COBITによるITガバナンス

 今日はCOBIT を取り上げようと思います。というのは、そこで、PCAOB(公開会社会計
 監視委員会)がCOSOのフレームワークとIT統制に関してCOBITを推奨しました。
 そのため、IT内部統制はCOBIT を中心に進むこととなりました。“COBITとは何であろ
 うか?”そこから話を整理してみようと思います。

【COBITとは】
 COBITは“ITガバナンス”という用語が普及する原点となったシステム管理・ガイド
 ラインです。
 情報システム活用の仕組みの策定や情報システムのセキュリティの監査などを実施
 する専門家の団体であるISACA(Information Systems Audit and Control
 Association 情報システム監査コントロール協会)が策定したガイドラインであり、
 その目的を「CSOまたはCIOが組織のITガバナンス能力を内部統制するために作成され
 た成熟度モデル」としています。
 その内容は、
 ★内部統制に必要な34の測定のためのIT業務プロセスを定義し、
 ★内部統制するための組織が自分自身識別する業務遂行能力次元を定義しています。
 COBITではITガバナンスを成し遂げる構成要素は「7つの情報規準」、「5つのIT
 資源」、「4つの管理プロセス」の3要素からなるという。
 「7つの情報規準」とはITガバナンスの達成度を測定するための情報システムに対する
 目標です。
 経営活動にとって有効な情報を提供する目標である「有効性」、IT化による合理化
 目標としての「効率性」、必要な人に必要な情報を提供できる「機密性」、提供され
 る情報が正確なデータであることを保証する「完全性」、いつでもどこでも使える
 ための「可用性」、法令・規制を遵守する「準拠性」、そして処理の確実性を保証
 する「信頼性」をいい、この7つの規準をITガバナンスの目標としています。
 目標には達成するための対象が必要となります。その対象を「5つのIT資源」とした。
 IT化を推進するスキルを有する「人間」、IT化された「業務システム」、オペレー
 ティングシステムや通信技術等の「技術」、情報システムを稼動するためのITの
 「設備」、業務システム遂行のためのマスターやトランザクションデータの「デー
 タ」の5つのIT資源を挙げました。
 この5つのIT資源は業務で管理せざるを得ません。この業務を「4つの管理プロセス」
 として管理業務プロセスを定義したのです。その業務には情報システムを構築・運用
 していくプロセスが対象になります。IT戦略を立て、プロジェクト組織を運営・管理
 する「企画・計画と組織」プロセス、IT環境の調達と開発の実施を管理する「調達と
 開発」プロセス、情報システムのサービス提供と運用の支援を管理するIT業務を
 「デリバリーと支援」プロセスと定義しました。そして、このIT業務プロセスの実施
 の有効性を評価し改善策をとる「モニタリング」プロセスです。
 お分かりのように、
 COBITはIT化とIT運用のための内部統制の業務とそのプロセスを定義し、その成熟度を
 高めることでITガバナンスを確立することが出来るといっています。
 将に、IT化とIT運用に対する内部統制の仕組みをCOBITは作っていたことになります。
 PCAOB(公開会社会計監視委員会)がIT統制に関してCOBITを推奨する所以です。
 米国のITGovernance Instituteからは「サーベインズ・オクスリー法(企業改革法)
 遵守のためのIT 統制目標」としてCOBITを中心としたIT内部統制の実施ガイドが発表
 されました。今秋、発表予定の金融庁の内部統制の実施指針もこのガイドを基に作成
 されるようです。
 今回はここで終わります。
 IT統制の方針づくりはCOBITを中心としますが、全てにわたって適用できるわけでは
 有りません。ISO等の標準にはCOBITの業務プロセス規程よりより詳細で具体的な統制
 をガイドしているものがあります。IT環境の状況でその判断をすることが必要です。

次回は「日本版SOX法と各世界標準の位置づけ」をテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする