公認内部監査人(CIA)tunetterのブログです。 内部監査の試行錯誤を記録していきます。

にほんブログ村 経営ブログ 経営学へ
いま何位?

2009年12月2日水曜日

ITガバナンスと監査(その1)

月刊監査研究2009年6月号に吉田洋名古屋文理大学教授の巻頭論文「IT環境における内部統制・ガバナンスの動向」が掲載されていました。

企 業活動が、IT(情報技術)と密接に関連する現在、ITへの対応が内部統制の有効性の判断基準のひとつとなっているという前提で、ITガバナンスや監査の ガイドラインであるCOBITやGTAG、ISO/IEC38500を紹介し、さらに、IT統制の成熟度について説明しています。

今回は「ITガバナンスと監査(その1)」としてCOBITについて書いてみます。

COBIT とはControl Objectives for Information and related Technologyの略です。2009年12月2日現在、Ver.4.1がISACA(=Information Systems Audit and Control Association)のWebサイトで公開されており、ダウンロード可能です。同サイトに日本語版もあります。
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

COBITと他のフレームワークとの関係が日本ITガバナンス協会のWebサイトに掲載されています。(http://itgi.jp/cobit/index.html)

出典:日本ITガバナンス協会



COBITの概要は以下のとおりです。
  • COBITはCOSOのフレームワークと整合したIT のコントロールのフレームワークである。
  • ビジネス目標とIT 目標とを関連付け、各目標の達成度を測定するための測定基準と成熟度モデルを提供する。
  • ビジネスプロセスオーナとIT プロセスオーナの責務を特定する。
上記を実現するためCOBITでは、ITについて以下のように4つのドメインと34のプロセスを設定します。

(1)計画と組織(10プロセス)
  • IT戦略計画の策定
  • 情報アーキテクチャの定義
  • 技術指針の決定
  • ITプロセスと組織及びそのかかわりの定義
  • IT投資の管理
  • マネジメントの意図と指針の周知
  • IT人材の管理
  • 品質管理
  • ITリスクの評価と管理
  • プロジェクト管理
(2)調達と導入(7プロセス)
  • コンピュータ化対応策の明確化
  • アプリケーションソフトウェアの調達と保守
  • 技術インフラストラクチャの調達と保守
  • 運用と利用の促進
  • IT資源の調達
  • 変更管理
  • ソリューションおよびその変更の導入と認定
(3)サービス提供とサポート(13プロセス)
  • サービスレベルの定義と管理
  • サードパーティのサービスの管理
  • 性能とキャパシティの管理
  • 継続的なサービスの保証
  • システムセキュリティの保証
  • コストの補足と配賦
  • 利用者の教育と研修
  • サービスデスクとインシデントの管理
  • 構成管理
  • 問題管理
  • データ管理
  • 物理的環境の管理
  • オペレーション管理
(4)モニタリングと評価(4プロセス)
  • IT成果のモニタリングと評価
  • 内部統制のモニタリングと評価
  • 外部要件に対するコンプライアンスの保証
  • ITガバナンスの提供
さらに、各プロセスについて以下の4点を示します。
  1. プロセスの説明
  2. コントロール目標
  3. プロセスのインプットとアウトプット、RACI チャート、目標、および測定指標
  4. プロセスの成熟度モデル
※どの権限を誰に委任すべきか定義するチャート

IT は、ともすると、ITのみの部分最適化(例えば必要以上の高性能サーバーの導入等)やITの脆弱さ(例えばコスト削減による情報セキュリティレベルの低 下)を起こしますが、COBITのフレームワークで整理をすることで経営計画とITの整合やバランスが実現しやすくなります。

0 件のコメント:

コメントを投稿