皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ!何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第103回目は、このブログの本題になっている GEITについての続きです。
前回第95回目までで、組織全体のITガバナンスのフレームワークCOBIT5から、導入ガイダンスについての説明を終えました。
導入ガイダンスを詳しく調べたい方は、ISACAが発行している、COBIT5プロダクトファミリーのImplementationという文書を参照してください。
今回から、COBIT5のプロセス能力モデルについてを取り上げていきます。
COBIT5のプロダクトには、以下の国際標準に基づいたプロセス能力モデルが含まれているため、プロセスアセスメントとプロセス改善を支援する全体目標が達成されます。
・ISO/IEC 15504 ソフトウェア技術 ─ プロセスアセスメント
このモデルにより、以下の2つの主要なプロセスドメインのパフォーマンスを測定する手段を提供して、 改善すべき領域の特定を可能にしています。
・ガバナンスプロセス(EDM:evaluate,direct and monitorベース)
・マネジメントプロセス(PBRM:Plan, Build, Run and Monitorベース)
COBIT5能力アセスメントのアプローチの詳細は、ISACAの以下の刊行物で説明されています。
・COBIT Process Assessment Model (PAM):Using COBIT 4.1 11
このアプローチは、プロセスの状態に関する貴重な情報を提供していますが、プロセスは、ガバナンスとマネジメントの以下の7個のイネーブラーの1つにすぎません。
7個のイネーブラー
1. 原則、ポリシーおよびフレームワーク
2. プロセス
3. 組織構造
4. 文化、倫理および行動
5. 情報
6. サービス、インフラストラクチャおよびアプリケーション
7. 人材、スキルおよび遂行能力
従って、プロセスアセスメントだけでは、事業体のガバナンスの全貌を提供するものとはならないので、その他の6個のイネーブラーについても同様に評価する必要があります。
COBIT5のプロセスが達成し得る6つのプロセス能力レベルは、以下の通りです。
・0:不完全なプロセス
・1:実施されたプロセス
・2:管理されたプロセス
・3:確立されたプロセス
・4:予測可能なプロセス
・5:最適化しているプロセス
見て分かるように、実践手法が意図されたプロセスの目的を達成していない場合を指す、レベル0:不完全なプロセスが含まれています。
6つのプロセス能力レベルの意味は、以下の通りです。
・0:不完全なプロセス
プロセスを実行していない、またはそのプロセスの目的を達成していない。
このレベルでは、プロセスの目的を体系的に達成しているという証拠がほとんどないか、または全くない。
・1:実施されたプロセス
実行したプロセスが、そのプロセスの目的を達成している。
・2:管理されたプロセス
レベル1:実施されたプロセスを、管理された方法(計画、モニター、調整)で実行している。
その作業生産物も、適切に確立し・制御し・維持している。
・3:確立されたプロセス
レベル2:管理されたプロセスを、プロセスの成果を達成する事ができる定義されたプロセスを使用して実行している。
・4:予測可能なプロセス
レベル3:確立されたプロセスを、プロセス成果を達成するために、定義された範囲内で運用している。
・5:最適化しているプロセス
レベル4:予測可能なプロセスを、関連する現在のビジネス 達成目標および計画したビジネス達成目標を満たすように絶えず改善している。
ISO/IEC 15504では、能力レベルが、以下の9個のプロセスパフォーマンス属性によって定義されています。
・PA 1.1:プロセスパフォーマンス
・PA 2.1:パフォーマンス管理
・PA 2.2:作業成果物管理
・PA 3.1:プロセス定義
・PA 3.2:プロセス展開
・PA 4.1:プロセスマネジメント
・PA 4.2:プロセスコントロール
・PA 5.1:プロセスイノベーション
・PA 5.2:プロセス最適化
そして、6つのプロセス能力レベルと9個のプロセスパフォーマンス属性の対応は、以下の通りです。
・0:不完全なプロセス ─ 属性対応無し
・1:実施されたプロセス ─ PA 1.1(1属性対応)
・2:管理されたプロセス ─ PA 2.1, PA 2.2(2属性対応)
・3:確立されたプロセス ─ PA 3.1, PA 3.2(2属性対応)
・4:予測可能なプロセス ─ PA 4.1, PA 4.2(2属性対応)
・5:最適化しているプロセス ─ PA 5.1, PA 5.2(2属性対応)
各プロセス能力レベルは、下位のレベルが完全に達成された場合にのみ達成できます。
例えば、プロセス能力のレベル3(確立されたプロセス)を達成するには、プロセス能力のレベル2(管理されたプロセス)の属性を完全 に達成した上で、レベル3のプロセス定義とプロセス展開をほぼ達成する事が求められます。
能力レベルが高くなるにつれ、別の属性が加わって行きます。
プロセス能力レベル1とそれよりも高い能力レベルとの間には、大きな違いがあります。
プロセス能力レベル1の達成には、プロセスパフォーマンスの属性をほぼ達成している必要があって、そのプロセスが適切に実行され、求められている結果を事業体が得ている事を意味しています。
このアセスメントの枠組みでは、プロセス能力レベルが5までありますが、プロセス能力レベル1を達成する事は、事業体にとって重要な成果の1つと言えます。
各事業体は(コスト効果や実現可能性の理由に基づいて)目標や望まれるレベルを選択する必要があります。
そして、選択されたレベルが、最も高いレベルになる事は、ごく稀である事を理解しておく必要があります。
ISO/IEC 15504:2 に準拠したプロセス参照モデルの要件として、評価対象のプロセスの記述について以下の2つを規定しています。
・プロセスは、目的と結果の観点からのみ記述する
・プロセス記述には、レベル1を超える測定フレームワークの側面を含めてはならない
つまり、プロセス記述には、レベル1を超えるプロセス属性の特性が含まれていてはならないという事です。
プロセスが測定されモニターされているか、正式に記述されているかどうか等は、プロセス記述の一部、またはその基礎となるマネジメントの実践手法やアクティビティにはなり得ないという意味です。
これは、COBIT5:Enabling Processes で説明されているように、プロセス記述には、実際のプロセスの目的と達成目標を達成するために必要な手順のみが含まれる事を意味しています。
少し長くなりましたので、COBIT5のプロセス能力モデルの説明途中で終了します。
この続きはまた次回以降に、COBIT5のプロセス能力モデルについての続きとして取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/