IT統治の標準フレームワーク「COBIT」が7年ぶりに大幅刷新

ホーム
週刊BCN
解説
IT統治の標準フレームワーク「COBIT」が7年ぶりに大幅刷新

その他

IT統治の標準フレームワーク「COBIT」が7年ぶりに大幅刷新

2012/10/25 14:53

週刊BCN 2012年10月22日vol.1453掲載

　ITガバナンス（統治）のフレームワーク「COBIT」が7年ぶりに刷新される。COBITは「内部統制の強化」の標準フレームワークとしての採用が進んだ実績があり、今回は「内部統制」よりも範囲が広い「企業経営」や「企業ガバナンス」の領域を拡充している。新版である「COBITバージョン5」は11月8日に開催される「ITGI Japan カンファレンス 2012」以降、日本語版が順次投入される見込みだ。2005年以来、内部統制の強化では情報サービス業界で数百億円を超える波及効果があったとみられており、今回の新バージョンでは企業ガバナンス全体をITの側面から標準化していく需要開拓に役立つものと期待されている。（安藤章司）

　COBITは、世界で約10万人の会員を擁する情報システムコントロール協会（ISACA）と、この実行部門であるITガバナンス協会（ITGI）が策定しているITガバナンスの標準フレームワークで、2005年の内部統制の強化の際は、米SOX（サーベンス・オクスリー）法への対応で多くの株式上場企業から参照されたことで一躍注目を集めるようになった。もともとは企業会計などの監査や統制からスタートし、企業経営やガバナンスと対応範囲を広げてきたが、今回の「バージョン5」は経営やガバナンス領域のフレームワークを7年ぶりに大幅刷新した。日本語版は順次公表していく。

　内部統制の強化では、日本版SOX法への対応でITが多用されたこともあって、情報サービス業界は「西暦2000年（Y2K）問題以来の“特需”」と盛り上がりをみせ、システム改修や更改に大きな影響を与えた。今回の経営やガバナンス領域の拡充では、SOX法のような強制力を伴う性格のものではないが、「グローバル経営のフレームワークとして重要な役割を果たす」（日本ITガバナンス協会の梶本政利事務局長）とみられている。国内市場の成熟に伴い、ユーザー企業は海外に目を向けるケースが増えているが、国内の経営、ガバナンスの手法がそのまま海外で通用するとは限らない。海外法人の経営幹部と共有できるフレームワークや、M＆A（企業の合併・買収）を行ってグループ会社に迎え入れた会社との“共通言語”的な役割を担うのが「COBITバージョン5」ということになる。

　企業経営やガバナンスは、ITシステムなしには成り立たない仕組みであり、ましてや国内外で共通のフレームワークを適用するとなれば、ITシステムの全体最適化は避けられない。かつての内部統制の強化においても財務会計システムや経営判断に至るまでの履歴を残すなどの仕組みづくりで、多くのSIerがユーザー企業向けのコンサルティングやシステムの実装を支援した経緯がある。「COBITバージョン5」の日本語版（COBIT新版）が出ることで、日本においての新COBITベースの経営、ガバナンスの一段の強化に弾みがつくことは間違いない。

　課題は、COBIT新版をいかにSIビジネスに落とし込むかだ。内部統制の強化をみても、前段部分はビジネスプロセスの見直しが中心で、実際のSIビジネスに結びつくまでにタイムラグが生じている。COBIT新版準拠のコンサルティングサービスをSIer自らが手がけることで、従来型の受託ソフト開発などを中心とした作業請け負い的なビジネスからの脱却を促進できるし、その後のSIビジネスにスムーズにつなげていくハードルも下がる。ただ、この場合も、COBIT新版をベースとしたITシステムをあらかじめ用意しておくことが求められる。ユーザー企業の海外進出やグローバル経営があたりまえになってきているなかでも、国内SIerで真にグローバル経営に適したITシステムを用意できているのは大手を中心とした一部に限られる。COBIT新版が普及するタイミングに合わせて、従来の手持ちのITソリューションを見直し、グローバル対応を加速させていくのも一つの手だろう。

　「ITソリューションとナビゲーション（経営コンサルティング）」の組み合わせビジネスで業界の先端を行く野村総合研究所（NRI）などの上流工程に強いSIerも、COBIT新版の制作に少なからず関与している。梶本事務局長は「COBITバージョン5の日本語化は手弁当での作業になる」というが、新版の概念をライバル他社よりも早く消化し、自らのビジネスに役立てたいというSIerが多い。COBIT新版はこうしたSIerのコンサルティングや、提案型のシステム開発のフレームワークとしても役立ちそうだ。

表層深層

　IT経営の標準化はITサービスマネジメントフレームワーク「ITIL」、情報セキュリティの「ISO 27000シリーズ」「ISMS」などがあるが、COBITはカバーしている領域が広いことが特徴だ。このため「ITIL」や「ISO 27000シリーズ」など、さまざまな標準を包含する「傘」となるフレームワークとして位置づけられることが多い。さまざまな実務レベルの標準をCOBIT全体でカバーし、企業経営やガバナンスの整合性を高める役割も担うわけだ。

　もう一つ、企業が新規でネットビジネスを始めるようなケースでは、既存事業の比較が難しく、的確なリスク分析がしにくい。そこでCOBITに照らし合わせることで、例えば「これだけの価値を創造できるので、これだけ投資しても、リスクはこのくらい」などと、新規事業のリスク管理を世界のベストプラクティスにもとづいて実施できるようになる。日本ITガバナンス協会の梶本政利事務局長は、「ただガバナンスを強化するだけでなく、価値創造やリスク管理のメジャーメントにも活用できる」と、企業の収益力向上にも役立つと話す。

　一方で限界もある。米SOX法への対応で一躍有名になったこともあり、COBITは米国での支持が強い。欧州はISO系に根強い支持があるといわれており、アジア最大市場の中国でのCOBITの存在感はまだ小さい。ただ、COBITは世界10万人の会員を擁する国際団体のISACAが策定していることもあって、影響力は今後強まっていく可能性が高い。