COBITがIT内部統制の核になることは前回お話しましたが、COBITでいう4つの管理
分野、「企画・計画と組織」「IT調達と開発」「ITサービス提供とサポート」「モニ
タリング」のIT内部統制における位置づけを捉えてみます。
COBITはこの4つの分野での業務能力を定義していますので業務改善方針を作成する
には好都合です。しかし、実際の行動に移すには業務規定や業務遂行のための
ルール・基準、作業手順などが必要になります。この分野は業務改善方針を具体化
した業務の管理や業務実行のためのガイドになります。このレベルに対応したISO等の
標準があります。
例えば、「ITサービス提供とサポート」業務にはセキュリティの確保のためのISMS
(Information Security Management System)、今年6月ISO27000を基に
JISQ27001、JISQ27002があります。また、IT運用サービスにはITIL(IT Information
Library)があり、ISO2000として2005年11月に制定されています。
「IT調達と開発」業務の分野ですとカーネギーメロン大学が提唱するCMMI
(Capability Maturity Model Integration)があります。CMMIではソフトウエア
の開発、購入、保守に関わる総合的な活動をマネージする能力を定義します。
ソフトウエア調達や開発に関する世界標準として位置づけられつつあります。
米国では、ITの全般統制のガイドとして、COBITを ITの計画~開発~運用に至る
ITガバナンスのガイドラインとして採用し、 ITガバナンスの具体的な実現方法と
してITIL を活用することがIT部門全体の 管理目標を実現する上で有効としていま
す。
IT統制の目標はITGovernance Instituteからの「サーベインズ・オクスリー法
(企業改革法)遵守のためのIT 統制目標」が活用されています。
日本版SOX法の実務指針が金融庁から2006年12月に発表される予定です。今までの
米国SOX法の引用経緯を考えますと、その指針はITGovernance Instituteからの
「サーベインズ・オクスリー法(企業改革法)遵守のためのIT 統制目標」と同様な
ガイドになると思われます。
ガイドが出てからでは2008年4月の内部統制実施には到底間に合いませんので、ITILや
ISMSで「ITサービス提供とサポート」業務の実務レベルのIT業務統制を進める企業が
増えています。
今回はここで終わります。
次回はIT内部統制の運用業務の統制ガイドとなっている「ITILの機能」をテーマに
取り上げます。