企業の事業拡大には、IT分野の発展が必須となってきています。たしかに、ITを使ったサービスや業務改革は企業の事業規模拡大に欠かせません。しかし、ITの発展と同時にリスク管理もしていかなければなりません。

そのために必要となるのが、組織のITガバナンスとマネジメントの成熟度を評価するのに役立つフレームワーク「COBIT」です。

そこで当記事では、企業のIT評価に欠かせないCOBITについて解説していきます。企業のIT分野に対する評価体制があいまいだった方は、今回の機にCOBITを利用してみてください。
　

COBITの概要

　
COBIT（Control Objectives for Information and related Technology）とは、アメリカの情報システムコントロール協会（ISACA：Information SystemsAudit and Control Association）が提唱しており、事業体のITガバナンスとITマネジメントの円滑な運用を可能とするためのフレームワークです。

ITガバナンスとは、企業が経営をおこなうために必要なIT戦略のことです。ITガバナンスについては、以下の記事で詳しく解説しているので、ぜひ参考にしてください。

一方でITマネジメントとは、IT戦略を管理していくことです。これら2つを統合的に管理していくのに役立つのが「COBIT」になります。

COBITでは、効果の実現・リスクの最適化・資源の最適化などのバランスを保ちつつ、ITにより最適な価値をつくりだす支援ができるのです。

COBITが誕生した1996年以降は、ビジネスやITの急速な変化に対応したアップデートを重ねています。最近では、2012年に策定された「COBIT 5」に取って代わる「COBIT 2019」が策定されました。
　
　

COBITの5原則

COBITには5つの原則があります。
それぞれみていきましょう。
　

１．ステークホルダーのニーズを充足

1つ目の原則は、「ステークホルダーのニーズを充足」です。

ステークホルダーとは、利害関係者という意味です。金銭が発生する相手だけではなく、企業と関わるすべての人がステークホルダーに該当します。

企業は、株主・従業員・取引先といった利害関係者のために事業をおこなう必要があります。企業のためになることばかりをしていても、結果的に企業の成長にはつながりません。関わってくれるすべてのステークホルダーのニーズを把握し、答えていくための取り組みをしていかなければならないのです。
　

２．事業体全体の包含

2つ目の原則は、「事業体全体の包含」です。

企業は、全体にわたる包括的な視点から、情報とそれに関連する技術のガバメンスとマネジメントを取り扱う必要があります。関連するものとは、具体的に以下の通りです。

• プロセス
• 組織構造
• プリンシプル、ポリシー、手続き
• 情報
• 文化、倫理及び行動
• 人、スキル及び競争力
• サービス、基盤及びアプリケーション

　
これらの要素は、COBITにおいて必要不可欠な要素として扱われています。つまり、IT機能についての定義だけではなく、事業価値創出の観点での要素も取り入れるということです。

対象範囲は、企業にあるすべての部門で、すべてのプロセスをカバーしていなければなりません。
　

３．一つに統合されたフレームワークの適用

3つ目の原則は、「一つに統合されたフレームワークの適用」です。

COBITでは、他の関連する標準やフレームワークと矛盾が生じないようにしています。事業体とIT関連は以下の通りです。

• 事業体：COSO、COSO ERM、ISO 9000、ISO 31000
• IT関連：ISO 38500、ITIL、ISO27000シリーズ、TOGAF、PMBOK/PRINCE2、CMMI

つまり、COBITは他に関連する事業体やIT関連の要素が盛り込まれているため、すべての内容を含んだ統合的なフレームワークになっています。
　

４．包括的アプローチの実現

4つ目の原則は、「包括的アプローチの実現」です。

COBITでは、企業のITガバナンスとマネジメントを効果的に実践するために、先述した7つのカテゴリーを必要不可欠な要素として定義しています。

必要不可欠な要素を定義することで、ITガバナンス要因を定義することにもなるのです。
　

５．ガバナンスとマネジメントの分離

5つ目の原則は、「ガバナンスとマネジメントの分離」です。COBITでは、ガバナンスとマネジメントの間に明確な区別をおこなっています。

ガバナンスは、下記のサイクル（EDMサイクル）を回すことで企業の目標が達成することを保証します。

• ステークホルダーのニーズ、状況、及び選択行為を評価する（E）
• 優先順位付けと意思決定によって方向（D）
• 成果、コンプライアンス、及び同意された方向と目標に対する進捗をモニタリング（M）

また、ガバナンスはほとんどの事業体において、役員会の責任であり、リーダーシップは役員会の議長にあります。

一方でマネジメントは、下記のサイクル（PBRM）を回してガバナンス主体が定めた方向性に沿っているかを管理するプロセスです。

・ガバナンス組織体によって設定された、その事業体目標を達成する方向に沿った活動を計画（P）
・構築（B）
・実行（R）
・モニタリング（M）

マネジメントは、ほとんどの事業体において、上級管理職の責任であり、CEOのリーダーシップの元にあります。
　
　

COBITの4領域

COBITは、4つの領域に分類されており、その中には34の目標と210のアクティビティが構成されているのです。

ここでは4つの領域について詳しく解説します。
　

１．計画と組織

COBITにおいて、企業がビジネスを成功していくためには、IT戦略計画の策定が必須であるとしています。
　

２．調達と導入

調達と導入は、ビジネスプロセスに統合することの必要性を定義しています。IT戦略を実行に移すためには、ITで解決する方法をビジネスプロセスの範囲内で実行する必要があるのです。
　

３．デリバリとサポート

デリバリとサポートは、セキュリティやオペレーションの教育や訓練をITサービスによって提供する領域です。
　

４．モニタリングと評価

モニタリングと評価は、すべてのITプロセスを継続して評価をしていき、品質や統制要件に関する準拠の度合いを監視するものです。
　
以上4つの領域にCOBITは分類されており、組織構造を構築する際の骨組みとして利用されています。
　
　

COBITの成熟度モデル

COBITでは、個々のITプロセスを管理するための成熟度モデルが定義されています。それぞれ以下の通りです。

企業のIT部門は、すべてのプロセスでレベル5を達成する必要はありません。プロセスの成熟度を1レベルあげるには、さまざまなコストが必要であることをを理解する必要があります。

しかも、多くの企業はレベル1ないしレベル2であることが多いため、成熟度モデルが低い場合のアプローチ方法を紹介します。

成熟度モデルが低い場合に重要なのは、それぞれのレベルがどのような概念で定義されているかを理解することです。理解をしていないうちから企業のIT戦略をはじめたとしても、従業員レベルまで浸透していきません。

そこで概念を理解するために、多くの企業では成熟度モデルをチェックリスト化して利用するのが多いようです。

もし、企業にITプロセスを管理する仕組みが整っていない場合は、業務をおこなう際に成熟度モデルをチェックリストして進めてみましょう。
　
　

COBITとJ-SOX

J-SOXというのは、内部統制報告制度のことです。アメリカでできたSOX法の日本版としてできました。
J-SOXについては以下の記事で詳しく解説しています。

J-SOXとは？

J-SOXを実現するためには、ITへの対応が必要となります。そこでCOBITを活用し、ITに関わる業務改革を能動的に対応するのを求められているのです。

つまり、J-SOXの実現にはCOBITの活用が欠かせません。

内部統制・IT統制の事例紹介