経営に生かすITガバナンス(7) IT統制を経営に生かすために - COBITの上手な活用法

COBITの知名度が高まったのは、J-SOX対応で「COBIT for SOX」が多くの企業で用いられたからだといえよう。COBITは、もともとSOX法対応のために策定されたものではなく、ITガバナンス構築のためのツールとして策定されたものである。

ITガバナンスは、前回説明したように、ITを経営目標の達成に寄与するようにするための仕組みやプロセスであり、COBITはその構築に必要な仕組みを示したものである。COBITという言葉は知っていても、その内容を理解している人は必ずしも多いとはいえない。今回は、COBITを上手に利用するためのポイントを解説する。

COBITとは何か

COBITは、ITガバナンス協会(IT Governance Institute、以下ITGI)が公表しているもので、「Control Objectives for Information and related Technology」の略称。ITGIはCOBITについて、以下のように説明している。

「ドメインとプロセスで構成されるフレームワークで、優れた実践方法(手法)を示し管理しやすく、論理的な構成でアクティビティを提示するものである。さらに、アクティビティ(activity)を、管理しやすく論理的に理解しやすい構成で提示するものである」(COBIT 4.0 - 日本語訳、p.9)

つまりCOBITは、ITガバナンスに必要なフレームワークを示したものだといえる。COBITを使えば、ITを適切に管理する仕組み(ITガバナンス)を構築できることになる。尚、COBITは現在、4.1(英語版)が公表されているので、それも参照されたい。

COBITは目的に応じて使い分けを

COBITは、経済産業省の「システム管理基準」などと比較すると、以下の点に特徴がある。COBITを利用する際には、これらの特徴を生かすことが大切である。

ビジネスの重視(ビジネス目標とIT目標の関連付け)
プロセスの重視(34のプロセス)
5つの重点領域(戦略との整合性、価値の提供、資源の管理、リスクの管理、成果の測定)
ガバナンスツールの提供(成熟度モデル、メトリックス、バランススコアカードなど)
経営層・管理層システム監査人など、使う人に合わせた多様なツールの提供

COBITは、様々なツールから構成されており、これらのツールの総称がCOBITである。上記で説明したように、経営層や管理層のためのツール(Board Briefing on IT Governance,2nd Edition及びManagement Guidelines)、担当者のためのツール(Control Objectives)、システム監査人のためのツール(IT Assurance Guide)、SOX対応(COBIT for SOX)などがあり、その内容は多様である。COBITを使って何をやりたいのか、誰がどう使いたいのかを考えて、必要なツールを選択すればよい。

COBIT普及度は38.8%、"ITのためのIT"克服も可能に

COBITの普及度は、どの程度なのだろうか? わが国では、経済産業省の「システム管理基準」を用いてITを管理する仕組みを構築している企業も少なくない。日本情報処理開発協会(JIPDEC)の調査によれば、IT統制の整備・運用において、COBITのプロダクトの一つである「COBIT for SOX」が「非常に役立った」または「役立った」とする企業は43.5%だった。

また、「COBIT for SOX」を含むCOBITのいずれかのツールが「非常に役立った」または「役立った」とする企業も38.8%であった。こうした結果を見ると、COBITは何らかの形で普及が進んでいると考えてよいのではないだろうか(「ITと内部統制に関する調査研究報告書」、2008年3月)。

COBITはビジネス目標の達成度を重視しているので、COBITをうまく利用すれば、ITを通じて経営目標や業目標を達成する組織能力が向上する。「"ITのためのIT導入"に終わってしまい、ITを導入しても顧客獲得や効率性向上などにつながらない」というようなことも、起こりにくくなる。COBITを導入することによって、新しいITの導入自体に関心を持つよりも、それが経営にどのような影響及ぼすのかということに関心を持つという効果もある。

リスクに注目してCOBITを利用する

COBITをそのまま導入しようとしても、導入作業や運営の手間が大変であるという声をよく聞く。COBITでは、ITガバナンスの確立に必要なコントロールを網羅的に織り込んであり、「成熟度モデル」「メトリックス」「バランススコアカード」などの手法が示されているが、これをそのまま導入しようとすると、自社の状況に合わないのが普通である。COBITは、そこに示されたコントロールの意味を理解して、自社にとって必要なコントロールだけを整備すればよいのである。

COBITを利用する際は、自社の企業文化、風土、IT環境、ビジネス環境などを踏まえて、成熟度モデル、メトリックス、バランススコアカードなどを自社向けに手直しして導入するとよい

尚、極端に言えば、COBITの考え方だけを導入する方法もある。例えば、管理指標はCOBITと異なっても、成熟度モデルの考え方やバランススコアカードの考え方を利用したりすることが考えられる。

COBITを上手に利用するためには、COBITに示されたコントロールの意味を理解することが重要である。コントロールを理解するということは、そのコントロールが何のために必要なのか、どのようなリスクに対応するためのものなのか、を理解することである。

COBITを理解するということは、ビジネス目標を達成する上でどのようなリスクがあるのかを理解するということでもある。リスクを理解できるようになれば、自社のビジネス目標達成のために、どのようなITリスクがあるのかを比較的容易に把握することが可能になる。

リスクを理解できるようになれば、どのようなコントロールが必要になるのかは比較的分かりやすい。後は、リスクに対応したコントロール(COBITに示されたコントロール)を構築すればよい。これがCOBIT利用の上手なポイントである。