日本ITガバナンス協会は3月14日、ITガバナンスのフレームワーク(評価基準の体系)である「COBIT(Control Objectives for Information and related Technology)」の最新版である「COBIT 4.0」の日本語版を公開した。日本ITガバナンス協会のWebサイトからダウンロードできる。日本語版の翻訳は、ISACA(情報システムコントロール協会)東京支部やNRIセキュアテクノロジーズが担当した。

 企業が達成すべきIT統制の目標や、目標を達成するために必要な管理指標を定めていることがCOBITの特徴だ(関連記事1関連記事2)。CEO(最高経営責任者)やCIO(最高情報責任者)、システム部門の管理者が読者の対象である。

 IT戦略を立案し、システムを開発し、運用・保守を行うまでの業務プロセスを、「計画と組織(PO)」、「調達と導入(AI)」、「サービス提供とサポート(DS)」、「モニタリングと評価(ME)」の4領域に分割。さらにPOは10、AIは7、DSは13、MEは4の計34の業務プロセスに分割し、それぞれについて詳細なIT統制目標を定義する。

 例えば「PO1:IT戦略計画の策定」では、(1)IT価値の管理、(2)ビジネスとITの整合性、(3)現在の成果の評価、(4)IT戦略計画、(5)IT実行計画、(6)ITポートフォリオの管理、といった実行すべきIT統制目標を定めている。加えて、ITガバナンスの成熟度が測定できるように、34の業務プロセスについて成熟度の目安を記述している。成熟度は「0(不在)」から「5(最適化)」の6段階で測定できる。

 米SOX法に対応した企業の多くがIT統制の整備の参考にした「COBIT for SOX(IT Control Objectives for Sarbanes-Oxley)」の元となった文書がCOBITである。COBIT for SOXは、COBITの内容をSOX法が求める「財務報告にかかるリスク」の視点で整理し、抽出したもの(関連記事3)。英BPや米サン・マイクロシステムズなどは、COBIT for SOXではなく、COBIT自体を米SOX法への対応で利用している。