ISACA/ITGI の歴史 Audit Control Governance IIA Research Group EDPAA 1984 EDPAA 東京支部設立 EDPAF EDPAA ISACF ISACA 1998 ITGI ISACA 2006 ITGI Japan 設立

40 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

エンタープライズ・リスク・マネジメント

2008

ITGIが提唱するITガバナンス、そして

IT投資のガバナンスのフレームワーク(Val IT)について

ITGI Japan(日本ITガバナンス協会)

事務局長 梶本政利

ISACA東京支部 理事 (2003-2005期会長)

An Affiliate of

(2)

ISACA/ITGIの歴史

Audit

Control

Governance

IIA Research Group

EDPAA

EDPAF EDPAA

ISACF

ISACA

ITGI

ISACA

1967 1969 1976 1998 1993

IIA: Institute of Internal Auditors

ISACA: Information Systems Audit & Control Association

EDPAA: EDP Auditors Association

ISACF: Information Systems Audit & Control Foundation

EDPAF: EDP Auditors Foundation

ITGI: IT Governance Institute

Audit

Control

Governance

1984

EDPAA東京支部設立

2006

ITGI Japan設立

(3)

C

OBI

T

Ⓡ(Control Objectives for Information related Technology)

の歴史

Audit → Control → Management → Governance

Governance COBIT 4 2005 COBIT 3 Management 2000 COBIT 2 Control 1998 COBIT 1 Audit 1996 E vo lu tio n

(4)

ITガバナンスの目的

• ITに関わる努力の方向性を決定し、ITの成果が次

の目的を達成することを保証することにある。

– ITと企業、約束された利益を実現することの間に整合性

を持たせる

– ITを利用して、好機を利用し、利益を最大化することで事

業を可能にする

– IT資源の責任ある利用

– IT関連リスクの適切な管理

COBIT 4.1」日本語版より

(5)

ITガバナンスとは

ITGI/ISACAの考え方)

• ITガバナンスは、経営陣および取締役会が担うべき

責務であり、

ITが組織の戦略と組織の目標を支え、

あるいは強化することを保証する、リーダシップの確

立や、組織構造とプロセスの構築である。

• ITガバナンスとは、準拠すべき優れた実践方法(手

)を収集、整理し、これを仕組みとして定着させる

ことによって、企業における

ITが確実にビジネス目

標をサポートできるようにするものである 。

COBIT 4.1」日本語版より

(6)

ITガバナンスのもたらす便益

• ITガバナンスを通じて、企業は情報を最大限

に利活用することができ、便益の最大化、ビ

ジネス機会に対する投資、競争優位性の確

保を実現できる。

COBIT 4.1」日本語版より

(7)

ITガバナンスの領域

• 戦略との整合

• 価値の提供

• 資源の管理

• リスクの管理

• 成果の測定

COBIT 4.1」日本語版より

(8)

ITガバナンスの領域の関係

戦略の定義

価値の創出

良いことの発生

機会の活用

問題の解決

悪いことの回避

価値の保全

継続的な改善

結果の測定

資源の管理

成果の測定

リスクの管理

価値の提供

戦略との整合

(9)

ITガバナンスのフレームワーク

(10)

ITガバナンスのプロセス

(11)

BSCからIT BSCへ

一般的

BSC

(12)

IT BSCの例

効果的なIT ガバナンスを保証する • IT とビジネス目標との整合 • 価値の提供 • コスト管理 • リスク管理 • 会社間の相乗効果を達成する ビジネスの期待に合致して測定する サービスプロバイダ • 競争にかかるコストを示す • 良いサービスを提供する 戦略に貢献する要因 • ビジネスプロセスに対して積極的な影響 を実現する • ビジネス戦略の実現を可能にする 将来の提供や継続的な学習や成長のための基礎を築く • 主要なコンピテンシーをもった人をひきつけ維持する • 専門に関する学習および開発に重点を置く • 権限と責任を与える環境を築く • 個々の成果およびチームでの成果を測定し報酬 を与える • 成果を向上させるために知識を獲得する

IT 機能をさらなる信頼性および影響をもって遂行する

運用の優位性

• 成熟した内部IT プロセス • 運用上のサービスの成果の管理 • 規模の経済の実現 • 標準的で、信頼性のある技術 プラットフォームの構築 • 成功するIT プロジェクトを提供する

ビジネスパートナーシップ

• 成功するIT プロジェクトを提供する • 技術ユーザをサポートする • IT サービスの提供を計画し管理する • 事業単位戦略の理解

技術リーダーシップ

• 事業単位戦略の理解 • 実現に至るソリューションを提案し認証する • 新しい技術の理解 • 企業アーキテクチャの作成

顧客に関する方向付け

運用の優位性

将来の方針

会社に対する貢献

情報

(13)

進め方

1. ガバナンスの組織的フレームワークを設定する

2. ITとビジネスの目標との整合を図る

3. リスクを理解し定義する

4. 対象領域を決定する

5. 現在の能力を分析しギャップを特定する

6. 改善の戦略を策定する

7. 結果を測定する

8. 2から7のステップを定期的に繰り返す

「取締役会のためのIT ガバナンスの手引」より

(14)

