COBIT 5 の紹介 - PDF 無料ダウンロード

Presented by 東京海上日動システムズ ( 株 ) 生保本部ソリューションプロデューサー ISACA 東京支部基準委員会委員上山隆 Material Prepared by : 東京海上日動システムズ ( 株 ) GRC 支援部兼経営企画部上級エキスパート ISACA 東京支部基準委員会委員稲葉裕一

COBIT 5 とは事業体の IT ガバナンスと IT マネジメントのためのビジネスフレームワーク効果の実現リスクの最適化資源の最適化とのバランスを維持し IT により最適な価値を創り出すことを支援営利非営利公的機関等すべての規模の事業体に適用でき有効なもの 4

COBIT 5 に至るまでスコープの進化事業体のITガバナンス (GEIT) ITガバナンスマネジメントコントロール監査 Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 ISACAが提供するビジネスフレームワーク www.isaca.org/cobit 2012 ISACA All rights reserved. 5

事業体 IT ガバナンス (GEIT) ガバナンスは舵取りギリシャ語の動詞 kubernáo( 舵を取る ) に由来日本では統治が一般的 ( 押さえつけるような語感 ) IT ガバナンス IT 部門 (CIO) の視点 IT 部門中心のガバナンス事業体 IT ガバナンス (GEIT: ガイト / ゲイトと発音 ) 経営トップ (CEO) の視点ビジネスガバナンス ~ITが経営の中心的な役割になってきているので 6

GEIT vs. IT ガバナンス取締役会 CEO COO,CxO 部門部門部門部門ビジネス部門 GEIT IT ガバナンス CIO IT 部門 7

COBIT 5 プロダクトファミリー COBIT 5 プロダクトファミリー COBIT 5 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 日本語版, 図表 11. 2012 ISACA All rights reserved. 8

COBIT 5 プロダクトファミリー日本語版 COBIT 5 プロダクトファミリー COBIT 5 済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5 for Information Security COBIT 5 for Assurance 着手 COBIT 5 for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 日本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 9

COBIT 5 フレームワーク正式名称 : COBIT 5 : A Business Framework for the Governance and Management of Enterprise IT COBIT 5 プロダクトの中心であり全体を包括構成 COBIT5 の 5 つの原則 COBIT5 の 7 つのイネーブラー COBIT5 プロセス参照モデル COBIT5 の導入ガイダンスの紹介 (COBIT 5 Implementation) COBIT アセスメントモデルの紹介 (COBIT Process Assessment Model : PAM) 13

COBIT 5 のイネーブラー 2. プロセス 3. 組織構造 4. 文化倫理および行動 1. 原則ポリシーおよびフレームワーク 5. 情報 6. サービスインフラストラクチャおよびアプリケーション 7. 人材スキルおよび遂行能力資源 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 出典 : COBIT 5 日本語版, 図表 12. 2012 ISACA All rights reserved. 15

COBIT 5 プロセス参照モデル事業体 IT ガバナンスのためのプロセス評価方向付けおよびモニタリング EDM01 ガバナンスフレームワークの設定と維持の確保 EDM02 効果提供の確保 EDM03 リスク最適化の確保 EDM04 資源最適化の確保 EDM01 ステークホルダーへの透明性の確保整合計画および組織化 APO01 IT マネジメントフレームワークの管理 APO08 関係管理 APO02 戦略管理 APO09 サービス契約の管理 APO03 エンタープライズアーキテクチャ管理 APO10 サプライヤーの管理 APO04 イノベーション管理 APO11 品質管理 APO05 ポートフォリオ管理 APO12 リスク管理 APO06 予算と費用の管理 APO13 セキュリティ管理 APO07 人材の管理モニタリング評価およびアセスメント MEA01 成果と整合性のモニタリング評価およびアセスメント構築調達および導入 BAI01 プログラムとプロジェクトの管理 BAI02 要件定義の管理 BAI03 ソリューションの特定と構築の管理 BAI04 可用性とキャパシティの管理 BAI05 組織の変革実現の管理 BAI06 変更管理 BAI07 変更受入と移行の管理 MEA02 内部統制システムのモニタリング評価およびアセスメント BAI08 知識の管理 BAI09 資産の管理 BAI10 構成の管理提供サービスおよびサポート DSS01 オペレーション管理 DSS02 サービス要求とインシデントの管理 DSS03 問題管理 DSS04 継続性管理 DSS05 セキュリティサービスの管理 DSS06 ビジネスプロセスのコントロールの管理 MEA03 外部要求へのコンプライアンスのモニタリング評価およびアセスメント事業体の IT マネジメントのためのプロセス出典 : COBIT 5 日本語版, 図表 16. 2012 ISACA All rights reserved. 16

原則 1. ステークホルダーのニーズを充足ステークホルダーのニーズを事業体の戦略に変換 COBIT 5の達成目標のカスケード ( 展開 ) ステークホルダーのニーズから事業体の達成目標 IT 達成目標イネーブラーの達成目標へ展開するステークホルダーのドライバー ( 環境技術革新 ) ステークホルダーのニーズ効果の実現リスク最適化事業体の達成目標 IT 達成目標影響資源最適化カスケード ( 展開 ) カスケード ( 展開 ) カスケード ( 展開 ) イネーブラーの達成目標出典 : COBIT 5 日本語版, 図表 4. 2012 ISACA All rights reserved. 22

原則 2. 事業体全体の包含事業体全体にわたる包括的な視点から情報とそれに関連する技術のガバナンスとマネジメントを取り扱う事業体の中の全ての部門全てのプロセスをカバー事業体 IT ガバナンス (GEIT) はコーポレートガバナンス ( ビジネスガバナンス ) そのもの 27

原則 2. 事業体全体の包含ガバナンスのアプローチガバナンス目標 : 価値創出効果の実現リスク最適化資源最適化ガバナンスイネーブラーガバナンススコープ役割アクティビティ関係性出典 : COBIT 5 日本語版, 図表 8. 2012 ISACA All rights reserved. オーナーおよびステークホルダー役割アクティビティ関係性委任方向付け指示整合ガバナンスマネジメント主体説明責任モニター報告運営実行出典 : COBIT 5 日本語版, 図表 9. 2012 ISACA All rights reserved.

原則 3. 一つに統合されたフレームワークの適用最新の関連する他の標準やフレームワークと整合事業体 : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 IT 関連 : ISO/IEC 38500, ITIL, ISO/IEC 27000 シリーズ, TOGAF, PMBOK/PRINCE2, CMMI ガバナンスとマネジメントのフレームワークを統合するものとして利用可能 30

原則 4. 包括的アプローチの実現 COBIT 5 のイネーブラー事業体の IT に関するガバナンスとマネジメントに対して個々にかつ集合的に影響を与える要因目標のカスケード ( 展開 ) により推進される 7 つのカテゴリーで記述 32

原則 4. 包括的アプローチの実現 1. 原則ポリシーおよびフレームワーク要求される行動を日々のマネジメントの実践的なガイダンスに変換する手段 2. プロセス文書化され組織化された確かな目標を達成し IT 関連目標をサポートするアウトプットの集合を生み出すための実践と活動の組織化された集合を記述 3. 組織構造組織における重要な意思決定の実体 ( エンティティ ) 4. 文化倫理および行動各個人のものであり組織のもの多くの場合ガバナンスとマネジメントの活動の成功要因として過小評価されている 5. 情報いかなる組織でも全体に深く浸透しているもの事業体で生み出され使用されている全情報が取り扱われる情報はその組織の運営を維持しうまくガバナンスされるために必要とされるが運用レベルでは多くの場合情報が事業体そのものの重要な生産物 6. サービスインフラストラクチャおよびアプリケーション情報技術処理とサービスを事業体に提供するインフラストラクチャ技術およびアプリケーション 7. 人スキルおよび遂行能力人とリンクし全ての活動がうまく完了し正しい意思決定を行い是正措置を行うために必要 34

原則 4. 包括的アプローチの実現相互接続されたイネーブラーインプット十分に効果的であるために他のイネーブラーからのインプットが必要例えばプロセスは情報が必要であり組織構造はスキルと行動が必要アウトプット他のイネーブラーへ効果をもたらすアウトプットを提供例えばプロセスは情報を提供しスキルと行動はプロセスを効率化 35

イネーブラーのパフォーマンスの管理イネーブラーの特質原則 4. 包括的アプローチの実現イネーブラーの特質共通でシンプルで構造化された方法を提供する複雑な相互作用をマネジメントすることを可能とする成果達成を手助けするステークホルダー内部のステークホルダー外部のステークホルダー達成目標本質的な品質状況に応じた品質 ( 適切性有効性 ) アクセスビリティとセキュリティライフサイクル計画設計構築 / 調達 / 作成 / 導入利用 / 運用評価 / モニター更新 / 廃棄優れた実践手法実践事例作業成成果物 ( インプット / アウトプット ) ステークホルダーのニーズに対応しているか? イネーブラーの達成目標が達成されているか? ライフサイクルが管理されているか? 優れた実践手法が適用されているか? 達成目標の達成度に関する測定指標 ( 遅行指標 ) 実践手法の運用に関する測定指標 ( 先行指標 ) 出典 : COBIT 5 日本語版, 図表 13. 2012 ISACA All rights reserved. 36

原則 5. ガバナンスとマネジメントの分離ガバナンスとマネジメントの間に明確な区別異なるタイプの活動を包含する異なる組織構造を必要とする異なる目的を持つガバナンスほとんどの事業体においてガバナンスは取締役会の責任でありその取締役会議長のリーダーシップのもとにあるマネジメントほとんどの事業体においてマネジメントは経営幹部の責任であり最高経営責任者 (CEO) のリーダーシップのもとにある 38

原則 5. ガバナンスとマネジメントの分離ガバナンスとはバランスが取れ合意された達成すべき事業体の目標を決定するために EDM サイクルを回すことステイクホルダーのニーズや条件選択肢を評価 (Evaluate) 優先順位の設定と意思決定によって方向性を定め (Direct) 合意した方向性と目標に沿って成果や準拠性をモニター (Monitor) マネジメントとは事業体の目標の達成に向けてガバナンス主体が定めた方向性と整合するように PBRM アクティビティを実行すること計画 (Plan) 構築 (Build) 実行 (Run) モニター (Monitor) 39

プロセス : イネーブラーの 1 つ COBIT 5 の事業体のイネーブラー 2. プロセス 3. 組織構造 4. 文化倫理および行動 1. 原則ポリシーおよびフレームワーク 5. 情報 6. サービスインフラストラクチャおよびアプリケーション資源資 7. 人材スキルおよび遂行能力出典 : COBIT 5 日本語版, 図表 12. 2012 ISACA All rights reserved. 42

COBIT 5: Enabling Processes COBIT 5 プロダクトファミリー COBIT 5 日本語化済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 日本語化済 COBIT 5 プロフェッショナルガイド COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 Implementation 日本語化済 COBIT 5 for Information Security COBIT 5 for Assurance 日本語化着手 COBIT 5 for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 日本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 日本語化 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 43

COBIT 5: Enabling Processes COBIT 5: Enabling Processes は COBIT 5 を補完し COBIT 5 プロセス参照モデルに定義されているプロセスに関する詳細な参照ガイドである第 1 章はじめに第 2 章事業体と IT 関連の達成目標のカスケード ( 展開 ) と測定指標第 3 章 COBIT 5 プロセスモデル第 4 章 COBIT 5 プロセス参照モデル ( プロセス参照モデルが図解されている ) 第 5 章 COBIT 5 プロセス参照ガイド (COBIT 5 全 37 プロセスの詳細プロセス情報が記述されている ) 44

COBIT 5: Enabling Processes 事業体の IT ガバナンスのためのプロセス評価方向付けおよびモニタリング EDM01 ガバナンスフレームワークの設定と維持の確保 EDM02 効果提供の確保 EDM03 リスク最適化の確保 EDM04 資源最適化の確保 EDM01 ステークホルダーへの透明性の確保整合計画および組織化 APO01 IT マネジメントフレームワークの管理 APO08 関係管理 APO02 戦略管理 APO09 サービス契約の管理 APO03 エンタープライズアーキテクチャ管理 APO10 サプライヤーの管理 APO04 イノベーション管理 APO11 品質管理 APO05 ポートフォリオ管理 APO12 リスク管理 APO06 予算と費用の管理 APO13 セキュリティ管理 APO07 人材の管理モニタリング評価およびアセスメント MEA01 成果と整合性のモニタリング評価およびアセスメント構築調達および導入 BAI01 プログラムとプロジェクトの管理 BAI02 要件定義の管理 BAI03 ソリューションの特定と構築の管理 BAI04 可用性とキャパシティの管理 BAI05 組織の変革実現の管理 BAI06 変更管理 BAI07 変更受入と移行の管理 MEA02 内部統制システムのモニタリング評価およびアセスメント BAI08 知識の管理 BAI09 資産の管理 BAI10 構成の管理提供サービスおよびサポート DSS01 オペレーション管理 DSS02 サービス要求とインシデントの管理 DSS03 問題管理 DSS04 継続性管理 DSS05 セキュリティサービスの管理 DSS06 ビジネスプロセスのコントロールの管理 MEA03 外部要求へのコンプライアンスのモニタリング評価およびアセスメント事業体の IT マネジメントのためのプロセス出典 : COBIT 5 日本語版, 図表 16. 2012 ISACA All rights reserved. 45

