COBITを推進する開発パートナー選びのポイント
「COBIT」というIT用語を聞いたことがありますか?「COBIT」は、企業・団体が業務で取り扱う情報システムの導入・運用・管理などを適切に行うIT統制(ITガバナンス)の実践的な指針を定めたものです。
社内の情報システムついての組織や規約・業務手順の作成・IT投資の判断・システム監査などに活用しています。
「COBIT」の英語表記は、Control objectives for Information and related technologyです。
「ガバナンス」という言葉をよく聞きます。
近年の国内はカタカナ語がお好きなようです。
選挙運動での行動計画を「アジェンダ」といいます。
政治・環境では炭素中立を「カーボンニュートラル」といいます。
一般的に法令遵守を「コンプライアンス」といいます。
企業・団体の内部統治を「ガバナンス」といいます。
IT業界では、企業・団体が経営方針に則って IT 戦略を策定し、情報システムの導入や運用を組織的に管理・統制する仕組みを「ITガバナンス」といいます。
幅広い概念の用語なので理解が難しいようです。
近年は、あるメガバンクのオンラインシステム不祥事が相次いでいます。
また、大手の教育教材企業による顧客情報の漏洩・流失などをニュース番組で見聞きします。
不祥事を起こした企業・団体の「ガバナンス」が問題視されることが多いのです。
「ガバナンス」とは企業・団体の組織内の「統治」を示し、不祥事を起こした企業・団体は企業内統治に問題があることになります。
さらに「ITガバナンス」は、顧客サービス・顧客満足度を向上させる情報システム統治に問題があることになります。
AI、IoT、自動運転に急速に発展・導入・実装されるなかで、顧客サービス提供元の資質が問われます。
「ITガバナンス」は、ISACA(情報システムコントロール協会)が、情報システム監査・情報セキュリティー・リスク管理・ITガバナンスの認定資格を管理する国際的専門団体が、IT管理のフレームワーク(COBIT)を統括しています。
日本国内の管理団体はITGIです。
目次
1.COBITとは何か?
「COBIT」は、企業などの組織において情報システムを適切に管理するための指針や規約、標準的な工程などを定めた包括的なガイドラインの一つ。
IT統制(ITガバナンス)に関する国際的な団体であるITGI(IT Governance Institute)およびISACA(Information Systems Audit and Control Association)が策定・公表している。
「COBIT」の英語表記は、Control objectives for Information and related technologyです。
「COBIT」では、企業・団体のITシステムに関する活動を大きくITガバナンス(統制)とITマネジメント(管理)に分けて管理しています。
管理項目は「重要成功要因(CSF)」「重要業績評価指標(KPI)」「重要目標達成指標(KGI)」で定義され、「不完全(レベル0)」から「最適化されている(レベル5)」の6段階の能力レベルで評価されます。
2.ガバナンスとは何か
「ガバナンス」は企業・団体の統治・支配・管理を示す用語です。
企業・団体のガバナンスは「健全な企業経営を目指す企業自身による管理体制」ことです。
ほとんどの企業・団体のガバナンスは役員会の責任です。
役員会の議長(会長職・社長職)のリーダーシップのもとにあります。
ガバナンスは「ステークホルダー(利害関係者)のニーズ・状況および選択行為を評価する」こと「優先順位付けと意思決定によって方向」を決断すること「成果・コンプライアンス(法令遵守)および同意された方向と目標に対する進捗をモニタリング(監視)する」ことです。
3.マネジメントとガバナンスの関連性
企業・団体のマネジメント(管理・監督)は上級管理職の責任といわれています。
最高経営責任者(CEO)のリーダーシップのもとにあるのです。
マネジメントは、企業・団体にいり設定された目標を達成する方向に沿った活動を「計画」「構築」「実行」「モニタリング」するサイクルを示します。
「ガバナンス(企業・団体内の統治)」は経営層の職務で、上級(上位)管理職が実施するマネジメントをモニタリングすること・結果を得てビジネスニーズを加味して評価すること・その方向性を指示したりする一連のプロセスを示します。
「COBIT」は、前記「ガバナンス」「マネジメント」のプロセスを、組織全体にカバーすることが求められます。
4.情報セキュリティーは経営層によるガバナンスが必要
IT分野の「ガバナンス」は、情報セキュリティーに大きく関係します。
