【47-03】日本ＩＴガバナンス協会設立と日本のＩＴガバナンス-2- 〜内部統制整備を実現させる5つのポイント〜

HP OpenView News vol.45では、ITガバナンスとは何か、また、どのように考えるべきかの概要を簡単に述べました。今回はITガバナンス構築の際に参考になるCOBIT(*1)について、また、COBITとの取り組み方や、利用に関する5つのポイントを紹介します。
（尚、本稿は、COBIT4.0の英語版及び、一部の書籍（後述）で訳出されているものを参考にしています）

(*1)COBIT
Control　Objectives for Information and related Technologyの略。情報システムコントロール協会( Information Systems Audit and Control Association(ISACA)  )により策定されたITガバナンスのためのプロセスとフレームワークを指す。34の領域からなり、運用だけではなく、ITの管理全般にわたっている。

COBITそのものについては、過去のHP OpenView Newsでも触れております(*2)ので、そちらをご参照いただくとして、ここでは、COBITが「ITガバナンスのためのプロセスとフレームワーク」としてどのように記述されているかをご説明します。

(*2)HP OpenView News vol.31-02　コンプライアンスとITマネジメント -3-
「経営にもITにもフレームワークは有効だ！　〜COSO,COBIT,ITILの関係

統制フレームワークとしてのCOBITには、4つの領域に34の統制目標が存在します。
（参考文献１.より）

統制フレームワークとしてのCOBIT		COBITの4つの領域
≫拡大画像(新規Window)		≫拡大画像(新規Window)

その統制目標には、

ITガバナンスとの対応を含む

RACIチャート：Enterprise Architectureとの関連で、Activityごとに、各利害関係者の役割をResponsible, Accountable, Consulted, Informedの別に整理

Activity, Process, ITのゴール、KPI(Key Performance Indicator:重要成果達成指標)、そしてプロセス、ITのKGI(Key Goal Indicator:主要目標達成指標)

6) 成熟度モデル

以上6つのプロセスが各項目について記載されています。
（尚、この1）〜6)の番号は便宜上本稿でのみ使用しています。）

5)と6)は計測のための項目で、特に6)の成熟度モデルが興味深いですが、各統制目標がどの程度達成されているかを測るための、おおまかな判断要件を示しており、またソフトウェア品質を管理する際のCMMI(*3)を参考に作られています。

COBIT3.0でも同様の統制目標が設けられていましたが、COBIT4.0では、1)、2)、4)について追記変更され、よりハイレベルで、尚且つ34の統制目標がITGI( IT Governance Institute  :ITガバナンス協会)により定義されたITガバナンスの5つのドメイン(*4)にそれぞれどう対応しているかについても五角形の絵を使って記述されています。

(*4)ITガバナンスの5つのドメイン （ＩＴＧＩ　「IT Governance Implementation Guide」より）
Alignment / Value Delivery / Risk Management / Resource Management / Performance Measurement
（こちら  にCOBIT4.0とCOBIT3.0の違いが記述されています。ご参考まで。）

では、具体的にはどのようなことが書かれているのでしょうか。例えばこれら34の統制目標のうち、「変更の管理について」はこちらのような記載がされています。

「変更管理」というと、ITILを思い出される方も多いかと思います。COBIT4.0に記載されている「変更の管理」にも、ITILや、ITにおいては「当たり前」とされていることが書かれていることがわかります。

では、なぜその「当たり前」に価値があるのでしょうか。前回（voｌ45）、「組織内の誰もが合意できる一定の基準、共通のガイドラインが必要」、と述べました。つまり、「当たり前のこと」でありながら、公的にまたは一般に広く認められたものである必要がある、ということに価値があり、同時に、COBITという形に体系化され、共有でき、文書化でき、そして網羅性があり、継続的に利用でき、容易である、ということにも価値があるのです。

では、次にこのCOBITをITガバナンスに当てはめた時にどのように活用するか、いくつかポイントをご紹介します。

COBIT活用法1：ITガバナンスのために「目的を持って、参照する」

乱暴な言い方をすれば、その筋のコンサルタントや専門家を目指すのでもない限り、ただ利用するだけのためにCOBITの内容を逐一知っている必要はありません。最初から全てを勉強しようとすると大変です。ですので、まずは前述の概要に照らして、興味のある統制目標をどれか１つ決め、それをひと通り眺めてみる程度がいいでしょう。むしろ重要なのは、何のためにCOBITを利用するのか、目的を明確にするということです。それさえ決まれば、道はおのずから開けます。