ITガバナンスを支えるCOBITの体系

(15)

COBITキューブ

COBITの概念的構造)

(16)

COBIT 4.1 コンポーネントの相互関係

(17)

COBITで考える成熟度モデル

(18)

COBITの体系(全体像)

(19)

IT投資のガバナンス

Val-IT その基本概念

Val IT フレームワーク」より

(20)

Val IT Version 2 における構成

(21)

Val ITのドメインとプロセスの関係

(22)

IT投資のガバナンス

Val-ITとCOBIT

Val IT フレームワーク」より

(23)

VG: Value Governance

を構成するキー・マネジメント・プラクティス

• VG1 Establish informed and committed

leadership.

• VG2 Define and implement processes.

• VG3 Define portfolio characteristics.

• VG4 Align and integrate value management with

enterprise financial planning.

• VG5 Establish effective governance monitoring.

• VG6 Continuously improve value management

practices.

(24)

PM: Portfolio Management

を構成するキー・マネジメント・プラクティス

• PM1 Establish strategic direction and target

investment mix.

• PM2 Determine the availability and sources of

funds.

• PM3 Manage the availability of human

resources.

• PM4 Evaluate and select programs to fund.

• PM5 Monitor and report on investment portfolio

performance.

• PM6 Optimize investment portfolio performance.

(25)

IM: Investment Management

を構成するキー・マネジメント・プラクティス

• IM1 Develop and evaluate the initial program concept

business case.

• IM2 Understand the candidate program and implementation

options.

• IM3 Develop the program plan.

• IM4 Develop full life-cycle costs and benefits.

• IM5 Develop the detailed candidate program business case.

• IM6 Launch and manage the program.

• IM7 Update operational IT portfolios.

• IM8 Update the business case.

• IM9 Monitor and report on the program.

• IM10 Retire the program.

(26)

キー・マネジメント・プラクティスの詳細

VG1の例)

VG1 Establish informed and committed leadership.

VG1.1 Develop an understanding of the significance of IT and the role of governance.

– All executives should have a sound understanding of strategic IT issues, such as dependence on IT, and technology insights and capabilities, so there is a common and agreed-upon understanding amongst IT, the other business functions and the executives regarding the actual and potential significance of IT for the enterprise’s strategy. Enterprise leadership should have an understanding of the key elements of

governance required for the reliable, secure and cost-effective delivery of optimal value from the use of existing and new IT services, assets and resources.

VG1.2 Establish effective reporting lines.

– Establish effective reporting lines that allow the CIO to engage the enterprise leadership as the advocate of the significance of IT for the enterprise. The reporting line of the CIO should be commensurate with the importance of IT to the enterprise.

VG1.3 Establish a leadership forum.

– Establish a leadership forum to help the leadership understand and regularly discuss the opportunities that could arise from business change enabled by current, new or emerging technologies, and to understand their responsibilities in optimizing the value created from those opportunities.

VG1.4 Define value for the enterprise.

– Ensure that there is a clear and shared understanding of what constitutes value for the enterprise, and ensure that it is communicated throughout the enterprise.

VG1.5 Ensure alignment and integration of business and IT strategies with key business

goals.

– The business and IT strategies should be integrated, clearly linking enterprise, business and IT goals, and should be broadly communicated and regularly reviewed.

(27)

Val IT Version 2

マネジメントガイドラインより

(28)

Val IT Version 2

マネジメントガイドラインより

Goal and Metrics

(29)

ITGI Japanの取り組み

• 翻訳を完了し提供中のもの (1/2)

» 特記してない限りITGI Japanのサイトを経由して無償ダウンロード提供

– COBIT 4.0

– IT Control Objective for SOX Ver.2

サーベインズ・オクスリー法(企業改革法)遵守のための

IT統制目標

財務報告に係る内部統制の設計と導入におけるITの役割について(第2版)

– VAL ITシリーズ

• Val IT Framework

Val IT フレームワーク

• Val IT Business Case

Val ITビジネス・ケース

• Val IT ING Case Study

Val IT ING 社ケーススタディ

– Board Briefings on IT Governance 2nd Edition

(30)

ITGI Japanの取り組み

翻訳を完了し提供中のもの

(2/2)

☆特記してない限り

ITGI Japanのサイトを経由して無償ダウンロード提供

– Information Security Governance: Guidance for Boards of

Directors and Executive Management 2nd Edition

情報セキュリティガバナンス 取締役会と役員に対するガイダンス 第2版

– Security, Audit and Control Features of SAP R/3

「セキュリティ、監査、コントロールのための機能

SAP R/3 テクニカル/リスク・

マネジメントリファレンス・ガイド第

2版」

<ISACA Bookstoreから販売>

– Security, Audit and Control Features of Oracle EBS

「セキュリティ、監査、コントロールのための機能

Oracle® E-Business Suite

テクニカル

/リスク・マネジメントリファレンス・ガイド第2版」

<ISACA Bookstoreから販売>

(31)

