エンタープライズ・リスク・マネジメント
2008
ITGIが提唱するITガバナンス、そして
IT投資のガバナンスのフレームワーク(Val IT)について
ITGI Japan(日本ITガバナンス協会)
事務局長 梶本政利
ISACA東京支部 理事 (2003-2005期会長)
An Affiliate ofISACA/ITGIの歴史
Audit
→
Control
→
Governance
IIA Research Group
EDPAA
EDPAF EDPAAISACF
ISACA
ITGI
ISACA
1967 1969 1976 1998 1993IIA: Institute of Internal Auditors
ISACA: Information Systems Audit & Control Association
EDPAA: EDP Auditors Association
ISACF: Information Systems Audit & Control Foundation
EDPAF: EDP Auditors Foundation
ITGI: IT Governance Institute
Audit
Control
Governance
1984EDPAA東京支部設立
2006ITGI Japan設立
C
OBI
T
Ⓡ(Control Objectives for Information related Technology)
の歴史
Audit → Control → Management → Governance
Governance COBIT 4 2005 COBIT 3 Management 2000 COBIT 2 Control 1998 COBIT 1 Audit 1996 E vo lu tio n
ITガバナンスの目的
• ITに関わる努力の方向性を決定し、ITの成果が次
の目的を達成することを保証することにある。
– ITと企業、約束された利益を実現することの間に整合性
を持たせる
– ITを利用して、好機を利用し、利益を最大化することで事
業を可能にする
– IT資源の責任ある利用
– IT関連リスクの適切な管理
「
COBIT 4.1」日本語版より
ITガバナンスとは
(
ITGI/ISACAの考え方)
• ITガバナンスは、経営陣および取締役会が担うべき
責務であり、
ITが組織の戦略と組織の目標を支え、
あるいは強化することを保証する、リーダシップの確
立や、組織構造とプロセスの構築である。
• ITガバナンスとは、準拠すべき優れた実践方法(手
法
)を収集、整理し、これを仕組みとして定着させる
ことによって、企業における
ITが確実にビジネス目
標をサポートできるようにするものである 。
「
COBIT 4.1」日本語版より
ITガバナンスのもたらす便益
• ITガバナンスを通じて、企業は情報を最大限
に利活用することができ、便益の最大化、ビ
ジネス機会に対する投資、競争優位性の確
保を実現できる。
「
COBIT 4.1」日本語版より
ITガバナンスの領域
• 戦略との整合
• 価値の提供
• 資源の管理
• リスクの管理
• 成果の測定
「
COBIT 4.1」日本語版より
ITガバナンスの領域の関係
戦略の定義
価値の創出
良いことの発生
機会の活用
問題の解決
悪いことの回避
価値の保全
継続的な改善
結果の測定
資源の管理
成果の測定
リスクの管理
価値の提供
戦略との整合
ITガバナンスのフレームワーク
ITガバナンスのプロセス
BSCからIT BSCへ
一般的
BSC
IT BSCの例
効果的なIT ガバナンスを保証する • IT とビジネス目標との整合 • 価値の提供 • コスト管理 • リスク管理 • 会社間の相乗効果を達成する ビジネスの期待に合致して測定する サービスプロバイダ • 競争にかかるコストを示す • 良いサービスを提供する 戦略に貢献する要因 • ビジネスプロセスに対して積極的な影響 を実現する • ビジネス戦略の実現を可能にする 将来の提供や継続的な学習や成長のための基礎を築く • 主要なコンピテンシーをもった人をひきつけ維持する • 専門に関する学習および開発に重点を置く • 権限と責任を与える環境を築く • 個々の成果およびチームでの成果を測定し報酬 を与える • 成果を向上させるために知識を獲得するIT 機能をさらなる信頼性および影響をもって遂行する
運用の優位性
• 成熟した内部IT プロセス • 運用上のサービスの成果の管理 • 規模の経済の実現 • 標準的で、信頼性のある技術 プラットフォームの構築 • 成功するIT プロジェクトを提供するビジネスパートナーシップ
• 成功するIT プロジェクトを提供する • 技術ユーザをサポートする • IT サービスの提供を計画し管理する • 事業単位戦略の理解技術リーダーシップ
• 事業単位戦略の理解 • 実現に至るソリューションを提案し認証する • 新しい技術の理解 • 企業アーキテクチャの作成顧客に関する方向付け
運用の優位性
将来の方針
会社に対する貢献
情報
進め方
1. ガバナンスの組織的フレームワークを設定する
2. ITとビジネスの目標との整合を図る
3. リスクを理解し定義する
4. 対象領域を決定する
5. 現在の能力を分析しギャップを特定する
6. 改善の戦略を策定する
7. 結果を測定する
8. 2から7のステップを定期的に繰り返す
「取締役会のためのIT ガバナンスの手引」より
ITガバナンスを支えるCOBITの体系
COBITキューブ
(
COBITの概念的構造)
COBIT 4.1 コンポーネントの相互関係
COBITで考える成熟度モデル
COBITの体系(全体像)
IT投資のガバナンス
Val-IT その基本概念
「
Val IT フレームワーク」より
Val IT Version 2 における構成
Val ITのドメインとプロセスの関係
IT投資のガバナンス
Val-ITとCOBIT
「
Val IT フレームワーク」より
VG: Value Governance
を構成するキー・マネジメント・プラクティス
• VG1 Establish informed and committed
leadership.
• VG2 Define and implement processes.
• VG3 Define portfolio characteristics.
• VG4 Align and integrate value management with
enterprise financial planning.
• VG5 Establish effective governance monitoring.
• VG6 Continuously improve value management
practices.
PM: Portfolio Management
を構成するキー・マネジメント・プラクティス
• PM1 Establish strategic direction and target
investment mix.
• PM2 Determine the availability and sources of
funds.
• PM3 Manage the availability of human
resources.
• PM4 Evaluate and select programs to fund.
• PM5 Monitor and report on investment portfolio
performance.
• PM6 Optimize investment portfolio performance.
IM: Investment Management
を構成するキー・マネジメント・プラクティス
• IM1 Develop and evaluate the initial program concept
business case.
• IM2 Understand the candidate program and implementation
options.
• IM3 Develop the program plan.
• IM4 Develop full life-cycle costs and benefits.
• IM5 Develop the detailed candidate program business case.
• IM6 Launch and manage the program.
• IM7 Update operational IT portfolios.
• IM8 Update the business case.
• IM9 Monitor and report on the program.
• IM10 Retire the program.
キー・マネジメント・プラクティスの詳細
(
VG1の例)
VG1 Establish informed and committed leadership.
•
VG1.1 Develop an understanding of the significance of IT and the role of governance.
– All executives should have a sound understanding of strategic IT issues, such as dependence on IT, and technology insights and capabilities, so there is a common and agreed-upon understanding amongst IT, the other business functions and the executives regarding the actual and potential significance of IT for the enterprise’s strategy. Enterprise leadership should have an understanding of the key elements of
governance required for the reliable, secure and cost-effective delivery of optimal value from the use of existing and new IT services, assets and resources.
•
VG1.2 Establish effective reporting lines.
– Establish effective reporting lines that allow the CIO to engage the enterprise leadership as the advocate of the significance of IT for the enterprise. The reporting line of the CIO should be commensurate with the importance of IT to the enterprise.
•
VG1.3 Establish a leadership forum.
– Establish a leadership forum to help the leadership understand and regularly discuss the opportunities that could arise from business change enabled by current, new or emerging technologies, and to understand their responsibilities in optimizing the value created from those opportunities.
•
VG1.4 Define value for the enterprise.
– Ensure that there is a clear and shared understanding of what constitutes value for the enterprise, and ensure that it is communicated throughout the enterprise.
•
VG1.5 Ensure alignment and integration of business and IT strategies with key business
goals.
– The business and IT strategies should be integrated, clearly linking enterprise, business and IT goals, and should be broadly communicated and regularly reviewed.
Val IT Version 2
マネジメントガイドラインより
Val IT Version 2
マネジメントガイドラインより
