COBITとITガバナンス

“ITガバナンス”という言葉が至るところで使われるようになりました。
ただ、その定義はマチマチです。内部統制が進むようになって、米国のIT統制のフレームワークとしてCOBIT4.0をCOSOが採用したことで一気にITガバナンスが実践的
になってきました。
日本のJ-SOXにおいても経産省のガイドラインが内部統制の事例集として公表されました。IT統制の3つの分野である「IT全社的統制」、「IT全般統制」、「IT業務処理
統制」の定義と方針が明確になってきました。
しかし、ITガバナンスの定義で言いますと、通商産業省(現在の経産省)が平成11年公表した定義が一番分かり易いと思います。
 その内容は、“企業が競争優位性構築を目的に、IT(情報技術)戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力”と定義しています。
経営戦略に則って、ITを企画・計画、構築、そして運用し、経営目標の達成に導く組織能力ということです。

 有名になったCOBITですが、“COBITだけでITガバナンスは確立できるのでしょうか?”COBITは、ITプロセスの達成目標をIT成熟度としてITガバナンスを提供している
ことはご存知の通りです。
 ただ、COBIITの分野もしっかり押えておくことが必要です。内部統制のIT統制で言えば、IT全般統制とIT全社的統制の分野です。IT業務処理統制の分野のITプロセス
の達成目標は定義していません。

2006年J-SOX法が成立し、内部統制の整備が開始された時にITILやISMS(27000s)をやっていれば内部統制は問題ないという見解もかなり出ていました。
COBITとは言わなかったのです。
ITILやISMSは、IT全般統制の運用に関するIT統制が中心ですが、COBITと違いCOBITの設定している達成目標を実践する方法を提供していることです。
 内部統制は、最終的にその実践を見るのですから、ITILやISMSはその最前線の分野であったわけです。

 IT全般統制の運用分野は、COBITの設定した目標をもとに、当該プロセスの実践手順をITILやISMSを組み合わせることでITガバナンスが出来上がることが分かります。
他の、企画・計画、調達と導入、モニタリングの分野のITガバナンスは“COBITに加えどんなメソドロジーと組み合わせて創り上げるのか?”が出てきます。
計画と組織フェーズでは、ジェネリックモデルやBSC等が関係しますし、調達と導入フェーズではPMBOKやCMMI、モニタリングではBSCでしょう。
本来のアプリケーソンシステムに関しては、COBITではなく、BPMとPMBOKではないかと思っています。

今回はここで終わります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする