2014/10 季刊 ● 企業リスク 89

1. 事業体ITのフレームワーク　ガバナンスという言葉が企業経営に関する用語として定

着して久しい。近年ではITの分野においてもITガバナンスと

いう言葉が広がっており、ITの利用においても、経営的観点

をより重視する傾向が高まっている。ITガバナンスがうま

く構築されている企業では、ITがもたらす効果とリスクに

ついて、経営陣が他の事項と同様に興味を示し、注意を払っ

ている。COBIT 5は、ITガバナンスおよびITマネジメントに

関する包括的なフレームワークであり、事業体が、効果の実

現、リスク最適化、資源最適化のバランスをとりながら、価

値の創出を図ることを支援するために作成されている。

2. COBITの対象範囲の拡大　　

　COBIT（Control Objectives for Information- related

Technologyの略語）は、当初、監査のためのチェックリストの

ようなものであったが、その対象範囲を、COBIT 2ではコント

ロール、COBIT 3ではマネジメント、COBIT 4/4.1ではITガバ

ナンスへと広げてきた。現在のCOBIT 5では、IT機能のみにと

どまらず、事業体のガバナンスに統合されたITガバナンス（事

業体のITガバナンス）へと広げている。

3. COBIT 5 ファミリー　COBIT 5には、本編である「COBIT 5 ｰ A Business

Framework for the Governance and Management of

Enterprise IT」以外にイネーブラーガイドおよびプロフェッ

ショナルガイドの2種類のガイドが用意されている。2014

年8月現在、イネーブラーガイドでは「COBIT 5 Enabling

Processes」、「COBIT 5 Enabling Information」が発

行されており、プロフェッショナルガイドでは「COBIT 5

Implementation」、「COBIT 5 for Information Security」、

「COBIT 5 for Assurance」、「COBIT 5 for Risk」、「COBIT

Assessment Programme」が発行されている。

4. 5つの原則　COBIT 5には、以下に示す5つの原則がある。COBIT 5本

編では、事業体のITガバナンスとITマネジメントに関して、こ

れらの原則に沿って詳しく説明されている。

(1)ステークホルダーのニーズを充足

　事業体は、効果の実現、リスク最適化、資源最適化のバランス

を取りながら、ステークホルダーに向けて価値の創出を図る。

(2)事業体全体の包含

　IT機能のみにとどまらず、事業体の ITガバナンスを、事業

体のガバナンスに統合する。

(3)一つに統合されたフレームワークの適用

　他の関連する標準やフレームワークとの整合を図ること

により、事業体のITガバナンスとITマネジメントに関わる包

括的なフレームワークを提供する。

(4)包括的アプローチの実現

　事業体のITガバナンスとITマネジメントを効率的かつ効果

的なものとするため、いくつかの互いに影響し合う一連のイ

ネーブラー（事業体の目標達成を支援するもの）を定義する。

(5)ガバナンスとマネジメントの分離

　目的、活動内容、必要とされる関係者の組織的役割が各々

異なるガバナンスとマネジメントを明確に区別する。

５．達成目標の展開（カスケード）　

　事業体は、効果の実現、リスク最適化、資源最適化のバラ

ンスを取りながら、ステークホルダーに向けた価値創出を行

う必要がある。また、これを実現するためには、ステークホ

ルダーのニーズを具体的で実行可能な戦略や活動に展開す

る必要がある。COBIT 5では、ステークホルダーのニーズか

企業リスクの言葉

COBIT 5

トーマツ 企業リスク www.deloitte.com/jp/book/er

2014/10 季刊 ● 企業リスク 90

企業リスクの言葉

ら事業体として達成すべき目標へ、事業体の達成目標からIT

達成目標へ、さらにIT達成目標からイネーブラーの達成目標

へと展開（カスケード）する仕組みが例示されている。また、

上位の達成目標に対して下位の複数の達成目標が必要とな

ることも考えられるため、目標展開用のマトリックスは、各

目標間の関連性および関連の深さについて考慮されている。

各事業体では自組織に応じた展開の仕組みを構築するた

め、これらを利用することが可能である。

６．イネーブラー　

　前述の原則(4)で示された「イネーブラー」とは、事業体の

ITガバナンスとITマネジメントが機能するか否かについて影

響を及ぼす要因のことである。より単純に表現すると、事業

体の目標達成を支援するものとも言える。COBIT 5では次

に示す7種のイネーブラーを定義しており、これらが個別に、

あるいは複合して事業体のITガバナンスとITマネジメントの

成否に影響を与えている。事業体のITガバナンスとITマネジ

メントの成功を目指すなら、各イネーブラーが連携すること

を理解し、多面的に取り組むことが必要である。

(1)原則、ポリシーおよびフレームワーク

(2)プロセス

(3)組織構造

(4)文化、倫理および行動（個人と事業体の行動）

(5)情報

(6)サービス、インフラストラクチャおよびアプリケーション

(7)人材、スキルおよび遂行能力

７．ガバナンスとマネジメントの分離　COBIT 5では、ガバナンスとマネジメントとは明確に分

けられている。これら2つの分野は、目的、活動内容、必要と

される関係者の組織的役割が各々異なる。COBIT 5フレーム

ワークでは次のように示されている。

ガバナンス

　“ガバナンスとは、ステイクホルダーのニーズや、条件、選択肢

を評価し、優先順位の設定と意思決定によって方向性を定め、

合意した方向性と目標に沿ってパフォーマンスやコンプライ

アンスをモニターすることで、事業体の目標がバランスを取っ

て、合意の上で決定され、達成されることを保証するものである

（ほとんどの事業体において、取締役会長のリーダーシップの

もと、取締役会がガバナンス全体の実行責任を負う）。”

マネジメント

　“マネジメントとは、事業体の目標の達成に向けてガバナ

ンス主体が定めた方向性と整合するようにアクティビティを

計画、構築、実行し、評価することである（ほとんどの事業体

において、最高経営責任者（CEO）のリーダーシップのもと

に、経営幹部がマネジメントの実行責任を負う）。”

　ただし、日本においては、監督と執行の分離が、あまり明確

でないこともあり、ガバナンスの主体は取締役会よりもむし

ろ経営会議といったケースも考えられる。

８．プロセス能力モデル　COBIT 5では、プロセスの評価においてCOBIT 4.1の成熟

度モデルと異なる新たな評価モデルを採用した。この新しい

評価モデルは、プロセス能力モデルと呼ばれ、ISO/IEC15504

に基づいている。COBIT4.1の成熟度モデルでは、プロセスの

成熟度レベルの定義が、34個のプロセスごとに各々なされて

おり、成熟度の表現は、各プロセスの内容を踏まえたものと

なっていた。これは利用者にとって分かりやすいものであった

が、既に一般的に受け入れられているISO/IEC標準とは整合し

ていなかった。今回、COBIT 5においてISO/IEC標準と整合し

た新たなモデルを採用することで、プロセス能力のアセスメン

トに関する信頼性と再現性が改善され、実施されているプロ

セスの成果がいっそう確認しやすくなったといえる。

〈参考文献〉●COBITに関するWebサイト

　http://www.isaca.org/cobit/

●COBIT 5 - A Business Framework for the Governance 　

　and Management of Enterprise IT

トーマツ 企業リスク www.deloitte.com/jp/book/er

季刊誌「企業リスク」のご案内～企業を取り巻く、様々なリスク管理活動を支援する専門誌～

○先進企業の取り組みをご紹介する「企業リスク最前線」

○最新の重要テーマを多角的な視点から解説する「特集」

○法改正とそれに伴う企業の影響を詳説する「研究室」

○専門的な知見をわかりやすくお伝えする「企業リスクの現場」

〈発　　　　　行〉

〈主なご購読層〉

〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、内部統制、ITガバナンス、IT統制、不正対応、海外子会社ガバナンス、知的財産、事業継続、CSR、各種法改正に伴う対応等

1月・4月・7月・10月（年4回）

事業会社の内部統制、内部監査、経営企画、リスクマネジメント等に従事されている方

攻め・守りの双方向から、企業が経営を適切に推進するための最新情報が詰まった一冊です。貴社のガバナンス体制構築に、ぜひお役立てください。

トーマツ企業リスク研究所

季刊誌「企業リスク」WEBサイトはこちら

トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理について研究する専門部署として2002年10月より監査法人トーマツ（現：有限責任監査法人トーマツ）内に設置されました。トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情報提供、季刊誌の発行などを行います。

〈トーマツ企業リスク研究所とは〉

「企業リスク」の無料試読を承っております。※最新号のみに限らせていただいております。※お1人様1回のみお申込みいただけます。

「企業リスク」のバックナンバー記事をWEBサイトで無料公開しております。ぜひご覧ください。

無料試読のご案内 バックナンバー記事のご案内

無料試読のお申込みはこちら バックナンバー記事の閲覧はこちら

トーマツ企業リスク研究所の詳細はこちら

トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた専門家の知見をお届けします。

■掲載コーナーご紹介

■概要