皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ!何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第112回目は、このブログの本題になっている GEITについての続きです。
前々回の第103回目から、組織全体のITガバナンスのフレームワークCOBIT5のプロセス能力モデルについての説明を始めました。
今回も、COBIT5のプロセス能力モデルについての続きを取り上げていきます。
COBIT5のプロダクトには、以下の国際標準に基づいたプロセス能力モデルが含まれている事を説明しました。
・ISO/IEC 15504 ソフトウェア技術 ─ プロセスアセスメント
そして前回、COBIT5になって何が良くなったかについて、説明しました。
今回は、目標を達成するために、どのようにCOBIT5のプロセス能力モデルを使用して、高レベルのアセスメントを実行できるかについて、説明します。
COBIT5でのプロセス能力アセスメントの実施
ISO/IEC 15504標準では、プロセス能力アセスメントはさまざまな目的のために、さまざまな厳密さで実行できるとしています。
さまざまな目的には、以下の様に内部的な目的と外部的な目的があります。
内部的:事業体の分野の比較、または内部の効果のためのプロセス改善に重点を置いた目的
外部的:正式なアセスメント、報告および認証に重点を置いた目的
COBIT5のISO/IEC 15504をベースにしたアセスメントアプローチは、ガバナンス主体とマネジメントに対して、以下の目標を継続的に推進します。
・プロセス能力をベンチマークできるようにする
・高いレベルからAs-IsとTo-Beを対比して、プロセス改善に関する投資の意思決定を支援する
・正当な改善プロジェクトの定義をサポートするために、ギャップ分析と改善計画の情報を提供する
・現在の能力を測定し、モニターするために、アセスメントの格付けを提供する
アセスメントは、能力レベル1とそれを超えるレベルを明確に区別しています。
その理由は、プロセス能力のレベル1が、以下の通り必須で特別だからです。
・プロセスが意図した目的を達成しているかどうかを示す
・達成することが非常に重要なレベルとなっている
・1より高い能力レベルの達成を可能にするための基礎となる
プロセスが達成目標(=能力レベル1)を達成しているかどうかは、以下を行う事によって評価できます。
1. 詳細なプロセス記述で各プロセスに対して記述されているプロセスの成果を見直し、評価尺度を使用して、各目標の達成度に対して格付けを行います。
2. プロセス(ガバナンスまたはマネジメント)の実践手法は、同一の評価尺度を使用して評価することが可能で、ベースプラクティスが適用されている範囲を明らかにすることができます。
3. アセスメントを改良するには、特定のアセスメント属性が達成されている程度を決定するために、作業成果物も考慮します。
ISO/IEC 15504での評価対象プロセスに定義されている属性に対する尺度は、以下の区分で構成されています。
・N(達成していない=0~15%の達成度)
・P(部分的に達成している=15~50%の達成度)
・L(おおむね達成している=50~85%の達成度)
・F(完全に達成している=85~100%の達成度)
区分の意味
・N:達成している証拠がほとんどない、または全くない。
・P:アプローチを行なった証拠がある程度存在し、属性のいくらかを達成している。
その属性の達成のある側面は、予測できないことがある。
・L:系統的なアプローチを行なった証拠が存在し、属性が大きく達成されている。
この属性と関係する弱みが、評価対象プロセスに存在する可能性がある。
・F:完全で系統的なアプローチを行なった証拠が存在し、属性を完全に達成している。
この属性と関係する顕著な弱みは、評価対象プロセスに存在しない。
目標とする能力レベルは、各事業体の意向(考え方)次第ですが、全プロセスで能力レベル1の達成を目指す事業体が多くなります。
このレベルが達成されていない場合は、プロセスアセスメントのアプローチによって、その理由が以下の様に直ちに明らかになって、改善計画を定義する事ができます。
1. 求められるプロセスの成果が継続的に達成されない場合、プロセスは目標を満たしていないので、改善が必要です。
2. プロセスの実践手法のアセスメントは、どの実践手法が欠けているか、または失敗しているかを明らかにします。
その結果、その実践手法の実施または改善が可能となって、全てのプロセスの成果の達成が可能になります。
レベル2以上のプロセス能力レベルに関しては、各能力レベルの一般的な説明を提供する以下を使用します。
・ISO/IEC 15504:2 の一般的な実践手法
以上の様に、COBIT5のプロセス能力アセスメントを実施する事で、プロセスの改善計画を立てて、目標レベルを達成して行く事ができるようになります。
今回で、COBIT5のプロセス能力モデルの説明は終了します。
この続きはまた次回以降に、COBIT5フレームワークの付録から、重要な事項を取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/