COBITはITガバナンスの成熟度を測るフレームワーク
COBITとは、アメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱しているITガバナンスの成熟度を測るフレームワークです。IT投資の評価、リスクとコントロールの判断、システム監査の基準などに使われています。経済産業省の「システム管理基準」もCOBITの要素を取り入れて構築されています。
システムトラブルや情報漏洩をはじめとする「リスク」という概念を前面に打ち出しているのが特徴で、安全な環境の下、ITを積極活用できる体制作りのために「達成すべきコントロール項目(統制項目)」を提示しています。
COBITは、各分野で「達成すべき統制項目を組織としてどのように実現するか」を提示しているCOSO、ITIL、ISO27000シリーズ、CMMI、PRINCE2とPMBOK、TOGAFなどの他のフレームワークとの関連性を持ち、これらを統合するためにも有用です。
COBITは、事業体のITガバナンスとITマネジメントに関わる、以下の5原則に基づいて作られています。
COBITは、ITの企画から運用に至るまでのフローを、「計画と組織」、「調達と導入」「デリバリとサポート」、「モニタリングと評価」の4つの領域(ドメイン)と34のITプロセスとして定義し、それぞれのプロセスについて、CSF(重要成功要因) / KGI(重要目標達成指標) / KPI(重要業績達成指標)と、そのレベルを0(不在)から5(最適化)までの6段階の成熟度モデルで定義しています。
COBITの4つの領域(ドメイン)
COBITでは、最上位の4つの領域は以下のように定義されています。
| 領域(ドメイン) | 定義 |
| 計画と組織 | IT戦略およびビジネス目的を達成させるうえでIT部門が最も貢献できるプロセスが含まれています。 |
| 調達と導入 | IT戦略を適切に実行に移すには、ITソリューションを特定、開発、または取得するのはもちろん、ビジネスプロセスの枠内で実行し、ビジネスプロセスに統合することが必要となります。 |
| デリバリとサポート | セキュリティや継続性を司るオペレーション、教育・訓練といったさまざまなITサービスの提供に関する領域です。 |
| モニタリングと評価 | 全てのITプロセスは、継続して定期評価の対象としてプロセスの品質及び統制要件に関する準拠の度合いを監視しなければなりません。 |
この4つの領域は、ITプロセスに適用される管理・ライフサイクルと整合性のある組織構造を構築する場合に、骨組みとして利用することができます。
COBITの成熟度モデルには、0~5の6段階があります
COBITでは、IT管理プロセスがどれだけ適切に定義され、運営されているかを測定する手段として、6段階からなる成熟度モデルが定義されています。組織に足りない部分があるとしたら、それはどこの問題化、どのような対策が必要か、といった事項を客観的に理解することができます。
0:存在しない
認識可能なプロセスが存在していない。対処すべき問題の存在が認識されたことがない。
1.初期
問題の存在と対処の必要性は認識されているが、標準化されたプロセスはなく、事例ごとに場当たり的な手法が用いられる傾向にある。
2.反復可能
同じ仕事を別の人が行っても、同様の手順で行われる程度のプロセスは存在する。しかし、標準化された手順を訓練及び伝達する正式な方法がないため、誤りが生じやすい。
3.定義済み
手順が標準化および文書化され、トレーニングを通じて伝達されている。しかし、標準化された手順に従うかどうかは個々の人員に任されており、定義されたとおりでないことが発生しても発見しにくい。
4.管理可能
手順の順守度を監視及び計測することができ、プロセスの有効性が疑われる場合には対策をとることができる。プロセスは常に改良が加えられ、良好なプロセスへとつながる。自動化及び各種管理ツールは部分的に使用されている。
5.最適化
継続して改良を行い、他部門と連携して成熟モデルを適用してきた結果として、プロセスは十分に寝られていてベストプラクティスの域に達している。IT部門は統合的に活用されてワークフローの自動化を実現し、品質と友好性を向上させるツールを提供しているので、適応性は高い。
COBITフレームワークはビジネスの目的を達成するために存在していますので、IT部門が34の統制プロセスの全てでレベル5を達成する必要はありません。COBITフレームワークを導入するにも、プロセスの成熟度を1レベル上げるためにも、コストが必要となることを留意しなければなりません。
COBIT for SOX(サーベンス・オクスリー法遵守のためのIT統制目標)
企業におけるITガバナンスの成熟度を測るフレームワーク(評価基準の体系)として各国で利用されているCOBITは、4つの領域(ドメイン)と34のITプロセスに分類されていますが、この項目の中から、米国SOX法に関連するものを抽出、整理して作成された文書がCOBIT for SOX(サーベンス・オクスリー法遵守のためのIT統制目標)です。
内部統制の実施にあたり、ガイドとすべき世界標準となっている枠組みとしては「COSOフレームワーク」が有名ですが、COSOはITに関する表記が少ないため、ITが業務に深く浸透している企業では、内部統制の構築及び評価の方法がよくわからないという指摘が多くありました。そこで、COBITのIT統制目標をCOSOの観点から整理してまとめてできたのが、COBIT for SOXなのです。
COBIT for SOXは、財務報告の信頼性に係るIT統制に焦点を絞り、SOX法対応におけるITの統制目標を説明しています。また、経営者やIT管理者、監査従事者を対象とした参考資料になることを意図した構成になっており、COBITやCOSOを交えながらの概念的な説明に始まり、後半部分では具体的な参考資料をいくつか例示しています。
COBITと日本版SOX法の関係
IT統制は、インフラに関わる「IT全般統制」と業務プロセスに関わる「IT業務処理統制」からなり、この2つは日本版SOX法の目的である「業務の有効性及び効率性」「財務報告の信頼性」「法令等の遵守」「資産の保全」を支える役割を担っています。またIT統制の中の関係において、IT全般統制がIT業務処理統制を支える役割を果たしています。したがって、IT全般統制はIT統制の強化においても、日本版SOX法への対応という点においても、根底をなしているということができます。
COBITは、まさにそのIT全般統制に焦点を当てたフレームワークであり、IT部門が責任を負う部分であるといえます。IT部門は、内部統制監査の指摘事項に受動的に対応するのではなく、日本版SOX法をITに関わる業務改革のきっかけと捉えて、能動的に対応することが求められます。
そのためには、まずITに関わる管理・運営プロセスの適正化を進めて足元を固め、そのうえで、COBITが有益な自己評価の基準とベストプラクティスに関する示唆を提供してくれるはずです。