何故COBITなのか？

細かい定義はさておき、ＩＴガバナンスもしくはＩＴマネジメントと呼ばれる活動において参照されるフレームワークとしては

• ＣＯＢＩＴ
• ＩＴＩＬ
• ＩＳＭＳ
• システム管理基準
• 情報セキュリティ管理基準
• ＦＩＳＣの安全対策基準　など

ざっと思いつくだけでもこれだけあります。J-SOX対応のみならず、ITガバナンス（マネジメント）を確立しようと考えている企業にとっては何を見れば「網羅性のある」ガバナンスが確立できるのかがよく分からないのではないでしょうか？

COBITを参照する利点は、ITILやISMSなど他のフレームワークを包含した所謂「アンブレラフレームワーク」である（≒網羅性がある）という点と「グローバルスタンダード」であるという２点に集約されるのではないでしょうか。

COBITと他のフレームワークの対応付けはCOBITの関連文書にも掲載されているので、その点ではCOBITを中心に他のフレームワークとの対比は比較的やり易いと思われます。

COBITの問題点

一方で、COBITにも幾つかの問題点があります。私が感じる一番大きな問題点は

「分かりにくい」

これにつきます。私のように日常的にITガバナンスの仕事をしている人間でも、全部の意味を理解するのには相当苦労しました。
これには２つの理由があるように思います。

１つは、アンブレラフレームワークであるが故に、ITILやISMSなどの前提知識がある程度必要になること。加えて複数のフレームワークをやや強引にまとめた感があるために、個々の統制項目の粒度がバラバラであったり一見同じようなことを別の所で言っているように見えたりします。

もう１つは、「日本語訳が分かり辛い」。日本語化に尽力頂いている方々には本当に頭が下がりますが、正直言って英語版と見比べながら読まないと書いてあることの意味を取り違えます。

もう１つ私が感じる問題点は、各プロセスの関連性が見えづらいため、実際にCOBITをベースに「業務手順書」のようなものを作ろうとしても何をインプットにしてそのアウトプットがどこに繋がるのかが分かり辛いということです。

一応、COBITにも各プロセス間の関係は記述されているのですが、あんな細かいものを理解しろというのは実質的には不可能。。。

更に言うと、欧米の労働環境やIT環境をバックグラウンドに書かれているため、日本の環境にはそぐわない点がいくつかあります。（例えば新規開発と運用・保守という日本的なやり方ではなく、開発とITサービスであったり、契約社員の扱い方など）

COBITをどう使うか

ありきたりですが、上記のような点をよく理解して、COBITをそのまま使うのではなく、COBITを「参照資料」としてうまく使い、自社なりのITガバナンス（マネジメント）の方法や手順を取りまとめていくということが重要だと思います。

色々問題点は書きましたが、COBITは、J-SOX対応に留まらないスコープでITガバナンスの向上を目指すには今の所一番網羅性があって使えるのではないでしょうか。ただ気になるのはITILのバージョン３はこれまでよりも更に広い範囲をスコープにしているようなので、ITILの動向にはきちんと目を向けておきつつ、必要があれば自社で作成したものに付加していくというスタンスでよいのではないでしょうか。

図解 これならできるIT統制

• 作者: 船城謙二郎,高浦孝次
• 出版社/メーカー: 日本実業出版社
• 発売日: 2007/04/19
• メディア: 単行本（ソフトカバー）
• クリック: 5回
• この商品を含むブログ (3件) を見る

図解入門ビジネス最新ITILがよ~くわかる本 (How‐nual visual Guide Book)

• 作者: 打川和男,浦名祐輔,小野寺潤,ジェイエムシー
• 出版社/メーカー: 秀和システム
• 発売日: 2005/04/12
• メディア: 単行本
• クリック: 7回
• この商品を含むブログ (10件) を見る