ITガバナンス(内部統制、システム監査、COBIT)

この章で覚えておきたいこと

• ITガバナンス は、経営陣がステークホルダーのニーズを踏まえ、ITを経営目標と組織価値の向上に結び付けるための枠組みです。
• 内部統制 は、業務の有効性・効率性、情報の信頼性、法令等の遵守、資産の保全を合理的に確保するための仕組みです。
• システム監査 は、専門性と客観性を備えた監査人が、ITシステムの利活用を検証・評価し、保証または改善のための助言を行う監査です。
• COBIT は、ITガバナンスとITマネジメントを整理する代表的なフレームワークです。技術そのものではなく、経営とITをどう結び付けるかを考える枠組みとして押さえます。
• 試験では、定義の丸暗記よりも「この説明はどの概念か」を切り分ける力が問われます。特に、ITガバナンスと内部統制、システム監査とセキュリティ監査、COBITと個別技術標準の違いを整理しておくことが重要です。

基本知識

ITガバナンスの考え方

ITガバナンスは、IT部門だけの運用管理ではありません。経営陣が、IT投資、情報システム戦略、リスク管理、成果評価について方向付けと監督を行い、ITが経営目標に沿って機能しているかを統治する考え方です。

システム管理基準では、ITガバナンスを、経営陣がステークホルダーのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システム戦略の策定と実現に必要な組織能力として捉えます。試験では、この定義を少し言い換えた選択肢がよく出ます。

ITガバナンスの説明として読み取るべき語句は次のとおりです。

• 経営陣
• ステークホルダーのニーズ
• 組織の価値
• 情報システム戦略
• 方向付けと監督

逆に、次のような説明はITガバナンスそのものではありません。

• 情報セキュリティ対策だけを述べる説明
• 法令遵守だけを述べる説明
• 投資家への情報開示だけを述べる説明
• 内部統制の4目的をそのまま並べた説明

内部統制との違い

内部統制は、組織の業務を適切に動かすための具体的な仕組みです。ITに関する内部統制には、権限管理、アクセス制御、承認手続、ログ管理、変更管理、バックアップ、委託先管理などが含まれます。

内部統制の目的は、次の4つで整理します。

• 業務の有効性・効率性
• 情報の信頼性
• 法令等の遵守
• 資産の保全

ここで重要なのは、内部統制が「効率性を失わせる仕組み」とは限らないことです。統制は手続を増やす場合もありますが、不正や誤処理、重複作業を防ぐことで、結果として業務の効率性を高めるように設計されます。2008年の過去問でも、この点がひっかけとして使われました。

ITガバナンスと内部統制の関係は、次のように整理すると覚えやすいです。

• ITガバナンス
  経営陣がITの方向性、投資、リスク、成果を統治する上位の枠組みです。
• 内部統制
  その方針を現場で実現するために、業務やシステムを適正に動かす具体的な仕組みです。

つまり、内部統制はITガバナンスを支える実務面の土台です。同じものではありません。

システム管理基準で問われるITガバナンス

試験では、システム管理基準におけるITガバナンスの定義がそのまま問われることがあります。ここでは、内部統制、情報セキュリティ管理、ディスクロージャーとの違いを切り分けられることが重要です。

選択肢を読むときは、次の順で判断すると迷いにくくなります。

1. 経営陣が主語になっているかを確認します。
2. ステークホルダーのニーズや組織価値に触れているかを確認します。
3. 情報システム戦略の策定と実現に結び付いているかを確認します。
4. セキュリティ、法令遵守、開示だけに狭めていないかを確認します。

この4点がそろえば、ITガバナンスの定義に近いと判断できます。

ITガバナンスの構成要素と順序問題

過去問では、ITガバナンスを強化するための構成要素をどの順に整備するかが問われました。個別名称を覚えるだけでなく、なぜその順なのかを理解しておくと対応しやすくなります。

