トーマツ 企業リスク 企業リスク の言葉 www.deloitte.com/jp/book/er COBIT 5 1. 事業体ITのフレームワーク 「COBIT 5 for Assurance」、 「COBIT 5 for Risk」、 「COBIT Assessment Programme」が発行されている。 ガバナンスという言葉が企業経営に関する用語として定 着して久しい。近年ではITの分野においてもITガバナンスと 4. 5つの原則 いう言葉が広がっており、ITの利用においても、経営的観点 をより重視する傾向が高まっている。ITガバナンスがうま COBIT 5には、以下に示す5つの原則がある。COBIT 5本 く構築されている企業では、ITがもたらす効果とリスクに 編では、事業体のITガバナンスとITマネジメントに関して、こ ついて、経営陣が他の事項と同様に興味を示し、注意を払っ れらの原則に沿って詳しく説明されている。 ている。COBIT 5は、ITガバナンスおよびITマネジメントに (1)ステークホルダーのニーズを充足 関する包括的なフレームワークであり、事業体が、効果の実 事業体は、効果の実現、リスク最適化、資源最適化のバランス 現、 リスク最適化、資源最適化のバランスをとりながら、価 を取りながら、ステークホルダーに向けて価値の創出を図る。 値の創出を図ることを支援するために作成されている。 (2)事業体全体の包含 IT機能のみにとどまらず、事業体の ITガバナンスを、事業 2. COBITの対象範囲の拡大 体のガバナンスに統合する。 (3)一つに統合されたフレームワークの適用 COBIT(Control Objectives for Information- related 他の関連する標準やフレームワークとの整合を図ること Technologyの略語)は、当初、監査のためのチェックリストの により、事業体のITガバナンスとITマネジメントに関わる包 ようなものであったが、その対象範囲を、COBIT 2ではコント 括的なフレームワークを提供する。 ロール、COBIT 3ではマネジメント、COBIT 4/4.1ではITガバ (4)包括的アプローチの実現 ナンスへと広げてきた。現在のCOBIT 5では、IT機能のみにと 事業体のITガバナンスとITマネジメントを効率的かつ効果 どまらず、事業体のガバナンスに統合されたITガバナンス(事 的なものとするため、いくつかの互いに影響し合う一連のイ 業体のITガバナンス)へと広げている。 ネーブラー(事業体の目標達成を支援するもの)を定義する。 (5)ガバナンスとマネジメントの分離 3. COBIT 5 ファミリー 目的、活動内容、必要とされる関係者の組織的役割が各々 異なるガバナンスとマネジメントを明確に区別する。 COBIT 5には、本編である「COBIT 5 ー A Business Framework for the Governance and Management of 5. 達成目標の展開(カスケード) Enterprise IT」以外にイネーブラーガイドおよびプロフェッ ショナルガイドの2種類のガイドが用意されている。2014 事業体は、効果の実現、リスク最適化、資源最適化のバラ 年8月現在、イネーブラーガイドでは「COBIT 5 Enabling ンスを取りながら、ステークホルダーに向けた価値創出を行 Processes」、 「 COBIT 5 Enabling Information」が発 う必要がある。また、これを実現するためには、ステークホ 行されており、 プロフェッショナルガイドでは「COBIT 5 ルダーのニーズを具体的で実行可能な戦略や活動に展開す Implementation」、 「COBIT 5 for Information Security」、 る必要がある。COBIT 5では、ステークホルダーのニーズか 2014/10 季刊 ● 企業リスク 89 企業リスク の言葉 トーマツ 企業リスク www.deloitte.com/jp/book/er ら事業体として達成すべき目標へ、事業体の達成目標からIT を評価し、優先順位の設定と意思決定によって方向性を定め、 達成目標へ、さらにIT達成目標からイネーブラーの達成目標 合意した方向性と目標に沿ってパフォーマンスやコンプライ へと展開(カスケード)する仕組みが例示されている。また、 アンスをモニターすることで、事業体の目標がバランスを取っ 上位の達成目標に対して下位の複数の達成目標が必要とな て、合意の上で決定され、達成されることを保証するものである ることも考えられるため、目標展開用のマトリックスは、各 (ほとんどの事業体において、取締役会長のリーダーシップの 目標間の関連性および関連の深さについて考慮されている。 もと、取締役会がガバナンス全体の実行責任を負う)。” 各事業体では自組織に応じた展開の仕組みを構築するた マネジメント め、これらを利用することが可能である。 “マネジメントとは、事業体の目標の達成に向けてガバナ ンス主体が定めた方向性と整合するようにアクティビティを 6. イネーブラー 計画、構築、実行し、評価することである(ほとんどの事業体 前述の原則(4)で示された「イネーブラー」とは、事業体の に、経営幹部がマネジメントの実行責任を負う)。” ITガバナンスとITマネジメントが機能するか否かについて影 ただし、日本においては、監督と執行の分離が、あまり明確 響を及ぼす要因のことである。より単純に表現すると、事業 でないこともあり、ガバナンスの主体は取締役会よりもむし 体の目標達成を支援するものとも言える。COBIT 5では次 ろ経営会議といったケースも考えられる。 において、最高経営責任者(CEO)のリーダーシップのもと に示す7種のイネーブラーを定義しており、これらが個別に、 あるいは複合して事業体のITガバナンスとITマネジメントの 成否に影響を与えている。事業体のITガバナンスとITマネジ 8. プロセス能力モデル メントの成功を目指すなら、各イネーブラーが連携すること COBIT 5では、 プロセスの評価においてCOBIT 4.1の成熟 を理解し、多面的に取り組むことが必要である。 度モデルと異なる新たな評価モデルを採用した。この新しい (1)原則、ポリシーおよびフレームワーク 評価モデルは、 プロセス能力モデルと呼ばれ、ISO/IEC15504 (2)プロセス に基づいている。COBIT4.1の成熟度モデルでは、 プロセスの (3)組織構造 成熟度レベルの定義が、34個のプロセスごとに各々なされて (4)文化、倫理および行動(個人と事業体の行動) おり、成熟度の表現は、各プロセスの内容を踏まえたものと (5)情報 なっていた。これは利用者にとって分かりやすいものであった (6)サービス、 インフラストラクチャおよびアプリケーション が、既に一般的に受け入れられているISO/IEC標準とは整合し (7)人材、スキルおよび遂行能力 ていなかった。今回、COBIT 5においてISO/IEC標準と整合し た新たなモデルを採用することで、 プロセス能力のアセスメン 7. ガバナンスとマネジメントの分離 トに関する信頼性と再現性が改善され、実施されているプロ セスの成果がいっそう確認しやすくなったといえる。 COBIT 5では、ガバナンスとマネジメントとは明確に分 けられている。これら2つの分野は、目的、活動内容、必要と される関係者の組織的役割が各々異なる。COBIT 5フレーム ワークでは次のように示されている。 ガバナンス “ガバナンスとは、ステイクホルダーのニーズや、条件、選択肢 2014/10 季刊 ● 企業リスク 90 〈参考文献〉 ●COBITに関するWebサイト http://www.isaca.org/cobit/ ●COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT トーマツ企業リスク研究所 季刊誌「企業リスク」のご案内 ∼企業を取り巻く、様々なリスク管理活動を支援する専門誌∼ トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための 研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた 専門家の知見をお届けします。 ■概要 〈発 行〉1月・4月・7月・10月(年4回) 〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、 内部統制、ITガバナンス、IT統制、不正対応、 海外子会社ガバナンス、知的財産、事業継続、 CSR、各種法改正に伴う対応等 〈主 な ご 購 読 層〉事業会社の内部統制、内部監査、経営企画、 リスクマネジメント等に従事されている方 ■掲載コーナーご紹介 ○先進企業の取り組みをご紹介する「企業リスク最前線」 ○最新の重要テーマを多角的な視点から解説する「特集」 ○法改正とそれに伴う企業の影響を詳説する「研究室」 ○専門的な知見をわかりやすくお伝えする「企業リスクの現場」 攻め・守りの双方向から、企業が経営を適切に推進するための 最新情報が詰まった一冊です。 貴社のガバナンス体制構築に、ぜひお役立てください。 季刊誌「企業リスク」WEBサイトはこちら 無料試読のご案内 「企業リスク」の無料試読を承っております。 ※最新号のみに限らせていただいております。 ※お1人様1回のみお申込みいただけます。 無料試読のお申込みはこちら バックナンバー記事のご案内 「企業リスク」のバックナンバー記事を WEBサイトで無料公開しております。 ぜひご覧ください。 バックナンバー記事の閲覧はこちら 〈トーマツ企業リスク研究所とは〉 トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理 について研究する専門部署として2002年10月より監査法人トーマツ (現:有限責任監査法人トーマツ)内に設置されました。 トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情 報提供、季刊誌の発行などを行います。 トーマツ企業リスク研究所の詳細はこちら
© Copyright 2024