■COBITとCOSO
　企業の内部統制の基礎としてCOSO（トレッドウェイ委員会組織委員会）が策定したフレームワークは、SOX法の底本となるものであり、またCOBIT第4版は、そのSOX法を遵守するためにIT内部統制の達成度を測るツールとして開発されたものである。すなわちSOX法は、COSOとCOBITの2つのフレームワークによって、その「機能」を保証されているのである。

　COSOフレームワークは企業の内部統制の目的として、

１．業務の実効性と効率性
２．財務報告の信頼性
３．法令への遵守性

を挙げている。また、その構成要素として

１．統制環境
２．リスク評価
３．統制活動
４．情報とコミュニケーション
５．モニタリング

を掲げている。COBIT第4版のフレームワークは、IT活動を「計画と組織」「調達と導入」「サービス提供とサポート」「モニタリングと評価」の4領域に分類し、COSOの5つの構成要素を各領域に対応させ、ITのための詳細な指針を提示している。
　COBITは、COSOの構成要素をITガバナンスに応用することができ、しかもIT統制特有の管理形態である「変更管理」「問題管理」などにも対応が可能である。つまり、COBITを活用することで、COSOとITILの橋渡しを行いながら、企業の内部統制強化に貢献することができるのである。

■COBITのIT領域とCOSOの構成要素
　COBIT第4版には、付録の資料として「ITプロセスと、ITガバナンスの重点領域、COSO、COBIT IT資源、およびCOBIT情報要請規準との対応関係」という表が掲載されている。この表を見れば、COSOの5つの構成要素に対応するCOBITの4つの領域（34の専門領域）の各170項目の詳細を知ることができる。
　COBITの4つの領域（34の専門領域）と、COSOの5要素との対応関係を、羅列になるがここで見ておきたい。

（1）「計画と組織」の10項目
　　・IT戦略計画の策定
　　・情報アーキテクチャの定義
　　・技術指針の決定
　　・ITプロセスと組織及びそのかかわりの定義
　　・IT投資の管理
　　・マネジメントの意図と指針の周知
　　・IT人材の管理
　　・品質管理
　　・ITリスクの評価と管理
　　・プロジェクト管理

（2）「調達と導入」の7項目
　　・コンピュータ化対応策の明確化
　　・アプリケーションソフトウェアの調達と保守
　　・技術インフラストラクチャの調達と保守
　　・運用と利用の促進
　　・IT資源の調達
　　・変更管理
　　・ソリューションおよびその変更の導入と認定

（3）「サービス提供とサポート」の13項目
　　・サービスレベルの定義と管理
　　・サードパーティのサービスの管理
　　・性能とキャパシティの管理
　　・継続的なサービスの保証
　　・システムセキュリティの保証
　　・費用の捕捉と配賦
　　・利用者の教育と研修
　　・サービスデスクとインシデントの管理
　　・構成管理
　　・問題管理
　　・データ管理
　　・物理的環境の管理
　　・オペレーション管理

（4）「モニタリングと評価」の4項目
　　・IT成果のモニタリングと評価
　　・内部統制のモニタリングと評価
　　・規制に対するコンプライアンスの保証
　　・ITガバナンスの提供

　以上のように、COBITの4領域が計34項目×5構成要素（COSO）で、合計170項目になる。各項目ごとに重要度がH（高）・M（中）・L（低）にて評価されており、さらにCOSOの5要素に対応する重要度がP（主要）・S（副次）で評価されている。
　このように、COBITの4領域は「計画と組織」がIT戦略の根幹について、「調達と導入」がその具体化について、「サービス提供とサポート」がその目標管理について、「モニタリングと評価」がそのモニタリング方法と評価について、詳細に一望でき、しかも管理指標として利用できるのである。