チェックボックスのコンプライアンスを超えて：COBITおよびその他の自己評価に対する、価値重視のアプローチ

本IDCパースペクティブでは、CIOやコンプライアンス責任者は、ガバナンスの自己評価を「範囲の広さ」ではなく「焦点と意図」に基づいて再設計し、単なる年次的なチェックリスト作業ではなく、「管理された保証」の取り組みとして位置づける必要があると論じています。取締役会、監査人、およびビジネスの利害関係者は、COBIT、SOX 404、ISO 27001、NIST CSFに基づく自己評価が、統制の健全性やガバナンスの成熟度について、意思決定に役立つ洞察をもたらすことをますます期待しています。しかし、多くの大企業では、こうした評価が依然として全範囲にわたるスコアリング、RAGヒートマップ、および記述的な証拠に重点を置いており、有意義な改善は臨機応変な是正措置や個々のプロセス担当者に委ねられたままとなっています。その結果、一見妥当に見えるスコアは得られるもの、重要な統制のギャップを明らかにしたり、優先順位付けされた行動を推進したり、参加者の関与を持続させたりする能力は限定的となっています。本資料では、IDCが業界を問わず様々な組織と取り組んできた実績に基づき、再現性のある保証を損なう7つの繰り返される失敗パターンを解説しています。また、スコアリングの前に目標成熟度を定義し、トップダウンで設計してボトムアップで評価を行うこと、さらに平均化によって重大なギャップが隠蔽されるのを防ぐ「失敗の連鎖」ルールを徹底することで、自己評価を単なるコンプライアンスの形式的な作業から保証プログラムへと転換するための、CIO向けの戦略的ガイダンスを提供しています。さらに、このモデルを運用化するための戦術的なプレイブックを概説しています。

「リスクを最も効果的に管理している組織とは、すべてを均等に測定している組織ではありません。最も重要な要素を把握し、それを厳格に測定している組織です。チェックリスト式のコンプライアンスから的を絞った保証への移行は、やることを減らすことではなく、規律、証拠、説明責任を持って『正しいこと』を行うことなのです」と、IDCのリサーチ＆コンサルティング担当グループバイスプレジデント、Daniel Saroff氏は述べています。

エグゼクティブスナップショット

• 主なポイント
• 推奨される対応策

状況の概要

• ITガバナンス自己評価の期待と現実
• COBIT自己評価がうまくいかない理由
• 新しいアプローチ：トップダウン設計とボトムアップ評価を組み合わせた重点的な取り組み
• 中核的目標と周期的な目標：評価範囲を管理可能なものに
• COBITを超えた適用可能性

テクノロジーバイヤーへのアドバイス

参考資料

• 関連調査
• 要約