当」と思うかもしれませんが)あいまいになっているのは
世間の上場企業は企業形態も事業規模も様々ですので、「絶対に基準通りやれ！」と言う義務が発生しても
現場の実態にそぐわない可能性が高いからだと思っております。
実際にはその(実施)範囲は経営者の判断次第となりますが、現場サイドでは(経営者や監査法人から)何を
突っ込まれても鼻で笑えるように、準備しておく方が吉かと思います。
＃じゃ、一体何から手つけたらいいんかな？と言うのは、また追々書きますかねぇ