• Bookmark

COBIT 5 によるITガバナンス導入のための6つのヒント

Juan Carlos Morales、CISA、CISM、CGEIT、CRISC著

COBIT Focus | July 2014 English

Juan Carlos MoralesITは機会、イノベーション、競争上の優位を生み出す戦略的要素となりました。しかし同時にITは情報の信頼性、整合性、可用性に関わる内在的なリスクを伴うため、対応を必要としています。


利害関係者に価値をもたらすには、ITの適切なガバナンスとマネジメント(GEIT)が必要です。COBIT 5は企業が効果的なGEITを通じて目標を達成し価値を創出できる包括的なフレームワークを提供します。COBIT 5フレームワークを使用してITガバナンスまたは継続的なプロセス改善を導入するためのヒントを以下に示します。

  1. 上級経営者の支援の獲得:1 COBIT 5の主要な成功要因の1つは、経営のトップが取組みに関して、方向付け、命令、及び継続的なコミットメントを行うこと、ガバナンスおよびマネジメントプロセスをサポートするすべての関係者が、ビジネス目標とITの目標を理解することです。ITガバナンスの原則1(King IIIレポートの第5章参照)では、取締役会はITガバナンスに説明責任を負い、ITの戦略的重要性を理解し、ITガバナンスに対する責任を取り、これを会社の議題に上げることが必要だと記されています。King IIIの原則ではさらに、「 ITGIおよび ISACA (COBIT およびVal IT)、 国際標準化機構(ISO)の関係機関 (ISO 38500など)と、OCEGなど他のさまざまな組織によって国際ガイドラインが策定されました。 これらはたとえば、企業の情報ガバナンスの妥当性を監査するためのフレームワークとして使用できます。 しかし1つのガイドラインですべてに対応することは不可能です」2 と述べています。
  2. 企業の外部および内部のコンテキストを理解し、ビジネス目標の達成能力に影響する可能性がある関連要因を特定3 監査やITガバナンス、マネジメントシステム、継続的な改善イニシアティブなどのいずれに従事する場合も、最初に企業のコンテキストと利害関係者のニーズを理解することが必要です。トレッドウェイ委員会組織委員会(COSO)の「Internal Control - An Integrated Framework(内部統制-統合フレームワーク)」の原則6では、組織はリスクの特定と評価を可能にするために十分な明確さをもって目標を設定する必要があると記載されています。4 COBIT 5 フレームワークは、達成目標のカスケード(展開)モデルとバランススコアカード (BSC) ドメインを利用してビジネス目標に焦点を当てています。
  3. 問題点の特定:5 問題を特定することは、ITガバナンスイニシアティブの開始点として、経営幹部レベルに変化への要望を生じさせます。 これは改善イニシアティブを実行する必要性や、必要な切迫感を持つというニーズが認識され受け入れられるために役立ちます。 場合によってはITの問題は、ITガバナンスの不足や欠如という、より大きな問題の症状にすぎないことがあります。
  4. ビジネスケースによるプロジェクトの正当化:6 実際的なソリューションの導入では、ビジネスケースによって正当化されたプロジェクトの定義を行います。 ビジネスケースはプロジェクトの効果を特定し、コンプライアンスのモニタリングを可能にします。 ビジネスケースは価値創出に重点を置くための価値あるビジネス管理ツールです。ビジネスケースは以下を含む必要があります。 事業面の効果、必要なビジネス上の変更、必要な投資、制約、依存関係、役割、責務、説明責任及び効果の実現をモニタリング/計測するための計画です。
  5. 短期で成果が実現できる事項に焦点を合わせ、導入が最も容易で最も有益な改善を優先すること:7 短期間で成果が上がれば信頼性を獲得できます。 さまざまな改善の選択肢の中で、最も効果があるものを優先しながら、同時に短期の成果の実現が必要であることも考慮します。したがって最も導入しやすいものを選択します。COSOフレームワークの原則11では、組織がITの全般統制を選択し開発する必要があることが記載されています。コントロール活動はCOBIT 5の37のプロセスの活動の一部です。とりわけ、DSS06 ビジネスプロセスコントロールの管理は、ビジネスプロセスの自動コントロールやアプリケーションコントロールに組み込まれたコントロール活動の適切な管理が確実に行われるようにします。
  6. COBIT 5 フレームワークの導入と、企業の独自のコンテキストへの適応:8, 9 ベストプラクティスを導入し、ポリシーとプロセスの変更へのビジネスアプローチに合うよう適応させます。COBIT 5プロセスガイダンスには、IT 関連企業のプロセスの実践手法や活動が、IT関連の目標である「ITに関連する事業リスクの管理」、「ビジネスが外部の法令と規制に準拠するための IT の準拠性とサポート」、「内部ポリシーへのITの準拠」にどのように対応しているかが示されています。COSOフレームワークの原則10では、企業が目標達成に伴うリスクを需要可能なレベルへと軽減するために役立つコントロール活動を選択し作成する必要があることが示されています。 COBIT 5の37のプロセス向けのCOBIT 5プロセスイネーブラーガイダンスは、企業がコントロール活動やその他の取り決め(例えば、職務の構造的な分離など)を選択し作成できるよう支援します。特に、IT関連の企業プロセスのために検討すべき実践手法や活動について対応します。

Juan Carlos Morales、CISA、CISM、CGEIT、CRISC

彼は、ITガバナンスとリスク管理コンサルタント兼トレーナーであり、APMG認定のCOBIT 5の講師です。


後注

1 ISACA、「COBIT 5 Implementation(COBIT 5の導入)」、米国、2012年、第3章
2 King Committee on Corporate Governance, The King Report on Corporate Governance (King III)(企業のガバナンスに関するKing委員会 企業のガバナンスに関するKingレポート)、南アフリカ、2009年
3 ISACA、「COBIT 5 Implementation(COBIT 5の導入)」、米国、2012年、第3章および第6章
4 トレッドウェイ委員会組織委員会(COSO)、「Internal Control - An Integrated Framework(内部統制-統合フレームワーク)」、2013年
5 ISACA、「COBIT 5 Implementation (COBIT 5 の導入)」、米国、2012年、第3章
6 ISACA、「COBIT 5 Implementation(COBIT5の導入)」、2012年、第6章と付録D
7 ISACA、「COBIT 5 Implementation(COBIT 5の導入)」、米国、2012年、第3章
8 ISACA、「COBIT 5 Implementation(COBIT 5の導入)」、米国、2012年、第3章
9 ISACA、「COBIT 5:Enabling Processes(COBIT 5: プロセスの実現)」、米国、2012年