第2回　公的基準やフレームワークの利用実態
参考度トップは「COSO」、経産省の基準も上位に

2007.08.09

上河辺康子
財団法人日本情報処理開発協会調査部

　本連載では、内部統制の整備に不可欠な業務プロセスや情報システムの見直しの要点を探るため、「IT統制に関する実態調査」の分析結果を紹介している（末尾の「調査の概要」を参照）。第1回では、見直しに役立つ「ツール」を取り上げ、上場企業における利用状況と、利用時の有効性に対する評価に関する調査結果を分析。内部統制の整備に利用するツールでは「文書化支援」や「文書管理」、IT全般統制を支援するツールでは「認証管理」や「クライアントPC管理」のニーズが高い傾向にあることを紹介した。

　第2回である今回は、企業がIT全般統制を確立する上でガイドラインとなりうる、公的基準やフレームワーク（以下、これらを総称して「フレームワーク」と呼ぶ）の利用状況を取り上げたい。調査対象は、(1)COSOフレームワーク、(2)COBIT、(3)COBIT for SOX、(4)ITIL、(5)CMMI、(6)システム管理基準／同監査基準、(7)情報セキュリティ管理基準／同監査基準、(8)FISC（金融情報システムセンター）のガイドライン、(9)JIS Q 15001：2006、(10)JIS Q 27001：2006（ISO／IEC 27001：2005）である。

　第1回でも示した通り、内部統制の対象とする業務範囲については、回答企業の68.4％が「財務報告に関わる業務プロセス」を挙げ、現状では内部統制整備の取り組みが日本版SOX法（金融商品取引法）を強く意識したものであることが分かった。(1)のCOSOは、米SOX法（企業改革法）が準拠するフレームワークであり、日本版SOX法への対応を目的とした内部統制整備に役立つガイドラインとして、まっさきに思い当たるものだ。また(2)～(10)は、元々の目的や対象こそ様々だが、いずれもITや情報セキュリティに関るフレームワークとして国内外で認知されている。

　なお、調査実施時期（2006年12月～2007年1月）の直後に公開された、金融庁の「実施基準」、および、経済産業省の「システム管理基準追補版（財務報告に係るIT統制ガイダンス）」は調査対象に含めていない。また、IT全般統制を確立する上でのガイドラインを調査するという観点から、金融商品取引法も今回は対象に含めていない*1。

「COSOフレームワーク」を参考にする企業が6割近くに

　まず、個々のフレームワークの認知度と利用状況に関する結果から見てみよう。フレームワークの種類ごとに、回答企業が「参考にした」「参考としていない」「知らない」のどれに該当するかを調査した（図1）。

図1●公的基準やフレームワークの利用状況（参考にしたか）と認知度（知っているか）
[画像のクリックで拡大表示]

　「参考にした」という回答の割合が最も高かったのは「COSOフレームワーク」（56.6％）、2番目に高かったのは、経済産業省が策定した「情報セキュリティ管理基準、同監査基準」（50.3％）で、いずれも過半数を超えた。同じく経産省が策定した「システム管理基準、同監査基準」（45.5％）、ITガバナンスのフレームワークなどをまとめた「COBIT」（45.4％）、SOX法対応に特化したCOBITである「COBIT for SOX」（43.5％）が、4割台の高率で続いた。これらは、「参考にした」の割合の方が、「参考としていない」の割合よりも高い。このように、米SOX法に関連のあるフレームワークや、経済産業省による一連の管理基準は、回答企業の過半数ないし半数近くが参考にしていることが分かった。

　一方、個人情報保護の規格であり「プライバシーマーク制度」の認証基準である「JIS Q 15001:2006」と、情報セキュリティマネジメントシステムの規格である「JIS Q 27001:2006」は、「参考としていない」の割合が「参考にした」の割合を上回った。また、システム運用管理のガイドライン「ITIL」と、システム開発の品質に関する成熟度モデル「CMMI」では、「参考としていない」が過半数を占める。「CMMI」については、「知らない」の割合も33.9％と、他のフレームワークに比べて高かった。このような結果が出た一因としては、これらのフレームワークが開発や運用に特化されたものであり、認証の仕組みでもないことが考えられる。

　なお、選択肢に挙げた項目のほかに「その他」欄を設け、具体的なフレームワークの名前を記述してもらった。その結果、「参考にした」という回答の絶対数は12件と非常に少なかったものの、品質マネジメントシステムの規格である「ISO9001」や、調査実施当時は「公開草案」しか公表されていなかった金融庁の「実施基準」などが挙がった。

大企業は複数のフレームワークをまんべんなく利用

　次に、フレームワークを「参考にした」という回答の割合を、回答企業の従業員規模別に比較してみた。すると、ほぼ全てのフレームワークにおいて、規模が大きいほど「参考にした」の割合が高い傾向にあることが明らかになった（図2）。

図2●回答企業が参考にした公的基準やフレームワーク（全体および従業員規模別）
[画像のクリックで拡大表示]

　従業員規模1000人以上の大規模企業では、「COSOフレームワーク」（68.0％）、「COBIT for SOX」（57.4％）、「COBIT」（57.2％）が上位を占めた。しかし、4位の「情報セキュリティ管理基準、同監査基準」と5位の「システム管理基準、同監査基準」も、回答企業の5割以上が参考にしており、回答者全体で上位に挙がった5つのフレームワークを中心に、まんべんなく手に取っている印象を受ける。

　一方、従業員規模300人未満の小規模企業では、「参考にした」フレームワークとして、「情報セキュリティ管理基準、同監査基準」（47.2％）と「システム管理基準、同監査基準」（40.0％）が1位と2位に挙がった。3位には「COSOフレームワーク」（37.8％）が続いた。しかし、回答者全体では上位に挙がった「COBIT for SOX」と「COBIT」よりも、「JIS Q 15001:2006」と「JIS Q 27001:2006（ISO/IEC 27001:2005）」を「参考にした」とする割合のほうが高かった。

　なお業種別の分析では、全般的に「金融・保険業」の回答企業において「参考にした」の割合が高い、といった特徴がある。

*1　金融庁の「実施基準」や経済産業省の「システム管理基準追補版」のほかに、今回の調査では取り上げなかった「ISO9001」や「ISO20000」などのマネジメントシステムを活用する企業もあると思われる。当協会は内部統制整備に有効なフレームワークの範囲を再検討したうえで、今年度も引き続き調査する予定である。