セキュリティ対策コラム米国企業改革法（SOX法）と内部統制（ガバナンス）その2

（1）はじめに

米国SOX法では、同法の適用を受ける企業が認定されたフレームワークを選択し、それに基づいて社内管理を行わねばならないと定められています。トレッドウェイ委員会組織委員会（COSO）は、1992 年にそうしたフレームワークを策定しており、SOX法 の主要監督機関である Securities and Exchange Commission（米国証券取引委員会： SEC）から承認を受けているため、このフレームワークは広く採用されています。

（2）フレームワークの概要

COSO フレームワークでは、社内管理を「目的達成に関して合理的な保証を提供するように設計され、企業の取締役会、経営陣、その他の者により発効されたプロセス」であると定義しています。

また内部統制の目的として、「業務の実効性と効率性」、「財務報告の信頼性」、および適用される「法令への遵守性（コンプライアンス）」の 3 つを挙げています。さらにこの目的を達成するために求められる構成要素（管理項目）として、以下の5つの項目をを挙げていますが、内部統制の「ねらい」と「構成要素」は、立体形で表現されています（図参照）。

• 「統制環境」：企業倫理、権限と責任、組織体制
• 「リスク評価」：リスクの明定、インパクトの分析・対応方針
• 「統制活動」：組織、権限体系と規約、手順等に基づく統制手続きの実施
• 「情報と伝達」：信頼できる情報の共有化
• 「監視活動」：体制、機能が的確・有効に働いているかの評価･検証

COSOフレームワークは日本でも、金融庁の金融検査マニュアルや日本版SOX法ともいわれる「金融商品取引法」、BIS（国際決済銀行）規制であるバーゼル内部統制基準書でも準拠しています。

（1）はじめに

企業の財務会計は、今やその多くをITによって支えられています。従って、ITによるガバナンスが求められ、またその具体的な指針となるITのフレームワークが提案されているところです。

（2）COBITフレームワーク

: IT の観点から COSO フレームワークを見直して策定されたもので、ITGI（IT ガバナンス協会） は COBIT に対し、特に SOX法に関わる検証を行い、その結果を「IT Control Objectives for Sarbanes-Oxley」という資料にまとめました。その中で、企業は「財務報告に対して、IT による強力な管理が行われているかどうか実証することを、第 1 の目標にすべきである」と提案し、また、情報セキュリティの専門家に、この資料を一読するよう強く勧めています。 COBITは4 つの領域と27 の IT プロセス、および 136 の詳細管理目標を持つものとなりました。4つの領域は「企画・計画と組織」、「IT調達と開発」、「デリバリと支援」、「モニタリング、エバリュエイティング」からなっています。

（3）ITIL（Information Technology Infrastructure Library）

英国商務局（OGC : Office of Government Commerce）が、ITサービス管理・運用規則に関するベストプラクティスを調和的かつ包括的にまとめた一連のガイドブックのことです。ITサービス管理を実行する上での業務プロセスと手法を体系的に標準化したもので、ITに関する社内規則や手順などの設定・見直しを行う際のガイドラインとして活用されます。

ITILはITサービスのSLM（サービスレベルマネージメント）やコスト管理の切り札として注目され初めており、ITシステムの運用管理におけるデファクトスタンダードになってきています。またITILは、ビジネスとの関わりでもベストプラクティスが記述されており、カバーする範囲がかなり広くなっています。その中心が以下に示します「サービスサポート」と「サービスデリバリ」です。

「サービスサポート」：日常的なシステム運用およびユーザーサポートに関して記したもので、1つの機能と5つのプロセスからなる。機能としては、ユーザーからの問い合わせ窓口となる「サービスデスク」、プロセスとしては「インシデント管理」「問題管理」「変更管理」「リリース管理」「構成管理」を規定しています。

「サービスデリバリ」：中長期におけるシステム運用管理に関する計画と改善についてまとめたもので、「サービスレベル管理（SLM）」、「可用性管理」「キャパシティ管理」「ITサービス財務管理」「ITサービス継続性管理」の5つのプロセスを規定しています。

COBITはガバナンスについて良く言及されていますが、範囲が広く具体性に欠けるところがあります。ITILは範囲が限定されていますが、ITの運用に関わるベストプラクティスを示していますので、より具体的な記述となっています。また、セキュリティについては良く知られていますようにBS7799がフレームワークになっています。

各フレームワークは夫々特徴を持っていますので、うまく組合わせて合わせて使いわけることが必要になってくるでしょう。