皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名のメールマガジンを発行する事になりました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(明日創刊!)
─────────────────────────────
ブログの第148回目は、このブログの本題になっている GEITについての続きです。
前回の第145回目で、付録E COBIT5と他の関連する標準やフレームワークとのマッピングの説明に入りました。
今回もその続きで、COBIT5とISO/IEC 38500の比較を取り上げていきます。
付録E COBIT5と他の関連する標準やフレームワークとのマッピング
COBIT5とISO/IEC 38500
ISO/IEC 38500(情報技術のコーポレートガバナンス)には、以下の6つの主要な原則があります。
ISO/IEC 38500の6つの主要な原則
・原則1─責任
・原則2─戦略
・原則3─取得調達
・原則4─パフォーマンス
・原則5─整合性
・原則6─人間の行動
ISO/IEC 38500の主要な原則の実践的な意味合いに対して、COBIT5のガイダンスが、その優れた実践手法で、それをどう実現しているかが、次の様に書かれています。
・原則4─パフォーマンスの実務的な意味:
効果的なパフォーマンスの測定は、以下の2つの主要な要素に依存しています。
・パフォーマンス達成目標の明確な定義
・達成目標の達成をモニターするための効果的な測定指標の確立
パフォーマンス測定プロセスは、パフォーマンスが継続的、かつ確実にモニターされることを保証するためにも必要です。
以下の条件が満たされた場合に、効果的なガバナンスが達成されます。
・達成目標がトップダウンで設定される
・高レベルの承認されたビジネス達成目標と整合が取られる
・ボトムアップで測定指標が確立される
・マネジメントの各層で、全レベルでの達成目標の達成がモニターされるように整合がとられる
重要なガバナンスの成功要因は、以下の2つとなります。
・ステークホルダーによる達成目標の承認
・取締役とマネージャによる達成目標達成のための説明責任の受諾
ITは複雑で、技術的なトピックだと考えられているので、以下の3点をステークホルダーに意味があり理解される言葉で説明する事で、透明性を確保して、適切な措置を取ることができるようにする事が重要になります。
・達成目標
・測定指標
・パフォーマンスレポート
COBIT5は、どのように優れた実践手法を実現するか:
1. COBIT5フレームワークは、以下の事によって、事業体の特定の用途に適合させることができます。
・あらゆるIT関連のプロセスと他のイネーブラーについて、達成目標と測定指標の一般的な例を示している
・IT関連プロセスとイネーブラーが、どのようにビジネスの達成目標と関係するのかを示している
2. COBIT5は、以下をマネジメントに提供し、説明しています。
・ビジネス達成目標に合わせたIT目標の設定に関するガイダンス
・達成目標と測定指標を使用して、これらの目標のパフォーマンスをモニターする方法
※プロセス能力は、ISO/IEC 15504に準拠した能力アセスメントモデルを使用して評価できます。
3. 以下の2つの主要なCOBIT5プロセスが、特定の部分に重点を置くガイダンスを提供しています。
・APO02「戦略管理」:達成目標の設定
・APO09「サービス契約の管理」:適切なサービスとサービス達成目標の定義と、それらをサービスレベルの契約(SLA)において文書化する
4. 以下のCOBIT5プロセスは、このアクティビティのための経営幹部の責任に関するガイダンスを提供しています。
・MEA01「成果と整合性のモニタリング、評価およびアセスメント」
5. 以下の刊行予定のガイダンスは、アシュアランスの専門家が、どのようにITパフォーマンスに関する独立したアシュアランスを取締役に提供できるかを説明しています。
・COBIT5 for Assurance
・原則5─整合性の実務的な意味:
インターネットや先進技術を基盤とする現在の国際市場で、事業体は、増加しつづける法令および規制の要件に準拠する必要があります。
ここ数年の企業のスキャンダルや破産と言う実例から、取締役会では、より厳格な法令および規制の存在や含意に関する認識が高まっています。
ステークホルダーは、以下の保証を益々高いレベルで求めるようになって来ています。
・事業体が法令や規制に準拠している事
・経営環境においてコーポレートガバナンスの優れた実践手法に適合している事
ITは、事業体間でシームレスなビジネスプロセスを実現しているため、契約に以下の様な重要なIT関連の要件を含めるようにする必要が高まっています。
・プライバシー
・機密性
・知的財産
・セキュリティ
取締役は、外部要件への準拠を後から思いついて高い費用をかけて行うのではなく、戦略的計画の一部として行うようにする必要があります。
また、取締役は経営者の姿勢を定め、マネジメントとスタッフが従うためのポリシーと手続きを確立する事により、事業体の達成目標が実現され、リスクが最小化され、コンプライアンスが達成されるようにする必要がある。
トップマネジメントは、以下に注意してパフォーマンスと整合性との間で、適切なバランスを取らなければなりません。
・パフォーマンスの達成目標が、準拠性を脅かさないよう
・整合体制が適切で、必要以上にビジネスの運営を制限しないよう
COBIT5は、どのように優れた実践手法を実現するか:
1. COBIT5のガバナンスとマネジメントの実践手法は、事業体で適切なコントロール環境を確立する基礎となります。
マネジメントは、プロセス能力アセスメントによって、ITのプロセス能力を評価して、ベンチマークを定める事ができる様になります。
2. 以下のCOBIT5プロセスは、IT計画と、ガバナンスの要件を含むビジネス目標全体との整合をとるための手助けとなります。
・APO02「 戦略管理」
3. 以下のCOBIT5プロセスにより、取締役は、コントロールがコンプライアンスの要件を満たすために適切かどうかを評価する事ができる様になります。
・MEA02「 内部統制のシステムのモニタリング、評価およびアセスメント」
4. COBIT5のプロセスMEA03「 外部要件への準拠性のモニタリング、評価およびアセスメント」は、以下を保証する事を支援します。
・事業体の要件への全体的な整合性確保の一環として、外部のコンプライアンス要件が特定されている
・取締役がコンプライアンスのための方向付けを行なっている
・ITコンプライアンス自体が、モニターされ、評価され、報告されている
5. 刊行予定のガイダンス COBIT5 for Assuranceは、監査人が以下の事について、どのように独立したアシュアランスを提供できるかを説明しています。
・内部の指令への準拠
・外部の法令
・規制または契約による要件から派生した内部ポリシーへの準拠
これによって、準拠性にギャップがあった場合に、担当のプロセスオーナーが適時に是正措置をとった事を確認できる様になっています。
少し長くなりましたので、付録Eの説明の途中で終了します。
この続きはまた次回以降に、COBIT5と他の関連する標準やフレームワークとのマッピングを取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/