その意味で、一つ重要なことがあります。前回（vol.45）の記事の記述で、もしかすると気づかれた方もいらっしゃるかもしれませんが、実は「COBITを参照する」という書き方をしていました。COBITは、その中身をそのまま達成したり構築したりするものではなく、「参照する」ものです。よく勘違いされる方がいらっしゃって、ISOのように審査を受けて通ればいいような感覚で必死になって型どおり構築しようとする方がいらっしゃいます。また、監査のためにCOBITを達成すればよいというのも間違いです。

利用目的が決まりさえすれば、どのプロセスを採用すればよいかがおおむね把握でき、その上で、それらの項目を参照した形でその水準を高めていけばよいわけです。

COBIT活用法2：全部を実現しようとしない、完璧を求めない

COBITのすべてを企業のITガバナンスにおいて実現することは、不可能です。COBITのすばらしいところは、先にも述べたように網羅性があることであり、その結果、管理項目がとても多くなっています。
必要に応じて、つまりITガバナンスの一部分を「ある目的で」実現しようとするときには、COBITはほとんどの場合においてなんらかの答えを提示してくれるでしょう。（逆に言うと、すべてが網羅されているので、すべての実現はビジネスの成果を犠牲にしない限り不可能です。）

さらに、個々の統制目標について完璧を目指す必要もありません。むしろ、全体の中で成熟度のバランスを取っていくという観点が必要です。成熟度は1〜5段階で測られますが、最もレベルが高い5を目指す必要があるのは、ITがビジネスそのものであったり、利益の源泉であったりする場合に、それに直結した統制目標を5に近づけていくようなことはあるでしょう。過度な統制は、スタッフのモチベーションを下げ、ビジネスを逆に縛ってしまいます。何か目的を持ってそこに注力するために成熟度5を目指すというアプローチなら可能です。（ちなみに、COBIT第3版の冒頭に記載されている2001年の世界の金融機関の成熟度の平均は、3に少し満たない程度です。）

例えば、今回この連載で想定しているのは、今日的な話題である日本版SOX法(*5)のための統制整備です。日本版SOX法での統制整備では、経営者の名のもと、財務報告の正確性を担保するためにITが誤った結果を出したり人為的な不正が発生したりするリスクの低減を目指します。その一方ではガバナンスの目的のうち、リターンの最大化といったところを直接的には目指しておらず、さらにその企業なりの業態やIT規模などによって変わってくるため、数多くのCOBIT統制目標のうち、結果として一部だけが必要になり、それ以外は参照しないということになります。

(*5) この日本版SOX法に関しては、先行版である米国SOX法について「サーベンス・オクスレー法（企業改革法）遵守のためのIT統制目標」（通称COBIT for SOXの日本語訳、COBIT 4.0 に対応した第2版）という、COBIT本体以上に有名な文書があり、そこで既にCOSO  に照らして34のうち24の統制領域にまで絞り込んでいます。この文書は、ITGI日本支部の企画で翻訳を行った最初の文書です。PCAOB(*6)の監査基準書との関係も意識されており、ITに関するリスク・コントロール・マトリクス（RCM）はこれを参考にする例が多いといわれているため、間違いなく日本版SOX法でも有用です。

(*6)PCAOB(Public Company Accounting Oversight Board:公開会社（企業）会計監視委員会） 

COBIT活用法3：主語を忘れないように

前回(vol.45)の記事でも、ガバナンスは責任者や経営者が率先すべきものであると述べました。「ガバナンス（＝統治）」という言葉から考えても当たり前のことではありますが、いわゆる日本版SOX法についても、「（経営者による）財務報告に係る内部統制の評価及び報告」といった公開草案  にある記述をみると「経営者」が主語になっています。実はここが大きなポイントです。

