COBIT 2019の紹介
情報と技術の組織体のガバナンス(EGIT)及びCOBITの実像
1. 情報と技術の事業体のガバナンス(EGIT)
(1) デジタル変革を考慮に入れて、情報と技術(I&T)は事業体の支援、持続性及び成長において決定的なものになった。
・ 以前は、ガバナンスを担う役員会及び上級マネジメントは、I&Tに関する決定を委任したり、無視したり、もしくは避けることができた。
・ ほとんどのセクター及び産業で、そのような態度は、今、好ましくないと助言を受けている。
・ デジタル化された事業体は、生き残りそして成長するために、I&Tにますます依存している。
・ ステークホルダーの価値創造は、多くの場合、新しいビジネスモデル、効果的なプロセス、成功したイノベーション等における高度なデジタル化によって行われている。
(2) 事業体のリスクマネジメント及び価値創出に対するI&Tの中心的な役割りを考えると、情報と技術の事業体のガバナンス(EGIT)に明確に重点を置くことは、直近の20年間以上にわたって起きてきたことである。
EGITはコーポレイトガバナンスの不可欠な部分である。
・ プロセス、構造及び関係の仕組みの定義及び導入の監督は役員会によって実行される。
・ ビジネスとIT人材の両方が、ビジネスとITの整合性確保の支援における彼らの責任を遂行することを可能とする。
・ I&Tが可能とするビジネス投資からビジネス価値を創出することを可能にする。
(3) 基本的に、EGITはデジタル変革による価値提供と、デジタル変革の結果であるリスクの低減と関係がある。
より具体的には、EGITの導入の成功によって3つの主要なアウトカムを期待することができる。
・ 便益の実現
これは、次のようなことから成り立っている。I&Tを通じて事業体にとっての価値を創出すること、既存のIT投資家らの価値を維持向上させること、そして十分な価値を創出していないITの取り組みおよび資産を削減することである。I&T価値の基本原理は、目的に合致したサービスとソリューションを予定通りの時間と予算内で生み出すことであり、それは意図した財務的および非財務的便益を生み出すことになる。
ITが提供する価値は、重点を置いているビジネスが生み出す価値と直接的に整合しているべきである。IT価値は、その事業体の価値創出プロセスにおけるITによって可能となった投資への影響と貢献を示す方法で測定されるべきである。
・ リスクの最適化
これは、事業体の中におけるI&Tの利用、所有、運用、投資、影響および適用に関係するビジネスリスクを取り扱うことに伴うものである。I&T関連のビジネスリスクは、そのビジネスに潜在的にインパクトを与え得るI&T関連の事象から構成される。価値の提供が価値の創出に重点を置く一方で、リスクマネジメントは価値の保全に重点を置く。I&T関連のリスクのマネジメントは、事業体のリスクマネジメント(ERM)アプローチの中に組み込まれ、その事業体によってITに重点が置かれることを確保するものでなければならない。また、価値保全におけるI&T関連ビジネスリスクの最適化に対するインパクトおよび貢献から測定されなければならない。
・ 資源の最適化
これは適切な能力が戦略を実行するために配置されること、十分、適切かつ効果的な資源が提供されることを確保することを意味している。資源の最適化は、統合され経済的なIT基盤が提供されていること、ビジネスによって必要とされる新技術が導入されること、旧態化したシステムが更新されるかリプレイスされることを確保するものである。ハードウェアおよびソフトウェアに加え、人材の重要性を認識しているので、訓練の提供、在職率の向上、およびキーとなる人材の競争力を確保することになる。
2. 情報と技術(I&T)のフレームワークとしてのCOBIT
COBITは事業体の情報と技術のガバナンスとマネジメントのフレームワークであり、事業体全体を対象とする。
・ 事業体のI&Tは、全ての技術と情報処理を意味し、事業体がそのゴールを達成するにふさわしい場所に配置される。これが事業体のどこで発生するか関係ないのである。
・ 事業体のI&Tは組織のIT部門に限定されないが、もちろんそれを含む。
3. ガバナンスとマネジメントの定義
(1) ガバナンス(役員会レベル)
・ ステークホルダーのニーズ、状況及び選択を評価し、事業体の目標を決定していることを確保する。
・ 優先順位づけと意思決定によって、方向づけされていることを確保する。
・ 目標に対するパフォーマンス及びコンプライアンスがモニタされていることを確保する。
(2) マネジメント(上級経営幹部レベル)
計画、構築、実行及びモニタの活動が、事業体の目標を達成するために、ガバナンス体制によって設定された方向と整合していること。
4. COBITであることとそうでないこと
(1) COBITは以下のようなものである
・ 事業体のI&Tのガバナンス及びマネジメントのフレームワーク。
・ COBITはガバナンスを構築し維持する構成要素を定義している。
・ COBITは事業体によって最も適合したガバナンスシステムを構築する際に考慮すべき設計要因(デザインファクター)を定義している。
・ COBITは柔軟であり、新たなトピックスを付加するガイダンスを認めている。
(2) COBITは以下のようなものではない
・ 事業体のIT環境の全体を全て記述したもの。
・ 組織のビジネスプロセスに対するフレームワーク。
・ 全ての技術をマネジメントする(IT)技術フレームワーク。
・ COBITはIT関連の決定を行うもしくは指図するもの。