IT成熟度モデル-その4

今回は、「IT成熟度モデル-その4」で、内部統制成熟度モデルの成熟度属性記述を取り上げてみようと思います。

内部統制成熟度レベル4を例として引用し、「内部統制環境の状況」と「内部統制の確立」の記述を「6つの成熟度属性の観点」で検証してみましょう。

「内部統制環境の状況」とは、ポリシー、標準および手続が整備され、実行責任が認識されている状況で、日本版内部統制での「内部統制の整備」に当たります。
「内部統制の確立」とは、重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されていることで、日本版内部統制での「内部統制の評価」に当たります。

(1)「内部統制環境の状況」からその記述のレベルをその中のキーメッセージからみてみましょう。

★“効果的な内部統制およびリスク管理環境がある。” の表現は、重要性の「認知
および周知」レベルの有無を表しています。

★“文書化された正式なコントロール評価が煩雑に実施されている。”の表現では、
「標準および 手続の存在」の有無を表現し、

★“多くのコントロールは自動化されており、定期的なレビューの対象になって
いる。”の記述と“コントロールの自動化に、限定的ではあるが戦術的に技術が
使用されている。”の記述があり、「ツー ルと自動化」の視点を述べています。

★“マネジメント層は、コントロールに関する問題をほとんど発見できるが、全ての
問題が特定されるわけではない。”においては「スキルと専門知識」のレベルを
表現しています。

★“特定されたコントロール上の不備に対応するため、一貫したフォローアップが
行われている。”の表現は、実行責任を記述しています。

(2)「内部統制の確立」では、
★“関連するビジネスプロセスオーナーの全面的な協力と同意を得て、ITプロセスの
重要性が定期的に定義されている。”とあり、評価のための「認知および周知」
レベルを記述しています。

★“主要な利害関係者が関与する詳細且つ正確な分析の実施後に、これらのプロセス
の実際の成熟 度はポリシーに基づいて、コントロール要件の評価が実施されて
いる。”は、「評価の標準手続」のレベルを表します。

★“評価の説明責任が明確に定められ、割り当てられている。改善戦略が投資対効果
検討書によって裏付けられている。”では、「説明責任の存在とオーナーとしての
説明合理性」を明確化しています。

★“期待される結果を達成する過程における成果が、一貫してモニタリングされて
いる。コントロールの社外レビューが時折行われている。”は、「達成目標の設定
および測定結果」に対するモニタリングレベルを表現しています。
内部統制の場合は、内部統制の構築と評価といった2つのプロセスが必要ですので
成熟度の観点も別々の要求となっていきます。
COBITのフレームワークとしての構成要件については述べてきました。
COBITの構成要件を再整理して全体像を捉えます。
その後、IT達成目標に向けてビジネス目標の展開プロセスと関係要素を整理し
ます。

今回はここで終わります。
次回は、「COBITフレームワークの全体像」を取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする