「財務報告に係る内部統制の評価及び監査に関する実施基準」（以下金融庁実施基準） に於いて、４つの目的と６つの基本的要素は下記の通り定められています。
米国版SOX法と比較すると、目的として「資産の保全」、基本的要素として 「IT（情報技術)への対応」が追加されています。

●４つの目的

業務の有効性及び効率性

財務報告の信頼性

事業活動に関わる法令等の遵守

資産の保全

●６つの基本的要素

統制環境

リスクの評価と対応

統制活動

情報と伝達

モニタリング（監視活動）

ＩＴ（情報技術）への対応

「IT（情報技術）への対応」は、金融庁実施基準では「IT環境への対応」と「ITの利用及び統制」に 分割されています。

・IT環境への対応
「IT環境への対応」は、IT統制構築に於ける要素というより、経営層が自社で利用している 情報技術及び社会における状況に対し無関心ではいられない、と釘を刺している部分と 考えたほうが理解しやすいでしょう。

・ITの利用及び統制
「ITの利用及び統制」はさらに「ITの利用」「ITの統制」の２つに分割されています。
一つ目のパートの「ITの利用」部分は、主に他の５つの基本的要素に対しITを活用することで、より確実に 実現する事を主眼としているため、どちらかといえば他の基本的要素の中で検討すべき事項と なります。

従って二番目のパートの 「ITの統制」部分が、内部統制を実現するために企業が実施すべきことを 具体的に表現している と言えます。

「ITの統制」部分は非常にISMSとの親和性が高いと考えられます。 金融庁実施基準における「ITの統制」を構成する２項目「組織目標を達成するための ITの統制目標」、「ITの統制の構築」を眺めてみると、「組織目標を〜」部分は ISMSが適切に運用されている限り、基本的には実現されていると考えることが可能です。

その理由として、金融庁実施基準内で挙げられている「可用性」「機密性」はISMS内 でも規定されていること、「信頼性」「準拠性」に関しても枠組み内で評価可能で あること、そしてISMS自体がPDCAサイクルを回しながら改善を進めるための 仕組みであるため、結果として「有効性及び効率性」が実現されるといえるからです。

さらに「ITの統制の構築」のうち、「ITに係る業務処理統制」は具体的に実装すべき内容、 「ITに係る全般統制」は実装するために必要な基盤を列挙していますが、これらの項目は ISMSの管理策を実施することを通して実現できます。

従って、ISMSフレームワークを活用することによりIT統制が整備されていることの 証明が容易になる、と言えるでしょう。

日本版SOX法のIT統制構築に於いて、有用といわれているフレームワークとしてISMS 以外に、COBIT for SOX、ITIL(ISO20000)等が挙げられます。 但し、COBIT及びITILはフレームワークの特性上初期の負荷がISMS以上に大きいこと、 さらに国内での活用例がまだ少ないこともあり、 まずはISMSで最低限の基盤を整備し、その上でさらに高いレベルを実現する 必要がある場合にCOBIT及びITILのフレームワークを導入した方が スムーズにIT統制構築のプロジェクトを進めることができるでしょう。

※ISO270001に限らず、他のフレームワークを応用する場合はそのフレームワークと 金融庁実施基準の対象としている範囲の違いを考慮する必要があります。 金融庁実施基準では、「財務報告に対して影響のある要素」が対象となるため、 他フレームワークより狭くそして深いスコープになる場合があります。

TRIANGLE 27001 Enterpriseでは、業務フローを起点に情報資産の洗い出しから リスクアセスメントまでを行っています。 業務フロー起点で全ての作業を行っていることから、情報資産と業務の結びつき、 情報の流れの把握が容易にできます。

日本版SOX法では、業務の中でどのようなリスクが発生するかを識別し、対応することが 求められています。そのことから、業務と情報の結びつきを把握した上でISMSに基づいた マネジメントシステムを構築することにより、より日本版SOX法におけるIT統制のフォーカスに適合した 統制環境を構築することが可能となります。