エンタープライズ･リスク・マネジメント 2008

ITGIが提唱するITガバナンス、そして

IT投資のガバナンスのフレームワーク（Val IT)について

ITGI Japan（日本ITガバナンス協会）事務局長 梶本政利

ISACA東京支部 理事 （２００３-２００５期会長）

An Affiliate of

ISACA/ITGIの歴史Audit → Control → Governance

IIA

Research Group

EDPAA

EDPAF

EDPAA

ISACF

ISACA

ITGI

ISACA

1967

1969

1976

1998

1993

IIA: Institute of Internal AuditorsISACA: Information Systems Audit & Control AssociationEDPAA: EDP Auditors AssociationISACF: Information Systems Audit & Control FoundationEDPAF: EDP Auditors FoundationITGI: IT Governance Institute

Audit

Control

Governance

1984

EDPAA東京支部設立

2006

ITGI Japan設立

COBITⓇ（Control Objectives for Information related Technology)の歴史

Audit → Control → Management → Governance

Governance

COBIT 4

2005

COBIT 3

Management

2000

COBIT 2

Control

1998

COBIT 1

Audit

1996

Evo

lutio

n

COBIT Tool Kit (Introductory COBIT Presentation）より

ITガバナンスの目的

• ITに関わる努力の方向性を決定し、ITの成果が次

の目的を達成することを保証することにある。

– ITと企業、約束された利益を実現することの間に整合性

を持たせる

– ITを利用して、好機を利用し、利益を最大化することで事

業を可能にする

– IT資源の責任ある利用

– IT関連リスクの適切な管理

「COBIT 4.1」日本語版より

ITガバナンスとは （ITGI/ISACAの考え方）

• ITガバナンスは、経営陣および取締役会が担うべき責務であり、ITが組織の戦略と組織の目標を支え、

あるいは強化することを保証する、リーダシップの確立や、組織構造とプロセスの構築である。

• ITガバナンスとは、準拠すべき優れた実践方法(手法)を収集、整理し、これを仕組みとして定着させることによって、企業におけるITが確実にビジネス目標をサポートできるようにするものである 。

「COBIT 4.1」日本語版より

ITガバナンスのもたらす便益

• ITガバナンスを通じて、企業は情報を最大限

に利活用することができ、便益の最大化、ビジネス機会に対する投資、競争優位性の確保を実現できる。

「COBIT 4.1」日本語版より

ITガバナンスの領域

• 戦略との整合

• 価値の提供

• 資源の管理

• リスクの管理

• 成果の測定

「COBIT 4.1」日本語版より

ITガバナンスの領域の関係

戦略の定義

価値の創出

良いことの発生

機会の活用 問題の解決

悪いことの回避

価値の保全

継続的な改善

結果の測定 資源の管理

成果の測定

リスクの管理価値の提供

戦略との整合

ITガバナンスのフレームワーク

「取締役会のためのIT ガバナンスの手引」より

ITガバナンスのプロセス

「取締役会のためのIT ガバナンスの手引」より

BSCからIT BSCへ

一般的BSC

「取締役会のためのIT ガバナンスの手引」より

IT BSCの例 効果的なIT ガバナンスを保証する• IT とビジネス目標との整合• 価値の提供• コスト管理• リスク管理• 会社間の相乗効果を達成する

ビジネスの期待に合致して測定するサービスプロバイダ

• 競争にかかるコストを示す• 良いサービスを提供する

戦略に貢献する要因• ビジネスプロセスに対して積極的な影響を実現する

• ビジネス戦略の実現を可能にする

将来の提供や継続的な学習や成長のための基礎を築く• 主要なコンピテンシーをもった人をひきつけ維持する• 専門に関する学習および開発に重点を置く• 権限と責任を与える環境を築く• 個々の成果およびチームでの成果を測定し報酬

を与える• 成果を向上させるために知識を獲得する

IT 機能をさらなる信頼性および影響をもって遂行する

運用の優位性• 成熟した内部IT プロセス• 運用上のサービスの成果の管理• 規模の経済の実現• 標準的で、信頼性のある技術プラットフォームの構築

• 成功するIT プロジェクトを提供する

ビジネスパートナーシップ• 成功するIT プロジェクトを提供する• 技術ユーザをサポートする• IT サービスの提供を計画し管理する• 事業単位戦略の理解

技術リーダーシップ• 事業単位戦略の理解• 実現に至るソリューションを提案し認証する• 新しい技術の理解• 企業アーキテクチャの作成

顧客に関する方向付け

運用の優位性

将来の方針

会社に対する貢献

情報

進め方

1. ガバナンスの組織的フレームワークを設定する

2. ITとビジネスの目標との整合を図る

3. リスクを理解し定義する

4. 対象領域を決定する

5. 現在の能力を分析しギャップを特定する

6. 改善の戦略を策定する

7. 結果を測定する

8. ２から７のステップを定期的に繰り返す

「取締役会のためのIT ガバナンスの手引」より

ITガバナンスを支えるCOBITの体系

COBIT 4.1日本語版より

COBITキューブ（COBITの概念的構造）

COBIT 4.1日本語版より

COBIT 4.1 コンポーネントの相互関係

COBIT 4.1日本語版より

COBITで考える成熟度モデル

COBIT 4.1日本語版より

COBITの体系（全体像）

COBIT 4.1日本語版より

IT投資のガバナンスVal-IT その基本概念

「Val IT フレームワーク」よりITGI JapanのWebサイト経由でダウンロード可能

Val IT Version 2 における構成The Val IT Framework 2.0より

Val ITのドメインとプロセスの関係The Val IT Framework 2.0より

IT投資のガバナンスVal-ITとCOBIT

「Val IT フレームワーク」よりITGI JapanのWebサイト経由でダウンロード可能

VG: Value Governanceを構成するキー・マネジメント・プラクティス

• VG1 Establish informed and committed leadership.

• VG2 Define and implement processes.

• VG3 Define portfolio characteristics.

• VG4 Align and integrate value management with enterprise financial planning.

• VG5 Establish effective governance monitoring.

• VG6 Continuously improve value management practices.

The Val IT Framework 2.0より

PM: Portfolio Managementを構成するキー・マネジメント・プラクティス

• PM1 Establish strategic direction and target investment mix.

• PM2 Determine the availability and sources of funds.

• PM3 Manage the availability of human resources.

• PM4 Evaluate and select programs to fund.• PM5 Monitor and report on investment portfolio

performance.• PM6 Optimize investment portfolio performance.

The Val IT Framework 2.0より

IM: Investment Managementを構成するキー・マネジメント・プラクティス

• IM1 Develop and evaluate the initial program concept business case.

• IM2 Understand the candidate program and implementation options.

• IM3 Develop the program plan.• IM4 Develop full life-cycle costs and benefits.• IM5 Develop the detailed candidate program business case.• IM6 Launch and manage the program.• IM7 Update operational IT portfolios.• IM8 Update the business case.• IM9 Monitor and report on the program.• IM10 Retire the program.

The Val IT Framework 2.0より

キー・マネジメント・プラクティスの詳細（VG1の例）

VG1 Establish informed and committed leadership.

• VG1.1 Develop an understanding of the significance of IT and the role of governance.– All executives should have a sound understanding of strategic IT issues, such as dependence on IT, and

technology insights and capabilities, so there is a common and agreed-upon understanding amongst IT, the other business functions and the executives regarding the actual and potential significance of IT for the enterprise’s strategy. Enterprise leadership should have an understanding of the key elements ofgovernance required for the reliable, secure and cost-effective delivery of optimal value from the use of existing and new IT services, assets and resources.

• VG1.2 Establish effective reporting lines.– Establish effective reporting lines that allow the CIO to engage the enterprise leadership as the advocate of

the significance of IT for the enterprise. The reporting line of the CIO should be commensurate with the importance of IT to the enterprise.

• VG1.3 Establish a leadership forum.– Establish a leadership forum to help the leadership understand and regularly discuss the opportunities that

could arise from business change enabled by current, new or emerging technologies, and to understand their responsibilities in optimizing the value created from those opportunities.

• VG1.4 Define value for the enterprise.– Ensure that there is a clear and shared understanding of what constitutes value for the enterprise, and

ensure that it is communicated throughout the enterprise.• VG1.5 Ensure alignment and integration of business and IT strategies with key business

goals.– The business and IT strategies should be integrated, clearly linking enterprise, business and IT goals, and

should be broadly communicated and regularly reviewed.

The Val IT Framework 2.0より

Val IT Version 2 マネジメントガイドラインより

The Val IT Framework 2.0より

Val IT Version 2 マネジメントガイドラインより Goal and Metrics

The Val IT Framework 2.0より

ITGI Japanの取り組み

• 翻訳を完了し提供中のもの (1/2)» 特記してない限りITGI Japanのサイトを経由して無償ダウンロード提供

– COBIT 4.0

– IT Control Objective for SOX Ver.2サーベインズ・オクスリー法（企業改革法）遵守のためのIT統制目標財務報告に係る内部統制の設計と導入におけるITの役割について（第2版）

– VAL ITシリーズ• Val IT Framework

Val IT フレームワーク• Val IT Business Case

Val ITビジネス・ケース• Val IT ING Case Study

Val IT ING 社ケーススタディ

– Board Briefings on IT Governance 2nd Edition取締役会のためのITガバナンスの手引 第２版

ITGI Japanの取り組み

翻訳を完了し提供中のもの (2/2)☆特記してない限りITGI Japanのサイトを経由して無償ダウンロード提供

– Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition情報セキュリティガバナンス 取締役会と役員に対するガイダンス 第２版

– Security, Audit and Control Features of SAP R/3「セキュリティ、監査、コントロールのための機能SAP R/3 テクニカル/リスク・マネジメントリファレンス・ガイド第2版」 <ISACA Bookstoreから販売＞

– Security, Audit and Control Features of Oracle EBS「セキュリティ、監査、コントロールのための機能 Oracle® E-Business Suite テクニカル/リスク・マネジメントリファレンス・ガイド第2版」 <ISACA Bookstoreから販売＞

– COBIT 4.1

ITGI Japanの取り組み

• 現在翻訳プロジェクト進行中– IT Control Objectives for Basel II

– IT Assurance Guide

– COBIT Quick start 2nd Edition

– IT Governance Implementation Guide: Using COBIT and Val IT, 2nd Edition

• 日本語によるITガバナンス関連文献の出版☆ COBIT実践ガイドブック （日経BP社から、９月出版予定）

– 出版記念イベント• ９月１２日 秋葉原コンベンションセンター （日経BP社主催）

ITGI Japanのあらたな取り組み「COBIT実践ガイドブック」の出版

• 執筆方針– COBITの各プロセス、さらにそれを構成するアクティビティのレベルまで、具体的にどのように解釈することが出来るのか、日本の企業であればどのような注意をすべきか、また「 『正しく』手を抜ける」のか解説

– 「コントロール目標」、重点をおくべきコントロール、手順、評価指標をさらに噛み砕いて説明

– 各プロセスを構成するアクティビティ間の関係、さらには各プロセス間の関係をビジュアルに解説

– どのコントロールプロセスを適用するのが望ましいのか、その適用の判断基準となる考え方（リスクベースアプローチ）を解説

COBIT実践ガイドブック Coming Soon !

ITGI Japanの２００８年下期の取り組み

• COBIT導入実践コース開発プロジェクト

• ITGI Japan Conference 2008– 開催日：２００８年１２月９日、１０日

– 場所：大手町サンケイプラザ

– テーマ（仮）• CIOが語るITガバナンス

• 米国SOX対応初年度後半で何が起き、それを第２年度へどうつ

なげたか？被監査企業の責任者の立場と外部監査人の立場と

ITGI Japanのミッション

• Global to Local世界のITガバナンスにおけるベスト＆グッドプラクティス及び知識や研究成果を日本の企業社会へ速やかに紹介し、さらにそれらに日本における環境や事情を反映させつつ普及・定着の促進・支援を行います

• Local to Global日本におけるITガバナンスのベスト＆グッドプラクティス及び調査研究活動の成果を世界に発信してまいります

• As a Member of Global Communityグローバル環境におけるITガバナンスにおける研究・調査活動への参加、及びそのような活動の支援を行います

ITGI Japan Board Members（第１期）

会長： 松尾 明 （ISACA東京支部 元会長、 及びISACA本部 元会長）

理事： 宮澤 修二 （ISACA東京支部 元会長）

理事： 高須 昌也 （ISACA東京支部 前会長）

理事： 原田 要之助 （ISACA東京支部 元会長）

理事： 堀越 繁明 （ISACA東京支部 常務理事（法務担当））

理事： 中村 努 （ISACA東京支部 常務理事（基準担当））

理事： 柴田 昭 （ISACA東京支部 前々副会長、大阪支部 理事）

事務局長： 梶本 政利 （ISACA東京支部 元会長）

監事： 齋藤 毅 （ISACA東京支部 元会長）

ITGI Japan Board Members（第２期）

東京支部 元会長齋藤 毅監事15

東京支部 元会長梶本 政利事務局長14

名古屋支部 事務局長吉田 敬治理事13

大阪支部 会長安部 靖雄理事12

高橋 秀敏理事11

淀川 高喜理事10

東京支部 元会長吉田 春樹理事9

東京支部 元理事松原 榮一理事8

東京支部 元副会長、大阪支部 理事柴田 昭理事7

東京支部 副会長中村 努理事6

東京支部 副会長堀越 繁明理事5

東京支部 元会長原田 要之助理事4

東京支部 前会長高須 昌也理事3

東京支部 元会長宮澤 修二理事2

東京支部 元会長、国際本部 元会長松尾 明会長1

ISACAとの関係氏名役職

ITGI Japan 顧問 （第２期）

東京支部 元会長、PDC 委員長大和田 淳顧問6

東京支部 元会長喜入 博顧問5

東京支部 元会長大井 正浩顧問4

白浜シンポ、湯沢WS発起人西川 徹矢顧問3

森本 敏顧問2

細川 泰秀顧問1

ISACAとの関係氏名役職

ITGI Japan組織

理事会

事務局

推薦委員会顧問

戦略・組織委員会

R&D委員会 翻訳出版委員会 Conference委員会

教育ビジネス委員会

ITGI JapanConference 2008Project

VAL-IT推進Project

COBIT実務者向け解説書出版Project

COBIT 4.1翻訳Project

IT Assurance Guide

翻訳Project

＜メンバー＞ ＜メンバー＞ ＜メンバー＞ ＜メンバー＞ ＜メンバー＞

COBIT for Basel II

翻訳Project

＜メンバー＞

関連リンク

• ITGI Japan（日本ITガバナンス協会）

http://www.itgi.jp/

• ITGIhttp://www.itgi.org/

• ISACAhttp://www.isaca.org/