内部統制におけるITとCOBITの関係は?:セキュリティツールで作る内部統制(2)(2/2 ページ)
前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークであるCOSOフレームワークと日本版COSOフレームワークについて解説した。今回はまず、「内部統制においてITをどのように考えるべきか?」という部分を考察し、その後にIT内部統制フレームワークであるCOBITについて説明する。
IT内部統制のフレームワークとしてのCOBIT
さて、IT(情報システム)およびITサービス自体が統制の対象となるため、ITサービスを行う情報システム部自身も内部統制の対象となります。これをCOSOのフレームワークに従って統制を行ってもよいのですが、ITについてはITの内部統制のフレームワークが存在します。それがCOBITです。以下にその概要を説明します。
COBITは、正式名称を「Control OBjectives for Information and related Technology」といい、元はITガバナンス協会(IT Governance Institute:ITGI)がITガバナンスのためのフレームワークとして発表しました。2000年に米国の情報システムコントロール協会(Information System Audit and Control Association:ISACA)と共同で第3版を、2005年12月に第4版を発表しています。
COBIT(Ver.4)のコントロールフレームワークは、IT活動を4つのドメインに定義しています。
企画・計画と組織(Plan and Organize)
調達と開発(Acquire and Implement)
デリバリとサポート(Deliver and Support)
モニタリングと評価(Monitor and Evaluate)
この4つのドメインは、計画⇒構築⇒実行(運用)⇒評価⇒計画、というサイクルを構築するようになっています。そして、それぞれのドメインに合計34の統制活動を定義しています(下表参照、なお正式な日本語版が未出版のため英語表記であることをお許しください)。
ドメイン名 | 統制活動名 |
---|---|
Plan and Organize | PO1 Define a strategic IT plan |
PO2 Define the information architecture | |
PO3 Determine technological direction | |
PO4 Define the IT Processes, organization and relationships | |
PO5 Manage the IT investment | |
PO6 Communicate management aims and direction | |
PO7 Manage IT human resources | |
PO8 Manage quality | |
PO9 Assess and manage IT risks | |
PO10 Manage projects | |
Acquire and Implement | AI1 Identify automated solutions |
AI2 Acquire and maintain application software | |
AI3 Acquire and maintain technology infrastructure | |
AI4 Enable operation and use | |
AI5 Procure IT resources | |
AI6 Manage changes | |
AI7 Install and accredit solutions and changes | |
Deliver and Support | DS1 Define and manage service levels |
DS2 Manage third−party services | |
DS3 Manage performance and capacity | |
DS4 Ensure continuous service | |
DS5 Ensure systems security | |
DS6 Identify and allocate costs | |
DS7 Educate and train users | |
DS8 Manage service desk and incidents | |
DS9 Manage the configuration | |
DS10 Manage problems | |
DS11 Manage data | |
DS12 Manage the physical environment | |
DS13 Manage operations | |
Monitor and Evaluate | ME1 Monitor and evaluate IT performance |
ME2 Monitor and evaluate internal control | |
ME3 Ensure regulatory compliance | |
ME4 Provide IT governance |
これら34の統制活動それぞれにおいて、さらに詳細レベルの統制活動が定義されており、それらを実行していくことにより、ITガバナンスを実現するものとなっています。また、COBITにおいてはこれらの活動について、成熟度モデル(Capability Maturity Model)を導入し、それぞれの統制活動における成熟度の基準を提供しています。
さて、この「COBITのフレームワーク」=「IT活動のフレームワーク」をCOSOのフレームワークに当てはめていくわけですが、ITガバナンス協会がCOBITの統制活動とCOSOの基本的要素のマッピングを「IT Control Objectives for Sarbanes−Oxley(April 2004)」の中で提示しており、COBITを利用することによりIT活動の統制(IT部門の活動)を実現することが可能であることを示すとともに、業務プロセスで利用されている情報システムに対しての統制も実現可能であることを示しています。
◇
次回は、SOX法対応としての業務処理統制および全般統制の概要とIT部門として業務処理統制・全般統制で何をしなくてはならないかを考えていきます。
Profile
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.