~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。
177回からは、このメルマガで「COBIT4.0」を取り上げています。
COBITとは、Control OBjectives for Information and related Technologyの頭文字をとった
もので、「米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が策定し、提唱するITガバナンスのITプロセス成熟度を統制するフレームワーク」であり、システム管理・ガイドラインと言われています。
COBIT4.0は、米国の内部統制とバランススコアカードを組み込んだ内容で再構成されました。COBIT第3版と比べ、内容も大きく変わりました。
COBITは、これからのシステムデザインにも大きく影響してくると思っています。
第3版と比べ、内容も大きく変わりました。このメルマガで、ご紹介していこうと思います。
今日はCOBIT4.0メルマガの第19回です。
今回は、「内部統制の成熟度モデル」を取り上げてみようと思います。
内部統制における統制環境の状況と「内部統制の確立」の状態を成熟度レベルごとに一般例(付録Ⅲ)で記述しています。自社の成熟度を判断する上で概略的な指針となります。
COBIT4.0で内部統制の成熟度モデルを定義していますのは、COSOモデルでIT統制のリファレンスフレームとして取り上げられたことに起因していると思います。
内部統制の成熟度モデルは、「内部統制環境の状況」と「内部統制の確立」の項目で成熟度レベルを記述しています。
「内部統制環境の状況」とは、内部統制の整備状況のことであり、「内部統制の確立」とは内部統制の評価体制に当ります。
COBITの4つのドメインで言いますと、「計画と組織」、「調達と導入」、「サービス提供とサポート」が内部統制環境の状況で捉え、「モニタリングと評価」を内部統制の確立で捉えています。
金融庁や経産省のガイドラインでは、それぞれ「内部統制の構築」と「内部統制の評価」と表現していますが、同じことです。
成熟度レベルの表記は、一般成熟度レベルの表記と同じで、レベル0から5までは、それぞれ「不在」、「初期/その場対応」、「再現性はあるが直感的」、「定められたプロセスがある」、「管理され、測定可能である」、「最適化」です。
成熟度の記述内容を成熟度内容は成熟度属性表の視点で見てみましょう。
成熟度レベル3の記述を取り上げますと、 「内部統制環境の状況」においては、“ポリシー、標準および手続が整備され、実行責任が認識されているが、評価プロセスの文書化は未整備”というの がキー表現。
「内部統制の確立」では、“重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されている”がキー表現です。成熟度レベル4になりますと、整備状況に“ツールと自動化” の要素が加わり、評価には“ビジネスプロセスオーナーの説明責任”が追加されてきます。
オーナーの説明責任とは、Accountabilityといわれ、意思決定行為に係らず、ある組織的な影響に対して合理的に説明をする責任を言います。内部統制での説明責任は経営者が有することになります。
決算事項で不正が発生した場合、経営者は“知らなかった”とはいえないし、言ったとしても責任は取る必要が出てきます。
内部統制の成熟度では、内部統制の整備と評価でその属性の視点が異なってくることは想像できると思います。
内部統制の成熟度レベル4に焦点を当て、内部統制の成熟度属性記述を参考に見ておきましょう。
今回はここで終わります。
次回は、「IT成熟度モデル-その4」で、内部統制の成熟度属性記述を取り上げます。
(雑感)先週、弊社主催の「IT内部統制の実践知識修得」コースと「ITガバナンスのための情報化
施策策定」コースを実施し、公表裡に終了しました。共に、最新情報があり追加したコースに
なりました。
IT内部統制の実践知識修得コースでは、パッケージのIT業務処理統制に関したガイドライン
で10月16日に経産省公表の「システム管理基準 追補版 追加付録」、「ITガバナンスの
ための情報化施策策定」コースではCOBIT4.0のビジネス目標展開とコアコンポネント記述
です。各資料は以下のURLをご参照ください。
★追加付録(経産省):
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207037&OBJCD=&GROUP=
★COBIT4.0: http://www.itgi.jp/download.html
来月は、事業サイクル展開も含めた実践的な「バランススコアカードを使った経営施策策定
コース」(平成19年12月12-13日)を実施します。ご参加をお待ちしています。
http://www.ism-research.com/course-2.htm
(注1)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注2)「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
で実施します。
詳細は次のURLのご参照をお願いいたします。
◆IT経営研修コース:http://www.ism-research.com/course-1.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付き
コースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4) 「IT内部統制実践知識修得コース」を実施しています。
詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発・実施しています。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎
知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「IT経営のための経営研修コース」のオンサイト研修を実施しています。
適正な価格(市価の半値以下)で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/ksb.html
http://www.gtc.co.jp/index.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html