COBIT 2019

COBIT 2019は、ISACAが発行する最新の「情報と技術のエンタープライズガバナンス」（EGIT）フレームワークです。その中核は「ガバナンス」と「マネジメント」の明確な区別にあります。ガバナンスは取締役会レベルの責任であり、ステークホルダーのニーズを評価して企業目標を設定します（評価、指示、監視）。一方、マネジメントは経営陣がガバナンス層の指示に基づき活動を計画、構築、実行、監視します。本フレームワークは40のガバナンスおよびマネジメント目標を提供し、ISO/IEC 27001（情報セキュリティ）やNISTサイバーセキュリティフレームワークなどの標準と整合します。リスク管理において、COBITは企業全体のリスクにITリスクを統合するための包括的な構造を提供します。

企業がCOBIT 2019をリスク管理に適用する際、通常は以下の手順に従います。 1. **スコープ設定と目標の優先順位付け：** COBITの「設計因子」を用いて、自社の業界、リスク選好、戦略目標を分析し、40の目標から最も関連性の高いものを選択します。例えば、金融機関はAPO12「リスクの管理」を優先するかもしれません。 2. **プロセスの導入と能力評価：** 選択した目標に対応するプロセスとプラクティスを導入し、COBITパフォーマンス管理（CPM）モデルで現在のプロセスの能力レベル（0～5）を評価し、改善点を特定します。 3. **モニタリングと継続的改善：** 重要目標指標（KGI）と重要業績評価指標（KPI）を設定して有効性を追跡します。ある台湾の金融機関はこのアプローチにより、規制遵守率を98%に向上させ、サイバーインシデントを年間20%削減しました。

台湾企業がCOBIT 2019を導入する際の主な課題は以下の通りです。 1. **リソース不足と経営層の支援欠如：** 多くの中小企業は専門人材や予算が不足しており、経営層はこれをIT部門の問題と捉えがちです。 2. **フレームワークの複雑性：** 40の目標を持つCOBITは圧倒的であり、専門家の指導なしに効果的にカスタマイズすることは困難です。 3. **現地法規との整合：** 台湾の「資通安全管理法」など、特有の法規とCOBITの要件をマッピングするには多大な労力が必要です。 **対策：** * リスクの高い領域から段階的に導入し、早期に成果を示して経営層の支持を得る。 * 設計因子ツールを活用し、管理可能な数の目標に絞って体系的に導入を進める。 * 法規要件とCOBITの管理策を対照させるコンプライアンス・マトリックスを作成し、ガバナンスと法遵守を両立させる。

積穗科研は台湾企業のCOBIT 2019に特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact