専門職の特性のため、IT監査人はCOBIT®に最も関心のあるステークホルダーの一部である。 IT監査人のグループにCOBIT 2019 Foundationトレーニングを提供することは、IT監査人の視点から洞察やヒントを収集する良い方法である。これらの学習は、広範囲のCOBIT 2019 ユーザーに利益となる可能性があり、共有する必要がある。
英語圏ではない国々の多くのIT監査人は、専門的な出版物を英語で読むことができる。彼らはCOBIT 2019と関連するトレーニングに関心のもった最初の実務家であった。現地語でのCOBIT 2019の出版物は、すべてのステークホルダーにとって、情報と技術(I&T)ガバナンスの概念を促進および明確にするために必要である。現地語での出版物やプレゼンテーションにより、学生や教員は最適な用語の翻訳を考え出すことができる。そして、もちろん、特定の疑問への解を考え出す必要性が、COBIT 2019 Foundationトレーニングコースに参加する「適格な専門職」代表者としての監査人の原動力である。
関連する基準とコンプライアンス要件
関連する基準と法的または規制上の要件(通常は「コンプライアンスまたは適合性」と呼ばれます)は、IT監査人がCOBITフレームワークで知識とスキルを開発するための最も強力な論拠の1つである。監査専門職の基本的な基準には、監査に関する国際基準(ISA 315, ISA 330など)、公開会社会計監視委員会(PCAOB) 監査基準No.5、金融セクターのペイメントカード業界データセキュリティ基準(PCI DSS)、米国Sサーベンスオクスリ―法(SOX)、バーゼル銀行監督委員会(BCBS)などの業界固有のガイダンスが含まれる。そして、地域の規制は先述の基準によるIT統制の環境の導入と評価と、特定の状況下での内部監査または外部監査、あるいはその両方を義務付けている。
I&Tのビジネス価値、パフォーマンスおよび革新におけるIT監査の役割
規制当局は一般にプライバシーとセキュリティに焦点をあてており、I&Tのビジネス価値、費用対効果の高いプロジェクト管理などの分野は対象としていない。企業の株主と経営陣は、これらの領域における保証と改善の助言を期待している。ビジネス価値、パフォーマンスの向上および革新はすべてCOBIT 2019で顕著に表れている。Protivitiの出版物である“A Global Look at IT Audit Best Practices” とISACAの“The Future of IT Audit” のポジションペーパーは、デジタルトランスフォーメーションと新興技術の時代における監査人の課題をより詳細に説明しており、COBIT 2019はこれらの課題に対処するのに役立つと見られている。
COBITの進化―監査チェックリストからデジタル時代のI&Tガバナンスフレームワーク
図 1は、COBITフレームワークが、レビューすべきコントロール目標のリストを備えた監査ガイドから、全体的にダイナミックで調整されたサイクルの中でベストプラクティスを含む包括的なI&Tガバナンスフレームワークへと進化していることを表している。COBIT 2019では、デジタルトランスフォーメーション関連の目標、組織構造、DevOpsやサイバーセキュリティなどの新たな重点分野の出版物の発表を含んでいる。さらに、IT監査人の役割は「testers」から事業体ガバナンスにおける重要なプレーヤーへと変化しており、例えば、監査、運営、戦略各委員会におけるIT監査人の存在を求める傾向を強めている。
図1-COBITフレームワークの変遷
View Large Graphic. Source: ISACA, USA, 2018. Reprinted with permission.
将来回帰—COBIT 2019 CMMIベースのプロセス能力レベル
IT監査人の視点から見ると、COBIT 2019で最も価値のある革新は、監査人が古き良きCOBIT 4.1を思い出すCMMIベースのプロセス能力レベルに戻ることである。国際標準化機構(ISO)/国際電気標準会議(IEC) ISO/IEC 15504 情報技術-プロセス評価-パート5: フトウェアのライフサイクルプロセス評価モデルに基づくCOBIT 5のプロセス評価モデル(PAM)は、その複雑さからIT監査人には広く使われておらず、一部の組織ではCOBIT 4.1モデルをプロセス評価に使い続けていた。ISO/IEC 33001情報技術-プロセス評価-概念と用語集は、その後ISO/IEC 15504を改訂したため、COBIT PAMを新しいISO規格にアップグレードすることで、プロセス評価のためのより洗練されたガイダンスが作成される可能性がある。COBIT 2019のおかげで、監査人は、COBIT 2019でのCMMIの採用が自己完結型であるため、実施されている活動に基づいて、特定のプロセス能力レベルごとに明確な基準を再び有することになっている。
COBIT2019におけるIT監査機能 — 基準参照、新刊に期待する監査人
COBIT 2019のMEA(モニタリング、評価およびアセスメント)ドメインが改訂され、新たな管理目的であるMEA04管理された保証が追加された。図2は、そのプラクティスの1つであるMEA04.05とそれに対応する能力レベルを示している。この管理の実践手法は、提案された活動、指標、組織構造及び能力レベルを通じて、内部監査機能を設計するための基礎となり得る。さらに、COBIT 2019プロダクトファミリが成長し、既存のCOBIT 5 for Assurance.を更新することで、IT監査人は、保証のフォーカスエリアのための新しい詳細な出版物を期待することができる。
図 2—MEA04.05 Define the work program for the assurance initiative
Source: ISACA, COBIT 2019 Framework: Governance and Management Objectives, USA, 2018. Reprinted with permission.
結論
COBIT 2019は、最新の実践手法、より明確な用語、および主要な概念(例:「イネーブラー」の代わりに「コンポーネント」、I&Tモデルを調整および対象とするための戦略やCOBIT 2019は、実践手法が更新されたこと、用語がより明確になったこと、主要な概念が明確になったこと(例えば、「イネーブラー」ではなく「コンポーネント」;デザインファクター、例えば、I&Tモデルをテーラーリングしてターゲット化するための戦略やリスクプロファイル)により、監査人からポジティブに受け入れられてきた。特に、CMMIベースの評価モデルへの回帰は、監査コミュニティに利益をもたらしました。監査人は、今日のデジタル世界における新たな重点分野を評価するためのガイダンスとともに、監査機能そのもののデザインと実践を詳細に説明した新しい出版物を期待している。わずか四半世紀で、COBITはIT監査人にとってナンバーワンのフレームワークとなったが、COBIT 2019は今後もその人気を維持していきそうである。
Andrey Drozdov, CISA, CISM, CGEIT, COBIT 2019 Accredited Trainer
KPMGロシアおよび独立国家共同体(CIS)のアソシエイトディレクター。 彼はまた、ISACAモスクワ(ロシア)支部の初代副会長でもある。 彼は、COBITプラクティショナーおよびトレーナーであり、COBIT 5のロシア語翻訳とレビューを担当するCOBIT 5翻訳チームのメンバーである。