Goal and Metrics
ITGI Japanの取り組み
• 翻訳を完了し提供中のもの (1/2)
» 特記してない限りITGI Japanのサイトを経由して無償ダウンロード提供
– COBIT 4.0
– IT Control Objective for SOX Ver.2
サーベインズ・オクスリー法(企業改革法)遵守のための
IT統制目標
財務報告に係る内部統制の設計と導入におけるITの役割について(第2版)
– VAL ITシリーズ
• Val IT Framework
Val IT フレームワーク
• Val IT Business Case
Val ITビジネス・ケース
• Val IT ING Case Study
Val IT ING 社ケーススタディ
– Board Briefings on IT Governance 2nd Edition
ITGI Japanの取り組み
翻訳を完了し提供中のもの
(2/2)
☆特記してない限り
ITGI Japanのサイトを経由して無償ダウンロード提供
– Information Security Governance: Guidance for Boards of
Directors and Executive Management 2nd Edition
情報セキュリティガバナンス 取締役会と役員に対するガイダンス 第2版
– Security, Audit and Control Features of SAP R/3
「セキュリティ、監査、コントロールのための機能
SAP R/3 テクニカル/リスク・
マネジメントリファレンス・ガイド第
2版」
<ISACA Bookstoreから販売>– Security, Audit and Control Features of Oracle EBS
「セキュリティ、監査、コントロールのための機能
Oracle® E-Business Suite
テクニカル
/リスク・マネジメントリファレンス・ガイド第2版」
<ISACA Bookstoreから販売>ITGI Japanの取り組み
• 現在翻訳プロジェクト進行中
– IT Control Objectives for Basel II
– IT Assurance Guide
– COBIT Quick start 2nd Edition
– IT Governance Implementation Guide: Using COBIT and Val IT, 2nd
Edition
• 日本語によるITガバナンス関連文献の出版
☆
COBIT実践ガイドブック (日経BP社から、9月出版予定)
– 出版記念イベント
ITGI Japanのあらたな取り組み
「
COBIT実践ガイドブック」の出版
• 執筆方針
– COBITの各プロセス、さらにそれを構成するアクティビ
ティのレベルまで、具体的にどのように解釈することが出
来るのか、日本の企業であればどのような注意をすべき
か、また「 『正しく』手を抜ける」のか解説
– 「コントロール目標」、重点をおくべきコントロール、手順、
評価指標をさらに噛み砕いて説明
– 各プロセスを構成するアクティビティ間の関係、さらには
各プロセス間の関係をビジュアルに解説
– どのコントロールプロセスを適用するのが望ましいのか、
その適用の判断基準となる考え方(リスクベースアプロー
チ)を解説
ITGI Japanの2008年下期の取り組み
• COBIT導入実践コース開発プロジェクト
• ITGI Japan Conference 2008
– 開催日:2008年12月9日、10日
– 場所:大手町サンケイプラザ
– テーマ(仮)
• CIOが語るITガバナンス
• 米国SOX対応初年度後半で何が起き、それを第2年度へどうつ
なげたか?
被監査企業の責任者の立場と外部監査人の立場と
ITGI Japanのミッション
• Global to Local
世界の
ITガバナンスにおけるベスト&グッドプラクティス及び知識や研究
成果を日本の企業社会へ速やかに紹介し、さらにそれらに日本における
環境や事情を反映させつつ普及・定着の促進・支援を行います
• Local to Global
日本における
ITガバナンスのベスト&グッドプラクティス及び調査研究活
動の成果を世界に発信してまいります
• As a Member of Global Community
グローバル環境における
ITガバナンスにおける研究・調査活動への参加、
及びそのような活動の支援を行います
ITGI Japan Board Members(第1期)
会長: 松尾 明 (
ISACA東京支部 元会長、 及びISACA本部 元会長)
理事: 宮澤 修二 (
ISACA東京支部 元会長)
理事: 高須 昌也 (ISACA東京支部 前会長)
理事: 原田 要之助 (
ISACA東京支部 元会長)
理事: 堀越 繁明 (
ISACA東京支部 常務理事(法務担当))
理事: 中村 努 (
ISACA東京支部 常務理事(基準担当))
理事: 柴田 昭 (
ISACA東京支部 前々副会長、大阪支部 理事)
事務局長: 梶本 政利 (
ISACA東京支部 元会長)
監事: 齋藤 毅 (
ISACA東京支部 元会長)
ITGI Japan Board Members(第2期)
東京支部 元会長
齋藤
毅
監事
15
東京支部 元会長
梶本
政利
事務局長
14
名古屋支部 事務局長
吉田
敬治
理事
13
大阪支部 会長
安部
靖雄
理事
12
高橋
秀敏
理事
11
淀川
高喜
理事
10
東京支部 元会長
吉田
春樹
理事
9
東京支部 元理事
松原
榮一
理事
8
東京支部 元副会長、大阪支部 理事
柴田
昭
理事
7
東京支部 副会長
中村
努
理事
6
東京支部 副会長
堀越
繁明
理事
5
東京支部 元会長
原田
要之助
理事
4
東京支部 前会長
高須
昌也
理事
3
東京支部 元会長
宮澤
修二
理事
2
東京支部 元会長、国際本部 元会長
松尾
明
会長
1
ISACAとの関係
氏名
役職
ITGI Japan 顧問 (第2期)
東京支部 元会長、PDC 委員長
大和田 淳
顧問
6
東京支部 元会長
喜入 博
顧問
5
東京支部 元会長
大井 正浩
顧問
4
白浜シンポ、湯沢WS発起人
西川 徹矢
顧問
3
森本 敏
顧問
2
細川 泰秀
顧問
1
ISACAとの関係
氏名
役職
ITGI Japan組織
理事会
事務局
推薦委員会
顧問
戦略・組織
委員会
R&D委員会
翻訳出版委員会
Conference
委員会
教育ビジネス
委員会
ITGI Japan Conference 2008Project VAL-IT推進 Project 者向け解説書COBIT実務 出版Project COBIT 4.1翻訳Project IT Assurance Guide 翻訳Project <メンバー> <メンバー> <メンバー> <メンバー> <メンバー> COBIT for Basel II 翻訳Project <メンバー>