COBIT 5: Enabling Processes COBIT 5 プロセス参照モデルは事業体における IT 関連の実践と活動を 2 つの主要領域に分割ガバナンスドメインは 5 つのガバナンスプロセスで構成される各プロセスの中に評価方向付けモニタリング (EDM) の実践が定義されている 4 つのマネジメントドメインは計画構築実行およびモニター (PBRM) の責任領域に対応している 46

COBIT 5 Implementation COBIT 5 プロダクトファミリー COBIT 5 日本語化済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 日本語化済 COBIT 5 プロフェッショナルガイド COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 Implementation 日本語化済 COBIT 5 for Information Security COBIT 5 for Assurance 日本語化着手 COBIT 5 for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 日本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 日本語化 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 48

経営者の認識 COBIT 5 Implementation 事業体の IT ガバナンス (GEIT) の改善は事業体ガバナンスにとって必須の部分情報と情報技術 (IT) はビジネスと社会生活の全ての局面でますます拡大 IT 投資からより多くの価値を生み出したい増大する IT 関連リスクをしっかり管理したい情報をビジネスで利用することにかかわる規制と法律の増大にしっかり対応したい 49

COBIT 5 Implementation COBIT 5 は良い GEIT を導入するためのフレームワークベストプラクティス標準であるフレームワークベストプラクティス標準は効果的に選択適用されるべき成功のためには乗り越えるべきチャレンジと課題がある COBIT5 Implementation はこれらを効果的に行うためのガイダンス COBIT 5 を活用した GEIT の導入ガイダンス ~COBIT 5 の導入ガイダンスではない 50

COBIT 5 Implementation COBIT 5 Implementation の内容事業体内におけるGEITの位置付け GEIT の改善に向けての第 1 歩を踏み出すこと改善への挑戦と成功要因 GEITに関連する組織および行動の変革の実現変革実現とプログラム管理が含まれる継続的改善の導入 COBIT 5 とその構成要素の利用 51

アセスメント指標能力軸最適化されたプロセス革新されたプロセスコントロールされたプロセス測定されたプロセス展開されたプロセス定義されたプロセス実行を管理作業成果物を管理実行されたプロセスプロセス能力属性測定指標基づくプロセス実行測定指標基づく一般実践手法一般作業成果物基本実践手法作業成果物 COBIT 5 プロセス軸 Source: COBIT 5 日本語版図表 19. 2012 ISACA All rights reserved. 57

58 新 COBIT アセスメントプログラムとは COBIT 4.1 COBIT 5 EDM ドメイン追加などプロセス参照モデル COBIT 4.1 プロセス参照モデル (4 ドメイン 34 プロセス ) COBIT 5 プロセス参照モデル (5 ドメイン 37 プロセス ) 従来のアセスメントアセスメント可アセスメントモデルプロセス成熟度モデル (CMM:COBIT Maturity Model) 成熟度レベル評価 ISO15504 に準拠プロセスアセスメントモデル (PAM:Process Assessment Model) 能力度レベル評価

アセスメントモデル比較 COBIT 4.1 COBIT 5(ISO/IEC 15504) 成熟度モデルレベルに基づいたプロセス能力 5 レベル 5: 最適化されている最適化しているプロセス 4 レベル 4: 管理され測定可能である予測可能なプロセス 3 レベル 3: 定義されたプロセス確立されたプロセスレベル 2: 管理されたプロセス 2 繰返し可能だが直感的レベル 1: 1 実施されたプロセス初期 / アドホック 0 レベル 0: 存在しない不完全なプロセスコンテキスト事業体の視点企業の知識インスタンスの視点個人の知識 Source: COBIT 5 日本語版図表 19. 2012 ISACA All rights reserved. 59

COBIT 5 実践事例による解説 COBIT 5 を理解する最善の方法 - それは実践事例による解説ではないか保険グループにおける IT サービス会社の事例を紹介 COBIT 5 を参考にし部分的に適用して GRC 態勢を構築 COBIT 5 のひとつの使い方事例として 62