ITGI Japanの取り組み

• 現在翻訳プロジェクト進行中

– IT Control Objectives for Basel II

– IT Assurance Guide

– COBIT Quick start 2nd Edition

– IT Governance Implementation Guide: Using COBIT and Val IT, 2nd

Edition

• 日本語によるITガバナンス関連文献の出版

COBIT実践ガイドブック (日経BP社から、9月出版予定)

– 出版記念イベント

(32)

ITGI Japanのあらたな取り組み

COBIT実践ガイドブック」の出版

• 執筆方針

– COBITの各プロセス、さらにそれを構成するアクティビ

ティのレベルまで、具体的にどのように解釈することが出

来るのか、日本の企業であればどのような注意をすべき

か、また「 『正しく』手を抜ける」のか解説

– 「コントロール目標」、重点をおくべきコントロール、手順、

評価指標をさらに噛み砕いて説明

– 各プロセスを構成するアクティビティ間の関係、さらには

各プロセス間の関係をビジュアルに解説

– どのコントロールプロセスを適用するのが望ましいのか、

その適用の判断基準となる考え方(リスクベースアプロー

チ)を解説

(33)
(34)

ITGI Japanの2008年下期の取り組み

• COBIT導入実践コース開発プロジェクト

• ITGI Japan Conference 2008

– 開催日:2008年12月9日、10日

– 場所:大手町サンケイプラザ

– テーマ(仮)

• CIOが語るITガバナンス

• 米国SOX対応初年度後半で何が起き、それを第2年度へどうつ

なげたか?

被監査企業の責任者の立場と外部監査人の立場と

(35)

ITGI Japanのミッション

• Global to Local

世界の

ITガバナンスにおけるベスト&グッドプラクティス及び知識や研究

成果を日本の企業社会へ速やかに紹介し、さらにそれらに日本における

環境や事情を反映させつつ普及・定着の促進・支援を行います

• Local to Global

日本における

ITガバナンスのベスト&グッドプラクティス及び調査研究活

動の成果を世界に発信してまいります

• As a Member of Global Community

グローバル環境における

ITガバナンスにおける研究・調査活動への参加、

及びそのような活動の支援を行います

(36)

ITGI Japan Board Members(第1期)

会長: 松尾 明 (

ISACA東京支部 元会長、 及びISACA本部 元会長)

理事: 宮澤 修二 (

ISACA東京支部 元会長)

理事: 高須 昌也 (ISACA東京支部 前会長)

理事: 原田 要之助 (

ISACA東京支部 元会長)

理事: 堀越 繁明 (

ISACA東京支部 常務理事(法務担当))

理事: 中村 努 (

ISACA東京支部 常務理事(基準担当))

理事: 柴田 昭 (

ISACA東京支部 前々副会長、大阪支部 理事)

事務局長: 梶本 政利 (

ISACA東京支部 元会長)

監事: 齋藤 毅 (

ISACA東京支部 元会長)

(37)

ITGI Japan Board Members(第2期)

東京支部 元会長

齋藤

監事

15

東京支部 元会長

梶本

政利

事務局長

14

名古屋支部 事務局長

吉田

敬治

理事

13

大阪支部 会長

安部

靖雄

理事

12

高橋

秀敏

理事

11

淀川

高喜

理事

10

東京支部 元会長

吉田

春樹

理事

9

東京支部 元理事

松原

榮一

理事

8

東京支部 元副会長、大阪支部 理事

柴田

理事

7

東京支部 副会長

中村

理事

6

東京支部 副会長

堀越

繁明

理事

5

東京支部 元会長

原田

要之助

理事

4

東京支部 前会長

高須

昌也

理事

3

東京支部 元会長

宮澤

修二

理事

2

東京支部 元会長、国際本部 元会長

松尾

会長

1

ISACAとの関係

氏名

役職

(38)

ITGI Japan 顧問 (第2期)

東京支部 元会長、PDC 委員長

大和田 淳

顧問

6

東京支部 元会長

喜入 博

顧問

5

東京支部 元会長

大井 正浩

顧問

4

白浜シンポ、湯沢WS発起人

西川 徹矢

顧問

3

森本 敏

顧問

2

細川 泰秀

顧問

1

ISACAとの関係

氏名

役職

(39)

ITGI Japan組織

理事会

事務局

推薦委員会

顧問

戦略・組織

委員会

R&D委員会

翻訳出版委員会

Conference

委員会

教育ビジネス

委員会

ITGI Japan Conference 2008Project VAL-IT推進 Project 者向け解説書COBIT実務 出版Project COBIT 4.1

翻訳Project IT Assurance Guide 翻訳Project <メンバー> <メンバー> <メンバー> <メンバー> <メンバー> COBIT for Basel II 翻訳Project <メンバー>

(40)

関連リンク

• ITGI Japan(日本ITガバナンス協会)

http://www.itgi.jp/

• ITGI

http://www.itgi.org/

• ISACA

http://www.isaca.org/

Updating...

参照

Updating...

関連した話題 :