セキュリティーとITガバナンスの関係でいえば、セキュリティーは「企業・団体組織におけるリスクマネジメント」の一つで「リスクマネジメントにおける方針・方向性」を示すことを「ガバナンス」になります。
「ガバナンス」は、価値を生み出す・価値を創造する・価値を保全するためにリスクを最適化すること・それらに費やすリソースを最適化することになります。
前記の「価値を保全するためにリスクを最適化する」ことが重要で、企業・団体として、どこまでリスクを負うことができるか否かの判断になります。
取締役会や役員会等の責任で決定するもので最重要課題です。
この最重要課題が決定しないと、情報セキュリティーの範囲とコストの見極めができないのです。
セキュリティー全体に関する責任は最終的には経営層のガバナンスに帰属するのです。
企業・団体組織に対するサイバー攻撃・不正アクセスは、複雑化・巧妙化が進んでいるため対応が追いつかないことがあります。
企業・団体は多くのセキュリティー対策アプリケーション・セキュリティー・サービスを導入して、従業員の教育・訓練を徹底します。
残念ながらサイバー攻撃・不正アクセスを完璧に防げるとは言い難い状況にあります。
社会インフラに深く関わる「日本国内の全ての電気事業者(OCCTO)」では、通信内容・通信量等の監視なども行ってセキュリティーを高めているといますが、サイバー攻撃・不正アクセス・情報漏洩の対策は多額のコストを費やします。
一般の企業・団体で導入・実施できる組織は多くないようです。
また、当該の企業・団体がどこまでのリスクを負うことができるか否かの経営判断・受容する範囲を経営判断する必要があります。
つまり、どこまでリストを負いの損失額を補完できる範囲のセキュリティー・システムに投資できるかを経営層がきちんとした方針を示し「ガバナンス」を行う必要があります。
日本国内閣にIT担当大臣がコンピューターを操作したことがない代議士がいました。
そのように「ITアレルギー」感覚を持つ経営層がいます。
つまり情報セキュリティー・システム投資に消極的な経営者・役員がいるのです。
そのような経営者・役員に「ガバナンス」の重要性に目覚めてもらうために「謝罪会見をしたいですか?」「新聞に汚点を記事にされていいですか?」と問いかけると、手っ取り早く伝わるようです。
5.クラウドコンピューティングとCOBITの関連
企業・団体の価値を生み出すには、ビジネスのスピード感を高めるクラウドコンピューティングの活用が拡大しています。
ビジネス誌・TVCM・公共交通の中吊り広告はクラウドコンピューティングの広告が目立つようになっています。
クラウドコンピューティングのスピード感は、ビジネスの好機を逃さないためにも重要です。
企業・団体によって既存システムを「オンプレミス環境」から可用性やセキュリティー等を勘案するとメリットが多いケースがあります。
「攻めのIT」「デジタル経営」「DX」等、どうようにして得た情報を経営に活かすかという観点からも、クラウドコンピューティングは重要な存在になっています。
クラウドコンピューティングに移行したときの「リスク」を十分に理解した上で活用することで、成功への礎になるでしょう。
ただし、特定の業種・業界、または国・地域によって「データの所在」を明確に説明できることが求められることがあるので、一意にクラウドコンピューティングへ移行することの配慮は重要になります。
従来の「オンプレミス環境」からクラウドコンピューティング環境へ移行するにあたり、情報を保管のロケーション(記憶装置の設置場所)の明確化は重要な課題といえます。
『情報管理は情報システムの要です。』クラウドコンピューティング環境への移行は方式・手段の変更・改修・変革にすぎません。
6.COBITを推進する開発パートナー選びのポイント
企業・団体の「COBIT」を推進する開発パートナー選びよりも、「COBIT」を確認するためには、監査法人に委託することをお勧めします。
監査法人とは、企業の財務書類が法的に問題ないかをチェックする機関のことです。
決算報告の誤り・意図的な隠蔽や虚偽の報告が見つかると企業・団体の信頼はなくなります。
監査法人は、公正な立場で監査をする役割を担っています。
一定の事業規模を超える法人は、会計監査人による監査が義務付けられています。
日本国内では、新日本、トーマツ、あずさ、PwCあらたの 4大監査法人が日本での市場を寡占しています。
「COBIT」確認は監査法人に委託することをお勧めします。
また、今まで取引している監査法人をパートナーとして委託することも可能です。
まとめ
「COBIT」は、企業・団体内で「ITサービスマネジメント(ITSM)」を実現するための要素をフレームワークの形で整理して概説する実践規範です。
その実践規範を実行していることが重要になります。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。