保険グループの IT サービス会社保険グループ内部統制管理態勢法律規制等 F S A 法規制監督監督経営管理経営管理ホールディング会社損害保険会社 IT サービス業務委託契約 IT サービス会社経営管理生命保険会社 IT サービス業務委託契約 63

IT サービス会社の GRC の概念 G ガバナンス ( 価値の創出 ) 保険グループ内部統制フレームワーク (GRC への統合的対応 ) R リスク管理 ( リスクの最適化 ) コンプライアンス ( ルールの遵守 ) C 64

保険グループの内部統制フレームワークグループ各社の内部統制領域内部統制領域 AAAAAAAA 内部統制領域 BBBBBBBB 各イネーブラーの達成目標を設定内部統制領域 YYYYYYYY 内部統制領域 ZZZZZZZZ 内部統制に関する基本方針の雛形 [ グループ会社名 ] に関する基本方針内部統制に関する基本方針体系 AAAAAAA に関する基本方針各内部統制領域に関する基本方針を明確化 BBBBBBB に関する基本方針内部統制基本方針 YYYYYYY に関する基本方針 ZZZZZZZ に関する基本方針第 1 条 ( 目的 ) 第 2 条 ( 定義等 ) 第 3 条 ( 基本的考え方 ) 第 4 条 ( 態勢の整備 ) 第 5 条 ( 子会社としての役割 ) 第 6 条 ( 改廃 ) 65

IT サービス会社の GRC 領域内部統制領域 (GRC 領域 ) 内部統制 (GRC) 適正性適合性リスク管理効率性グループ会社経営管理 IT サービス業務経理情報開示グループ内取引等管理コンプライアンス顧客保護等情報セ反社会的キュリティ勢力等へ管理の対応内部監査リスク管理危機管理 IT ガバナンス人事利益相反取引等の管理外部委託管理個別リスク経営リスク流動性リスクレピュテーショナルリスク事務リスクシステムリスク情報漏えいリスク法務リスク事故災害犯罪リスク人事労務リスク 66

IT サービス会社の GRC 態勢株主お客様 (IT サービス提供先会社 ) ステークホルダーニーズ効果の実現お客様価値の提供ガバナンス目標 : 価値創出資源の最適化達成目標企業価値の創造リスクの最適化内部統制整備運用ガバナンス層取締役会取締役評価 (Evaluate) お客様価値提供の状況説明責任業務遂行状況報告企業価値創造の状況内部統制整備運用の状況方向付け (Direct) 内部統制達成目標企業コンセプト内部統制基本方針 ( 経営理念ビジョン ) 評価改善活動 (PDCA Cycle) モニタリング (Monitor) お客様価値提供の状況業務遂行状況報告企業価値創造の状況内部統制整備運用の状況マネジメント層執行役員本部長部長等業務遂行 ( 内部統制基本方針に従い7つの態勢構成要素を駆使 ) 内部統制フレームワーク方針規程等業務プロセス組織体制文化倫理行動情報社員スタッフパートナー会社サービスシステム基盤アプリケーション人材スキルコンピテンシー 67

IT サービス会社の GRC 態勢株主お客様 (ITサービス提供先会社) ガバナンス目標 : 価値創出ステークホルダーニーズ資源の効果の実現ガバナンス目標 : 価値創出最適化効果の実現お客様価値の提供お客様価値資源の最適化達成目標企業価値の創造リスクの最適化内部統制整備運用の提供取締役会取締役の創造方向付け (Direct) プロジェクトサービスイン SLA 達成など企業コンセプト ( 経営理念ビジョン ) ステークホルダーニーズ内部統制達成目標達成目標企業価値人材育成業務領域拡大など方向付け (Direct) 内部統制基本方針内部統制達成目標内部統制フ企業コンセプト内部統制基本方針レームワーク ( 経営理念ビジョン業務プロセス ) 組織体制方針規程等リスクのガバナンス層最適化取締役会取締役内部統制整備運用イネーブラー達成目標を具体的に表現評価 (Evaluate) 評価改善活動 (PDCA Cycle) マネジメント層執行役員本部長部長等業務遂行 ( 内部統制基本方針に従い 7 つの態勢構成要素を駆使 ) 文化倫理行動お客様価値提供の状況プロジェクトサービスイン SLA 達成など社員スタッフパートナー会社説明責任お客様価値提供の状況企業価値説明責任業務遂行状況報告業務遂行状況報告企業価値内部統制整備創造の状況運用の状況取締役会取締役創造の状況運用の状況モニタリング (Monitor) 人材育成業務領域拡大など業務遂行状況報告お客様価値企業価値モニタリング提供の状況創造の状況 (Monitor) 業務遂行状況報告内部統制整備内部統制リスク管理をしっかりと内部統制リスク管理をしっかりと内部統制整備運用の状況お客様価値サービスシス企業価値内部統制整備人材スキル提供の状況情報創造の状況テム基盤アプ運用の状況コンピテンシーリケーションステークホルダーニーズの充足状況イネーブラー達成目標の達成状況ライフサイクルの管理状況 68

