内部統制――もてはやすだけでなく、モニタリングしているか:今日から学ぶCOBIT(4/4 ページ)
成熟度モデルは次のように規定されている。
- 0 不在
組織には内部統制の有効性をモニタリングする手続がない。また、マネジメント層に対し内部統制に関する報告を行う制度もない。IT運用上のセキュリティと内部統制の保証について認識されていない。マネジメント層および従業員に、総じて内部統制に関する認識がない。
- 1 初期/その場対応
マネジメント層は、一定のIT管理と内部統制の保証の必要性を認識している。内部統制の妥当性の評価は、個人の力量に依存して場当たり的に行われている。ITマネジメント層は、内部統制の有効性のモニタリングに関する責任を正式に割り当てていない。ITに関する内部統制の評価は、従来の財務監査の一環として行われており、使用されている方法論やスキルは、情報サービス機能のニーズを満たしていない。
- 2 再現性はあるが直感的
組織は是正措置を実行するきっかけとして、コントロールに関する非公式な報告書を利用している。内部統制の評価は、主担当者のスキルに依存している。組織の内部統制のモニタリングに対する意識が高まってきている。情報サービスのマネジメント層は、重要と思われる内部統制の有効性を定期的にモニタリングしている。内部統制のモニタリングにおいて特定の方法論とツールが導入され始めているが、計画的な実施にはいたっていない。IT環境に固有のリスク要因の特定は、個々の担当者のスキルに委ねられている。
- 3 定められたプロセスがある
マネジメント層は、内部統制のモニタリングを支援し、仕組みとして定着させている。内部統制のモニタリング活動について評価し、報告するためのポリシーと手続きが確立されている。内部統制のモニタリングに関する教育研修制度が定義されている。セルフ評価や内部統制の保証のためのレビューのプロセスが定められており、ビジネス部門管理者とIT部門管理者の役割も規定されている。ツールは活用されているが、必ずしもすべてのプロセスで統一して取り入れられてはいない。ITプロセスのリスク評価のポリシーが、IT部門のために特別に作成されたコントロールフレームワーク内において使用されている。プロセス固有のリスクが定義され、リスク低減ポリシーが策定されている。
- 4 管理され、測定可能である
マネジメント層は、ITに関する内部統制のモニタリングのためのフレームワークを導入している。組織は、内部統制のモニタリングプロセスにおいて許容可能な逸脱レベルを設定している。評価を標準化し、コントロールの例外事項を自動的に発見するためのツールが導入されている。正式なIT内部統制部門が設置されており、専門的技能と所定の資格を有する専門家が配置され、マネジメント層によって承認された正式なコントロールフレームワークが活用されている。高いスキルを持つIT担当スタッフが、内部統制の評価に日常的に参加している。過去の内部統制モニタリングの情報に基づいた指標となる知識ベースが確立されている。内部統制モニタリングに対するピアレビューが実施されている。
- 5 最適化
マネジメント層は、内部統制のモニタリングについて、経験則や業界のベストプラクティスを取り入れた継続的改善プログラムを組織全体に導入している。組織は必要に応じて最新の統合ツールを使用しており、重要なITコントロールの評価を効果的に行い、ITコントロールのモニタリング上のインシデントを迅速に発見できる。情報サービス機能において、知識の共有化が正式に行われている。業界水準や業界のベストプラクティスに対するベンチマーキングが正式に運用されている。
あなたの会社の内部統制は、うまくいっているだろうか。そして、内容統制を正しく評価するプロセスは、存在しているであろうか。日本版SOX法などへの影響も受けて、今「内部統制」という言葉がもてはやされている。しかしそれ以上に、その内部統制をきちんとモニタリングしているかどうかも同じぐらい重要なのである。
以上、4つのドメインを順番に(時系列的に)紹介してきた。本連載最終回となる次回は、COBITを規定している団体であるISACAが提供している各種のツールについて述べる。
谷 誠之(たに ともゆき)
IT技術教育、対人能力育成教育のスペシャリストとして約20年に渡り活動中。テクニカルエンジニア(システム管理)、MCSE、ITIL Manager、COBIT Foundation、話しことば協会認定講師、交流分析士1級などの資格や認定を持つ。なおITIL Manager有資格者は国内に約200名のみ。「ITと人材はビジネスの両輪である」が持論。ブログ→谷誠之の「カラスは白いかもしれない」
"COBIT"とCOBITのロゴは、米国及びその他の国で登録された、ITガバナンス協会(ITGovernanceInstitute本部:米国イリノイ州:www.itgi.org)の商標(trademark)です。COBITの内容に関する記述は、ITガバナンス協会に著作権があります。本文中では、Copyright、TM、Rマーク等は省略しています。なお、COBIT及び関連文献はITGIJapan(日本ITガバナンス協会)のWebサイト(www.itgi.jp/download.html)を経由して入手することが出来ます。本連載の用字用語については、一部COBITにおいて一般的な表記を採用しています。
関連記事
ITILの成り立ちと現状を知る
IT運用管理は、あなたの会社でお荷物になっていないか? 運用管理者は、単なる日常トラブルの火消しに従事していないか? 今だからこそ、IT運用管理を根本的に見直そう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。