COBITとITILの関係

 COBITがIT統制の「全社レベル統制」と「IT全般統制」の業務方針を策定する上で非常に有効な標準ガイドとなることはご説明しました(149回)。一方、ITILは業務規定やルール作りに有効であるとITGI (IT Governance Institute:ITガバナンス協会)
 では推奨しています。IT統制の統制レベルでみますと、これらは上位、下位の関係にあります。

 COBITとITILのその関係を捉えていきます。

 COBITとITILの関係に入る前に、COSOとの関係から鳥瞰的に捉えてみましょう。

 日本版COSOでは「ITへの対応」が追記されました。日本版SOX法ではこの内部統制に準拠する必要があることは先に述べました(139回)。

 この「ITへの対応」に対処するためにはIT内部統制として「全社レベル統制」、「IT全般統制」、「アプリケーション統制」といったIT統制が必要になりました(145回)。

これらのIT統制に対して、COSOが推奨するCOBITがあり「全社レベル統制」の統制方針と「IT全般統制」の業務統制方針をカバーしています。

 ITILはCOBITのドメイン(4つのIT業務管理プロセス分野)で言えば、「運用と支援」 を中心として業務統制方針の下位レベルである業務規定やルール規定に有効なリファレンスとなっています。

 補足として、IT運用分野のセキュリティに関しては、ITILよりもISMS(Information Security Management System)を参照する方がより効果的な規定の作成が可能となります。

ITGIでは、ISMSを推奨というより、ISMSは基本インフラとして捉えているようです。

 COBITの4つのドメイン(管理プロセス)の34のITプロセスとITILの構成機能をマッピングしてみますと、COBITの「運用と支援」ドメインのITプロセス業務のほとんどをITILの構成要素の管理業務がカバーします。

 ITILでの「変更管理」と「リリース管理」業務はCOBITでは「調達と導入」ドメインのITプロセスの業務として対応しています。

 その他、ITILでの「変更管理」と「リリース管理」業務はCOBITでは「調達と導入」ドメインのITプロセスとして定義されていますが、ほとんどITの運用に係るCOBITのITプロセスはITILでカバーされています。

 内部統制が日常の業務の統制に重点があることを考えますと、COBITとITILを中心に整理をしていくことで IT内部統制の業務は体系化できることになります。

 今回はここで終わりです。

 次回はITILのIT業務の内容レベルを「ITIL業務の統制項目」としてテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする