［世界］
COBITの開発元ITGI、新たな危機管理フレームワークの開発に着手

「COBITのアドオンのようなもの」と開発統括者

（2008年04月07日）

　米国の業界団体IT Governance Institute（ITGI）が現在、企業に潜在するITリスクに対処するための新たなフレームワークを開発中であることが明らかになった。

　この危機管理フレームワークは年内に完成する予定であり、ITGIから無料で提供されるという。同フレームワークには、リスク関連の用語集に加え、IT業務のレベルに応じた危険度が定義された「リスク・レジスター」などが盛り込まれる予定だ。このフレームワークを使えば、レジスターに記載された個々のリスクがもたらす結果とともに、ベスト・プラクティスの概要を知ることもできるという。

　ITGIは、ITガバナンスのための管理フレームワーク「Control Objectives for Information(COBIT)」と、その関連技術の開発元として知られる。COBITは、プランニングや監視など34種類のプロセスを管理するための指針、およびベスト・プラクティスを提供するものである。ITGIは他にも、IT投資から大きな投資収益や価値を引き出す手段に焦点を当てた専門技術者向けのフレームワーク「Val IT」を発行している。

　危機管理フレームワークの開発作業を統括する運営委員会の座長を務めるのは、スイスの生命保険会社SwissLifeのIT／危機管理責任者アルス・フィッシャー(Urs Fischer)氏だ。同氏によると、COBITにも危機管理について言及した部分はあるが、ITGIでは、Basel II（新BIS規制：銀行などを対象とする自己資本比率規制）などを順守するのに役立つような危機管理フレームワークの必要性が認識されていたという。それが今回のフレームワークの開発につながったようだ。もっとも、すでにCOBITの導入作業を進めている企業は、新たな大規模プロジェクトとして危機管理フレームワークに取り組む必要はないという。

　Fischer氏は、同フレームワークについて、「新しいフレームワークと言うよりは、COBITのアドオンという性格が強い」としたうえで、リスク・レジスターによって、危機管理の方法が幅広く理解されるようになると説明している。

　Fischer氏によると、このフレームワークは特定ベンダーの製品や共通技術プラットフォームとは結びついていないという。同フレームワークの作業部会には、米国カーネギーメロン大学の専門家などが加わっている。作業は今年1月に始まり、最初の案文はすでに作成されたという。

　「現在は、作業の進め方や目標、他に必要な要素などについて話し合っている段階だ」（Fischer氏）

　今年の始めにITGIは、米国ニューヨーク州に本拠を置く監査法人PricewaterhouseCoopersが、COBITの認知度と普及状況を調べるために行った調査の結果を発表した。それによると、2005年の調査以降、COBITとVal ITの認知度は大幅に高まったが、ITガバナンスなどを効率的に進めるためのスタッフが足りないと答えた企業が23％増加したという。カナダのコンサルティング会社Manta Groupのファリバ・アンダーソン(Fariba Anderson)氏は、「将来のIT専門技術者に対して行う教育内容に、COBITのようなフレームワークをしっかりと組み込む必要がある」と指摘している。

　「ガバナンスとは、正しいことを正しい方法できちんと行うためのものであり、ある意味で常識のようなものだ」（Anderson氏）

　SwissLifeのFischer氏は、危機管理フレームワークについて、企業のCIO（最高情報責任者）だけでなく、IT部門の中間管理職がかかわる問題にも対応可能と説明している。またITGIによると、同フレームワークは、COBITとともに、米国のCommittee of Sponsoring Organizations of the Treadway Commission(COSO)が発表した内部統制フレームワークの標準にも対応するという。

(Shane Schick／Computerworldカナダ版)