COBITは、上からのガバナンスを念頭に作られているものです。その際の主語は、CIO（IT統括責任者という訳になっています）であり、時にはCEO（経営者）です。トップが責任を持って、COBITの34の統制目標について様々な統制を行い、その結果を出すのです。この主語を忘れてしまうと、どんなにありがたい内容をもったCOBITでも、現場で空回りします。日本的に主語を省略してあいまいにしてはいけません。この主語は、できれば責任者個人名をあてはめて使ってください。つまるところ、トップにその覚悟がないとうまくいかない、ということです。

COBITを使ったプロジェクトを回すときのアナウンスを責任者から出してもらうのはもちろんのこと、様々なドキュメントの中での表現においても「弊社のITでは、○○管理の方針を次のように定める：１．IT統括責任者××は・・・を行っていること　文責△△」という具合に主語を必ず盛り込むことが必要です。

これは、米国SOX法、日本版SOX法における文書作成でも常に求められることです。統制の文書化の際に記述する内容は、それぞれ責任者、担当者名が要求されます。つまり、経営者、IT統括責任者に対して統制が確実であると報告する内容として、誰がその業務や職務を担当しているのかが明確になっていないといけないということです。米国SOX法の監査では、文書上で個人名を要求しています。

COBIT活用法4：現状の把握と、あるべき姿

COBITを利用すなわち参照するための「目的」が定まると、それに照らし合わせてIT組織の現状を把握します。このアプローチ方法は既に多くの方がITIL等で実践されている方法だと思いますが、一定の道筋を示した中で、旅行と同様、それを通って目的地へとたどり着くためには、現時点でどうなっているかを把握すること、そして、どのような状態になりたいかの目標を定める必要があります。より具体的には、目的に則った項目を参照し、それぞれのKPI（key performance indicator:重要業績評価指標）、KGI（key goal indicator:重要目標達成指標）、CSF( critical success factors:主要成功要因)に照らして現状のアセスメントを行います。

そして、成熟度のどの段階にあるかを確認した後、どこまでを目指すのかを決めます。これが決まれば、現状とのギャップを分析することになります。ここから、目指す状態になるためのKPI、KGI、CSFが導かれます。

COBIT活用法5：現場のプロセスにブレークダウンする

COBITの問題点が一つあるとすれば、現場寄りの内容までブレークダウンされていないことです。目標はこうだよ、というところまでは示してくれますが、それを実現する方法を具体的に示してくれるものではありません。そこで、実際には実際のプロセスを上記、COBIT活用法4で導き出されたKPI、KGI、CSFに則って高めるために、ITILやISO17799(情報セキュリティマネジメント)などの標準的な方法を参考にしてプロセス改善を実施します(*7)。

この段階で重要なのは、継続性を念頭におくということです。監査は毎年、改善は継続的に行われるべきものですから、組織的、コスト的に継続できそうにないようなことを設定してしまうことは避けたいところです。

(*7)ITILとCOBITの関係については、これもドキュメントが存在します。このHP OpenView News　31−02の記事においては、COBITをCOSOに照らしていきなりITILのプロセスに落としているように見えますが、それぞれ実際には運用の現場の観点から検討した結果です。それと同様に、ITILやISO17799をCOBITと結びつけるとどう対応するかについて検討した結果を記述したドキュメントがこちら  (COBITは3.0を対象としているが非常に参考になる)にあります。このドキュメントには、ITILのプロセスとの対応表が載っていますが、最新の情報については、ISACAのほかにもitSMF JapanのITガバナンス研究分科会でも議論されているようですので、そちらにぜひご入会の上（宣伝です）、コンタクトしてみてはいかがでしょうか。

ここまできて、ようやく現場の改善の話に落とし込んでいくことができます。
実は冒頭に前回の文章を引用したことには、理由があります。現場の改善力は、日本におけるITガバナンス構築のために、実は非常に有効なパワーであると考えます。問題は、いかにしてこれを、上からのコントロールに結びつけながら全社最適や標準への適合を達成していくか、ということになります。そして同時に、統制を整備強化するだけでなく、いかにしてビジネスに貢献していけるようにするか、という点もいろいろなところで議論されています。ビジネスの役に立つITを創るために、統制を行う。それを確実なものにするには、現場の力は不可欠です。次回は、この現場の改善力をもとに、ガバナンスを整備、構築していく際のポイントについて触れたいと思います。