文・高畑和弥(日立総合計画研究所 電子政府プロジェクト・リーダー)
COBIT(コビット:Control Objectives for Information and related Technology)とは、米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が定めた「ITガバナンス」の成熟度を測る手法です。ITガバナンスとは、「IT戦略の策定から実行までの一連の活動をコントロールするためのルールや体制」のことで、企業や政府、地方自治体が経営戦略を実施する際にITをより有効に活用し、IT投資の費用対効果を最大化することを目指しています。COBITでは、成熟度を測定することによってITガバナンスの改善を図り、IT戦略が組織の経営戦略をより反映したものにすることを目指しています。
COBITの最新版は2000年7月に発表された第3版で、情報システムコントロール協会のWebサイトで公開されています。COBITのフレームワークでは、IT戦略の実施に必要な一連のプロセスを「ITプロセス」と呼びます。ITプロセスは「計画と組織」「調達と導入」「提供と支援」「モニタリング」の4つの領域に分類されます。また、それぞれのITプロセスにおいて「IT資源(人・アプリケーション・技術・設備・データ)」が管理され、IT資源が生み出す「情報」が組織の経営戦略やIT戦略にフィードバックされることで、PDCAサイクルを生み出す役目を果たします。
 |
| 資料: IT Governance Institute |
ITプロセスの4つの領域は、実際には合計で34のプロセスから成ります。例えば、「モニタリング」の領域は、「プロセスのモニタリング」「内部統制の妥当性評価」「独立性保証の獲得」「独立した監査の提供」というプロセスから成り立ちます。COBITではこれらの個々のプロセスについて成熟度を測定します。成熟度は米カーネギーメロン大学ソフトウェア工学研究所が開発したCMM(Capability Maturity Model)に基づいており、レベル0「管理が存在しない」からレベル5「最適化された」までの6段階で評価されます。CMMはソフトウェア開発能力に焦点を当てており、IT戦略策定や運用、モニタリングなどは評価対象としていませんが、COBITはここからさらに視点を広げてIT投資に関わるプロセス全般を評価対象としている点が特徴です。
さらに、COBITでは成熟度を評価するための指標として戦略目標を達成するための要因のうち、とくに重要であると考えられるものである「CSF(Critical Success Factors:重要成功要因)」、何を持って目標が達成されたかを示す基準である「KGI(Key Goal Indicator:重要成果指標)」「KPI(Key Performance Indicator:重要業績指標)」などを定義しますが、これについては「バランス・スコアカード」の考え方に基づいています。
近年、政府や地方自治体の経営においてもIT戦略の重要性が高まったことから、ITガバナンスの確立が課題となっています。米国では、1996年にクリンガー・コーエン法が策定され、すべての連邦政府機関にCIO(Chief Information Officer)を設置することを義務付けるとともに、IT投資に関する効果やリスクに関する分析や評価を行うことを求めています。日本でも、経済産業省が2004年10月に発表したシステム管理基準にCOBITの考え方が取り入れられ、会計検査院でも2005年2月から3月にかけてのシステム開発時の評価でCOBITを採用するなど、COBIT導入によるITガバナンス確立に向けた動きは着実に広まっています。
