■SOX法対応とCOBIT
　COBIT（Control Objectives for Information and Related Technology）が今、注目されている。COBITは、米国の情報システムコントロール協会（ISACA）・ITガバナンス協会（ITGI）によって、ITガバナンス実践のための指針としてまとめられたフレームワークである。これをもとに、米SOX法対応に関係するものを抽出、整理した「COBIT for SOX」では、SOX法によって求められる正確な「財務会計報告」を行うための内部統制（ガバナンス）を、ITシステムにおいて実現するこを目的としている。日本でも、日本版SOX法によって上場企業は内部統制強化を義務づけられるため、その取り組みに向けたIT活用の指標となるものだ。

　COBITのもとになっているのは米国EDP監査法人（EDPAF）の内部統制指針であり、これをフレームワーク化したものを1996年にCOBIT第1版として発行した。その後、第2版、第3版を重ね、2005年に第4版が公開された。この第4版の内容は、SOX法との関連性が強く打ち出されたものになっている。

　COBITは「エグゼクティブ・サマリ」「フレームワーク」「コントロール目標」「監査ガイドライン」「ツールセット」「マネジメントガイドライン」の6つで構成されている。COBIT第4版のフレームワークでは、IT活動を「組織と計画」「調達と開発」「供給とサポート」「モニタリングと評価」の4領域に分類し、それを34のプロセスに細分化、さらに詳細な統制目標は318種類にも及ぶ。また、これらのプロセスについて、その成熟度を6段階で評価している。

　COBITは、IT運用の成熟度を測るための指標であるが、特に「リスク」概念に対応し、ITシステム監査・ITコントロールなどの計画、作成、評価に対応可能な優れたツールでもある。

■IT活用とCOBIT
　COBIT第4版は、SOX法による「内部統制」強化の要請に応えたものであるが、IT運用に関してはCOBIT以外にもさまざまなフレームワークが存在する。米国では、1992年にCOSO（トレッドウェイ委員会組織委員会）フレームワークが策定され、SOX法の監督機関である「米国証券取引委員会（SEC）」から承認を受けた。日本でも、金融庁の「金融検査マニュアル」「金融商品取引法」などで使用されている。COSOフレームワークはSOX法の内部統制の目的である「業務の実効性と効率性」「財務報告の信頼性」「法令への遵守性（コンプライアンス）」を達成するために策定されたが、COBITはこのCOSOの役割をIT運用の観点からまとめたものといえる。

　IT活用に関するフレームワークは他にも、ITサービスマネジメントに関する英国規格BS15000、これをベースに規定されたISO20000などがあり、その内容は英国商務局が定義したITILのプロセスと一致、補完しあうものである。COSOの「内部統制フレームワーク」がSOX法の実効性を強化し、COBITはSOX法におけるITガバナンスの統制度を評価・保証する基準であり、そしてITILはCOBITの実効性を高め、具体的改善を図るためのIT全体の運用基準となっている。COBITの実用化に向けては、ITILのITプロセスとCOBITのビジネスプロセスを相互運用することが大切である。

　ITガバナンスのためにCOBITフレームワークを使用するメリットは、以下の3つである。
１．時間とコストの削減
２．国際標準をクリアしているという信頼性
３．使用体験による価値創造

　多数のIT専門家、監査員、経営者の経験が蓄積された手順書とガイダンス（ベスト・プラクティス）は、即戦力としてITガバナンスに活用できる。また、COBITはツールとしても、監査員や外部担当者による評価の際にも利用でき、国際標準やSOX法をクリアできる実効性に長けている。さらに、共通のフレームワークを使用することで、各企業による使用体験の情報交換が可能になり、共通体験からもたらされる新たなメリット（価値創造）が生み出される。