企 業活動が、IT(情報技術)と密接に関連する現在、ITへの対応が内部統制の有効性の判断基準のひとつとなっているという前提で、ITガバナンスや監査の ガイドラインであるCOBITやGTAG、ISO/IEC38500を紹介し、さらに、IT統制の成熟度について説明しています。
今回は「ITガバナンスと監査(その1)」としてCOBITについて書いてみます。
COBIT とはControl Objectives for Information and related Technologyの略です。2009年12月2日現在、Ver.4.1がISACA(=Information Systems Audit and Control Association)のWebサイトで公開されており、ダウンロード可能です。同サイトに日本語版もあります。
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm
COBITと他のフレームワークとの関係が日本ITガバナンス協会のWebサイトに掲載されています。(
COBITの概要は以下のとおりです。
- COBITはCOSOのフレームワークと整合したIT のコントロールのフレームワークである。
- ビジネス目標とIT 目標とを関連付け、各目標の達成度を測定するための測定基準と成熟度モデルを提供する。
- ビジネスプロセスオーナとIT プロセスオーナの責務を特定する。
(1)計画と組織(10プロセス)
- IT戦略計画の策定
- 情報アーキテクチャの定義
- 技術指針の決定
- ITプロセスと組織及びそのかかわりの定義
- IT投資の管理
- マネジメントの意図と指針の周知
- IT人材の管理
- 品質管理
- ITリスクの評価と管理
- プロジェクト管理
- コンピュータ化対応策の明確化
- アプリケーションソフトウェアの調達と保守
- 技術インフラストラクチャの調達と保守
- 運用と利用の促進
- IT資源の調達
- 変更管理
- ソリューションおよびその変更の導入と認定
- サービスレベルの定義と管理
- サードパーティのサービスの管理
- 性能とキャパシティの管理
- 継続的なサービスの保証
- システムセキュリティの保証
- コストの補足と配賦
- 利用者の教育と研修
- サービスデスクとインシデントの管理
- 構成管理
- 問題管理
- データ管理
- 物理的環境の管理
- オペレーション管理
- IT成果のモニタリングと評価
- 内部統制のモニタリングと評価
- 外部要件に対するコンプライアンスの保証
- ITガバナンスの提供
- プロセスの説明
- コントロール目標
- プロセスのインプットとアウトプット、RACI チャート※、目標、および測定指標
- プロセスの成熟度モデル
※どの権限を誰に委任すべきか定義するチャート
IT は、ともすると、ITのみの部分最適化(例えば必要以上の高性能サーバーの導入等)やITの脆弱さ(例えばコスト削減による情報セキュリティレベルの低 下)を起こしますが、COBITのフレームワークで整理をすることで経営計画とITの整合やバランスが実現しやすくなります。
0 件のコメント:
コメントを投稿