原則 1: ステークホルダーニーズの充足適用株主お客様 (ITサービス提供先会社) ガバナンス目標 : 価値創出ステークホルダーニーズ資源の効果の実現ガバナンス目標 : 価値創出最適化効果の実現お客様価値の提供お客様価値資源の最適化達成目標企業価値の創造リスクの最適化内部統制整備運用の提供取締役会取締役の創造方向付け (Direct) 企業コンセプト ( 経営理念ビジョン ) ステークホルダーニーズ内部統制達成目標達成目標企業価値方向付け (Direct) 内部統制基本方針内部統制達成目標内部統制フ企業コンセプト内部統制基本方針レームワーク ( 経営理念ビジョン業務プロセス ) 組織体制方針規程等リスクのガバナンス層最適化取締役会取締役内部統制整備運用評価 (Evaluate) 評価改善活動 (PDCA Cycle) マネジメント層執行役員本部長部長等業務遂行 ( 内部統制基本方針に従い7つの態勢構成要素を駆使イネーブラーの達成目標 ) 文化倫理行動情報社員スタッフパートナー会社ガバナンス目標 : 価値創出説明責任効果の実現ステークホルダーニーズリスク最適化お客様価値提供の状況事業体の達成目標モニタリング (Monitor) お客様価値提供の状況 IT 達成目標サービスシステム基盤アプリケーション業務遂行状況報告企業価値カスケード内部統制整備 ( 展開 ) 創造の状況運用の状況業務遂行状況報告企業価値創造の状況推進資源最適化カスケード ( 展開 ) 内部統制整備運用の状況カスケード ( 展開 ) 人材スキルコンピテンシー 73

原則 2. 事業体全体の包含事業体全体にわたる包括的な視点から情報とそれに関連する技術のガバナンスとマネジメントを取り扱う事業体の中の全ての部門全てのプロセスをカバー事業体 IT ガバナンス (GEIT) はコーポレートガバナンス ( ビジネスガバナンス ) そのもの 75

原則 2. 事業体全体の包含ガバナンスのアプローチガバナンス目標 : 価値創出便益の実現リスク最適化資源最適化ガバナンスイネーブラーガバナンススコープ役割アクティビティ関係性出典 : COBIT 5 日本語版, 図表 8. 2012 ISACA All rights reserved. オーナーおよびステークホルダー役割アクティビティ関係性委任方向付け指示整合ガバナンスマネジメント主体説明責任モニター報告運営実行出典 : COBIT 5 日本語版, 図表 9. 2012 ISACA All rights reserved.

原則 2: 事業体全体の包含の適用 77 IT ガバナンス人事効率性リスク管理危機管理リスク管理利益相反取引等の管理外部委託管理コンプライアンス顧客保護等情報セキュリティ管理反社会的勢力等への対応内部監査適合性グループ会社経営管理 IT サービス業務経理情報開示グループ内取引等管理適正性経営リスク流動性リスクレピュテーショナルリスク事務リスクシステムリスク個別リスク情報漏えいリスク法務リスク事故災害犯罪リスク人事労務リスク内部統制 (GRC) 事業体の中の全ての部門全てのプロセスをカバー

原則 2: 事業体全体の包含の適用オーナーおよびステークホルダー事業体全体にわたる包括的な視点から情報とそれに関連する技術のガバナンスとマネジメントを取り扱う説明責任モニター報告ガバナンス主体マネジメント運営実行委任方向付け指示整合役割アクティビティ関係性ステークホルダーニーズガバナンス目標 : 価値創出資源の最適リスクの効果の実現化最適化お客様価値の提供方向付け (Direct) 内部統制フレームワーク方針規程等達成目標企業価値の創造業務プロセス株主お客様 (IT サービス提供先会社 ) 内部統制整備運用内部統制達成目標企業コンセプト内部統制基本方針 ( 経営理念ビジョン ) 業務遂行 ( 内部統制基本方針に従い 7 つの態勢構成要素を駆使 ) 組織体制ガバナンス層取締役会取締役評価 (Evaluate) 評価改善活動 (PDCA Cycle) マネジメント層執行役員本部長部長等文化倫理行動情報社員スタッフパートナー会社モニタリング (Monitor) サービスシステム基盤アプリケーション説明責任業務遂行状況報告お客様価値提供の状況企業価値創造の状況内部統制整備運用の状況業務遂行状況報告お客様価値企業価値提供の状況創造の状況内部統制整備運用の状況人材スキルコンピテンシー 78

原則 3:1 つに統合されたフレームワークの適用の適用全ての GRC 領域 (= 内部統制領域 ) に保険グループの内部統制フレームワークを適用グループ各社の内部統制領域内部統制領域 AAAAAAAA 内部統制領域 BBBBBBBB 各イネーブラーの達成目標を設定内部統制に関する基本方針の雛形内部統制領域 YYYYYYYY 内部統制領域 ZZZZZZZZ [ グループ会社名 ] に関する基本方針内部統制に関する基本方針体系 AAAAAAA に関する基本方針各内部統制領域に関する基本方針を明確化 BBBBBBB に関する基本方針内部統制基本方針 YYYYYYY に関する基本方針 ZZZZZZZ に関する基本方針第 1 条 ( 目的 ) 第 2 条 ( 定義等 ) 第 3 条 ( 基本的考え方 ) 第 4 条 ( 態勢の整備 ) 第 5 条 ( 子会社としての役割 ) 第 6 条 ( 改廃 ) 81

原則 3:1 つに統合されたフレームワークの適用の適用保険グループの内部統制フレームワークを使い各 GRC 領域ごとに基本方針を定義これら基本方針の下配下の規程基準に COBIT 5 等を参考として活用保険グループ内部統制フレームワーク COBIT 5 Framework (GRC 全体 ) ITIL (IT サービス業務 : 運用 ) COBIT 4.1 PRM 成熟度モデル (IT ガバナンス領域 ) COBIT 5 Enabling Processes ( モニタリング ) CMMI (IT サービス業務 : 開発 ) PIMBOK ( プロジェクト管理 ) 82

原則 4: 包括的なアプローチの実現の適用株主お客様 (IT サービス提供先会社 ) ステークホルダーニーズ効果の実現ガバナンス目標 : 価値創出資源の最適化リスクの最適化ガバナンス層取締役会取締役説明責任お客様価値の提供達成目標企業価値の創造内部統制整備運用評価 (Evaluate) 2. プロセス 3. 組織構造 4. 文化倫理および行動お客様価値提供の状況業務遂行状況報告企業価値創造の状況内部統制整備運用の状況方向付け (Direct) 内部統制達成目標企業コンセプト内部統制基本方針 ( 経営理念ビジョン ) 5. 情報 1. 原則ポリシーおよびフレームワーク評価改善活動 6. サービスインフラストラクチャおよびアプリケーション (PDCA Cycle) 資源 7. 人材スキルおよび遂行能力モニタリング (Monitor) お客様価値提供の状況業務遂行状況報告企業価値創造の状況内部統制整備運用の状況マネジメント層執行役員本部長部長等業務遂行 ( 内部統制基本方針に従い7つの態勢構成要素を駆使 ) 内部統制フレームワーク方針規程等業務プロセス組織体制文化倫理行動情報社員スタッフパートナー会社サービスシステム基盤アプリケーション人材スキルコンピテンシー 85

原則 4: 包括的なアプローチの実現の適用各イネーブラー目標を内部統制基本方針や配下規程基準に盛り込む 2. プロセス 3. 組織構造 4. 文化倫理および行動に関する基本方針 1. 原則ポリシーおよびフレームワーク第 1 条 ( 目的 ) 内部統制の目的 5. 情報 6. サービスインフラストラクチャおよびアプリケーション資源 7. 人材スキルおよび遂行能力第 2 条 ( 定義等 ) 言葉の定義第 3 条 ( 基本的考え方 ) カルチャープリンシプル等を定義第 4 条 ( 態勢の整備 ) 第 5 条 ( 子会社としての役割 ) 組織体制方針規定等評価改善活動等を定義親会社への事前承認事項報告事項等第 6 条 ( 改廃 ) 86

原則 5: ガバナンスとマネジメントの分離株主お客様 (IT サービス提供先会社 ) ステークホルダーニーズ効果の実現お客様価値の提供ガバナンス目標 : 価値創出資源の最適化達成目標企業価値の創造リスクの最適化内部統制整備運用ガバナンス層取締役会取締役評価 (Evaluate) お客様価値提供の状況説明責任業務遂行状況報告企業価値創造の状況内部統制整備運用の状況方向付け (Direct) 内部統制達成目標企業コンセプト内部統制基本方針 ( 経営理念ビジョン ) 評価改善活動 (PDCA Cycle) モニタリング (Monitor) お客様価値提供の状況業務遂行状況報告企業価値創造の状況内部統制整備運用の状況マネジメント層執行役員本部長部長等業務遂行 (PBRM= 内部統制の整備運用 ) 内部統制フレームワーク方針規程等業務プロセス組織体制文化倫理行動情報社員スタッフパートナー会社サービスシステム基盤アプリケーション人材スキルコンピテンシー 89

COBIT 5 プロセス参照モデルの適用業務遂行状況報告 ( ステークホルダーレポート ) お客様価値提供の状況企業価値創造の状況内部統制整備運用の状況 COBIT 5 プロセス参照モデルの考え方を適用業務遂行状況報告 ( マネジメントレポート ) お客様価値提供の状況企業価値創造の状況内部統制整備運用の状況 IT 領域特有の考え方すべての領域共通な考え方 92

ステークホルダーニーズ効果の実現お客様価値の提供方向付け (Direct) 内部統制フレームワーク方針規程等プロセス参照モデルの適用ガバナンス目標 : 価値創出資源の最適化達成目標企業価値の創造リスクの最適化内部統制整備運用内部統制達成目標企業コンセプト内部統制基本方針 ( 経営理念ビジョン ) 業務プロセス株主お客様 (IT サービス提供先会社 ) ( 内部統制基本方針に従い 7 つの態勢構成要素を駆使 ) 組織体制ガバナンス層取締役会取締役評価 (Evaluate) 評価改善活動 (PDCA Cycle) マネジメント層文化倫理行動お客様価値提供の状況お客様価値提供の状況情報社員スタッフパートナー会社説明責任お客様価値提供の状況取締役会取締役創造の状況運用の状況モニタリング (Monitor) サービスシス企業価値創造の状況テム基盤アプリケーション説明責任業務遂行状況報告ステークホルダーレポート企業価値業務遂行状況報告企業価値内部統制整備創造の状況運用の状況業務遂行状況報告お客様価値企業価値モニタリング提供の状況創造の状況 (Monitor) 執行役員本部長部長等業務遂行業務遂行状況報告マネジメントレポート内部統制整備内部統制整備運用の状況内部統制整備人材スキル運用の状況コンピテンシー 93

Implementation の適用 GRC 態勢初期導入時には適用なし ( 存在を知らない ) 継続的改善サイクルの中で GRC 委員会を設立第 3 章 GEIT に向けた最初のステップで IT エグゼクティブ戦略委員会の設置をガイダンス振り返ってみると GRC 態勢構築はまさに GEIT の導入変革の実現試行錯誤により構築してきた最初に Implementation を知っていればもっと効率的に構築できたのに進め方や直面した課題と試行錯誤でおこなってきた原因究明解決策が COBIT 5Implementation に書いてある! 7 つのフェーズごとの課題とその根本原因解決策 95

プロセスアセスメントモデルの適用プロセスアセスメントモデル ( プロセス能力モデル ) は適用していない ( 従来から IT 関連内部統制領域についてグループ標準の成熟度モデルに対応 ~COBIT 4.1 成熟度モデルに基づく ) ガバナンスプロセスモニタリングプロセスで適用可能性を展望 ( 不断の改善努力の一つとして ) 新しいプロセスアセスメントモデルは複雑で対応ロードがかかりすぎると感じられた利用を躊躇した要因のひとつ理解を深めるにつれてむしろ標準化され客観性が高くわかり易いもの 97

COBIT 5 を使ってみようガバナンス目標は価値創出 ~ 組織は何のため IT 中心のCIO 視点から会社経営目線のCEO 視点へ (ITガバナンスからGEITへ) ITだけではない~Non ITにも適用可 ( ビジネスガバナンス ) つまみ食いで良い~わかるところ使えるところから利用する変革の実現困った時のCOBIT 5 Implementation さあ始めよう! 99