IT成熟度モデル-その3

今回は、「内部統制の成熟度モデル」を取り上げてみようと思います。
内部統制における統制環境の状況と「内部統制の確立」の状態を成熟度レベルごとに一般例(付録3)で記述しています。自
社の成熟度を判断する上で概略的な指針となります。

COBIT4.0で内部統制の成熟度モデルを定義していますのは、COSOモデルでIT統制のリファレンスフレームとして取り上げられたことに起因していると思います。

内部統制の成熟度モデルは、「内部統制環境の状況」と「内部統制の確立」の項目で成熟度レベルを記述しています。

「内部統制環境の状況」とは、内部統制の整備状況のことであり、「内部統制の確立」とは内部統制の評価体制に当ります。

COBITの4つのドメインで言いますと、「計画と組織」、「調達と導入」、「サービス提供とサポート」が内部統制環境の状況で捉え、「モニタリングと評価」を内部統制の確立で捉えています。

金融庁や経産省のガイドラインでは、それぞれ「内部統制の構築」と「内部統制の評価」と表現していますが、同じことです。

成熟度レベルの表記は、一般成熟度レベルの表記と同じで、レベル0から5までは、それぞれ「不在」、「初期/その場対応」、「再現性はあるが直感的」、「定められたプロセスがある」、「管理され、測定可能である」、「最適化」です。

成熟度の記述内容を成熟度内容は成熟度属性表の視点で見てみましょう。

成熟度レベル3の記述を取り上げますと、「内部統制環境の状況」においては、“ポリシー、標準および手続が整備され、実行責任が認識されているが、評価プロセスの文書化は未整備”というの がキー表現。

「内部統制の確立」では、“重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されている”がキー表現です。

成熟度レベル4になりますと、整備状況に“ツールと自動化” の要素が加わり、評価には“ビジネスプロセスオーナーの説明責任”が追加されてきます。

オーナーの説明責任とは、Accountabilityといわれ、意思決定行為に係らず、ある組織的な影響に対して合理的に説明をする責任を言います。
内部統制での説明責任は経営者が有することになります。
決算事項で不正が発生した場合、経営者は“知らなかった”とはいえないし、言ったとしても責任は取る必要が出てきます。

内部統制の成熟度では、内部統制の整備と評価でその属性の視点が異なってくることは想像できると思います。

内部統制の成熟度レベル4に焦点を当て、内部統制の成熟度属性記述を参考に見ておきましょう。

今回はここで終わります。

次回は、「IT成熟度モデル-その4」で、内部統制の成熟度属性記述を取り上げます。