構成要素は次の4つです。

1. システム運営
2. 組織運営
3. 説明責任
4. リレーションシップ管理

それぞれの意味は次のとおりです。

• システム運営
  セキュリティ管理、リスク管理、サービスレベル管理など、日々の安定稼働を支える土台です。
• 組織運営
  予算管理、投資管理、ベンダー管理、契約管理など、運営を組織として支える管理体制です。
• 説明責任
  システム監査、評価指標、投資効果の確認などを通じて、ITが適切に管理されていることを示す段階です。
• リレーションシップ管理
  利用部門との連携、教育、提案、情報共有など、ITを組織全体で活かすための関係づくりです。

順序問題では、次の判断軸で考えます。

• まず安定運用とリスク管理の土台が必要です。
• 次に、その運用を支える予算や責任分担の仕組みを整えます。
• その後で、監査や評価によって説明責任を果たします。
• 最後に、利用部門との連携や教育によって組織全体への浸透を進めます。

したがって、先に来やすいのは システム運営 と 組織運営 です。いきなり説明責任や教育活動から始まる選択肢は疑ってかかるとよいです。

システム監査の意義

システム監査は、ITシステムの利活用について、一定の基準に基づいて検証・評価し、監査結果の利用者に保証を与える、または改善のための助言を行う監査です。運用担当者が日常的に管理することとは役割が異なり、客観的な立場から適切性を確認する点が重要です。

試験では、システム監査基準の正式語句がそのまま問われることがあります。特に次の組合せはそのまま覚えておくべきです。

• 監査人に求められるものは 専門性と客観性
• 保証対象は ガバナンス、マネジメント、コントロール
• 監査目的の対象は リスク

似た語句に入れ替えた誤答が非常に出やすいです。

• 客観性 を 倫理観 に替える
• コントロール を コンプライアンス に替える
• リスク を セキュリティ に替える

いずれも一般論としては近そうに見えますが、システム監査基準の正式語句ではありません。特に、システム監査の目的はセキュリティだけではなく、権限管理、変更管理、委託先管理、事業継続などを含む広い リスク への対応状況を確かめることです。

COBITの位置づけ

COBITは、企業におけるITガバナンスとITマネジメントを体系的に整理するフレームワークです。個別のソフトウェア製品や開発手法ではなく、ITを経営価値、リスク、資源、成果評価と結び付けて考えるための共通言語として用いられます。

試験対策では、細かなプロセス名を深追いするより、次の点を押さえることが重要です。

• COBITは、経営とITを結び付ける枠組みです。
• IT投資が価値を生んでいるかを評価する視点を持ちます。
• リスクが適切に管理されているかを確認します。
• ガバナンスとマネジメントを分けて考えます。

ここでの切り分けも重要です。

• ガバナンス
  評価、方向付け、監督を行います。
• マネジメント
  計画、構築、運用、監視を実行します。

この違いを押さえておくと、COBITを「技術標準」「セキュリティ製品」「会計監査だけの基準」と誤って説明する選択肢を切りやすくなります。

この章のまとめ

• ITガバナンス は、経営陣がITを経営目標、組織価値、リスク管理と結び付ける上位概念です。
• 内部統制 は、権限管理や承認手続などを通じて、業務の有効性・効率性、情報の信頼性、法令等の遵守、資産の保全を支える具体的な仕組みです。
• システム管理基準のITガバナンスでは、経営陣、ステークホルダーのニーズ、組織の価値、情報システム戦略 が判断の軸になります。
• 順序問題では、システム運営 → 組織運営 → 説明責任 → リレーションシップ管理 の流れを、土台づくりから浸透までの順として理解します。
• システム監査基準では、客観性、コントロール、リスク が得点語句です。似た語に置き換えた選択肢に注意します。
• COBITは、ITガバナンスとITマネジメントを整理するフレームワークです。技術や製品そのものではありません。

一次試験過去問での出方

2008年第16問では、内部統制の目的が問われました。特に「統制を強めると効率性は失われる」と短絡させないことが重要です。

2012年第13問では、ITガバナンスの構成要素の順序が問われました。土台となる運用と組織管理が先、説明責任と関係管理が後という判断軸が使えます。

2020年第15問では、システム管理基準におけるITガバナンスの定義が問われました。内部統制、情報セキュリティ管理、ディスクロージャーとの違いを見抜く問題です。

2025年第15問では、システム監査基準の正式語句が問われました。客観性、コントロール、リスクを正確に結び付けて覚えているかが勝負になります。