皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第207回目は、このブログの本題になっている GEITについての続きです。
第191回目で、ISACAが認定している資格の話題に入りました。
今回もその続きで、COBIT5フレームワークを発行している、ISACAの認定資格CGEITの続きを見て行きます。
ISACAの資格:CGEIT
ISACAが認定している資格は、2014年8月現在で、以下の4資格です。
・CISA (Certified Information Systems Auditor)
・CISM (Certified Information Security Manager)
・CGEIT(Certified in the Governance of Enterprise IT)
・CRISC(Certified in Risk and Information Systems Control)
日本語での資格名称は、以下の様になっています。
・CISA:公認情報システム監査人
・CISM:公認情報セキュリティマネージャー
・CGEIT:公認ITガバナンス専門家
・CRISC:現時点で、日本語名称はありません
・CGEIT:公認ITガバナンス専門家
◇ドメイン
現在のCGEITに求められる試験のドメイン(領域)は、以下の5つで、出題の割合は()内の%です。
・1:企業ITガバナンスのためのフレームワーク(25%)
・2:戦略的管理(20%)
・3:利益実現(16%)
・4:リスク最適化(24%)
・5:リソース最適化(15%)
CGEITの旧のドメイン(領域)は、以下の6つで、出題の割合は()内の%です。
・1:ITガバナンスの枠組(25%)
・2:戦略との整合(15%)
・3:価値の提供(15%)
・4:リスク管理(20%)
・5:リソース管理(13%)
・6:パフォーマンス測定(12%)
◇各ドメインの意味、タスクおよび知識項目
*ドメイン3:価値の提供
価値管理に関する責任は、情報化を機軸とした事業投資(=情報化投資)が、約束どおりの利益を達成して、個別的・総合的に測定可能な事業価値を生む事を以下によって保証する事です。
・ITと事業が達成する事
・必要な能力(ソリューションとサービス)が、納期通り予算内で提供される
・ITサービスおよび、その他のIT資産が、継続的に事業価値の創出に貢献する
・タスク
3.1 以下についての、利益実現に関するオーナーシップと説明責任をビジネスが持つ事を保証する
・ビジネスケース
・ビジネス変革
・組織改革
・ビジネスプロセスの運用
・全ての情報化投資
3.2 全ての情報化投資が、投資ポートフォリオとして管理される事を保証する
3.3 全ての情報化投資が、プログラムとして管理され、ビジネス価値を達成するために必要となる全スコープにおける活動と支出を含む事を保証する
3.4 価値を最大化するために、全ての情報化投資が、経済的なライフサイクル全体を通じて管理される事を保証する
3.5 異なる投資カテゴリーは、個別に評価され、管理される必要がある事を認識する
3.6 要求される能力を提供するために、開発ライフサイクルを通して、全てのITソリューションが効果的・効率的に開発され維持される事を保証する
3.7 全てのITサービスが、正しいサービスレベルで、ビジネスに提供される事を保証する
3.8 最適なコストで適切な能力を提供するために、資産を利用したITサービスで、要求される事業価値をビジネスが創造する事を可能とするよう保証する
(資産:人、アプリケーション、基盤、情報)
3.9 以下を測定するために、適切な測定値を定義、モニターして、変更と逸脱に対応する
・目標に対するソリューションとサービス提供
・実現された利益
3.10 全てのステークホルダーを巻き込んで、以下に対する適切な説明責任を割り当てる
・ビジネスとITの能力の提供
・利益の実現
3.11 以下が、全社戦略とアーキテクチャーに整合している事を保証する
・IT投資
・ソリューション
・サービス
・知識項目
3.1 価値ガバナンスの実践手法
3.2 IT投資管理の実践手法とプロセス
3.3 ビジネスケース開発とモニタリング、ポートフォリオプログラムとプロジェクト管理の実践手法
3.4 IT投資状況の管理と報告
3.5 利益管理を含む、IT投資プロセス、資金調達モデル、投資ライフサイクル管理
3.6 コスト最適化
3.7 ソリューション提供プロセスと実践手法
(システム開発ライフサイクル)
3.8 サービス提供実践手法とプロセス
3.9 企業、情報、ITのアーキテクチャー技術と枠組
*ドメイン4:リスク管理
全社ガバナンス環境の一環として、IT関連ビジネスのリスクに対して、以下を実行するために適切な枠組が存在して、その枠組の関連基準との整合を保証する事です。
・特定
・評価
・軽減
・管理
・コミュニケーション
・モニター
・タスク
4.1 ITリスクの以下戦略が、ビジネス戦略・戦術計画プロセスに統合されている事を保証する
・特定
・評価
・軽減
・管理
・コミュニケーション
・モニタリング
4.2 ITリスク管理プロセスを、全社ビジネスリスク管理の枠組に整合させる
(全社ビジネスリスク管理の枠組が存在する場合)
4.3 全社IT環境に、リスク管理の枠組が一貫して適用される事を保証する
4.4 リスクの評価と管理が、全情報ライフサイクルで、行われる事を保証する
4.5 企業のリスク選好度を維持するために、リスク管理戦略を定義し、特定されたリスクに対する対応の優先順位付けを行う
4.6 リスクを軽減し、受容可能な残存リスクレベルを管理するために、リスク管理戦略が採用されている事を保証する
4.7 適切な管理者層に対して、リスク事象とその対応がタイムリーに報告される事を実現する
(タイムリー:適切な場合には主要リスクインディケーターを含んで)
4.8 リスク管理プロセスが完全で効果的である事を保証するために、モニタリングのプロセスと実践手法を確立する
・知識項目
4.1 以下のレベルにおける、リスク管理の環境
・戦略
・ポートフォリオ
・プログラム
・プロジェクト
・業務運営
4.2 リスク管理の枠組と基準
(例:COSO ERM、MoR、OCTAVE、ISO31000、AS/NZ 4360:2004)
4.3 企業の事業目標
4.4 全社リスク管理の枠組
(リスクの特定と評価をサポートするために利用されるリスク分類モデルを含む)
4.5 企業の外部事業環境
4.6 企業の内部環境
4.7 ゴールと目標を達成するために、企業が取るビジネス戦略の定義と実行方法
4.8 依存関係と根本的な理由を理解するために、ビジネスプロセスをITプロセスに落とし込んでマッピングする方法
4.9 企業のリスク選好度
4.10 企業のITリソース
(ITリソース:アプリケーション、情報、基盤、人)
4.11 企業のIT利用に内在する、脅威、脆弱性、機会
4.12 ITリソースを利用する事で対応可能な、以下の類型
・ビジネスリスク
・残存リスク強度
・脅威
4.13 ビジネスの成功に対する、IT関連の貢献度を決定する定量的・定性的手法
・重要性
・重大性
・成熟度
4.14 ITリスクを評価するための定量的・定性的手法
(企業特有の記述的な測定スケール、IT関連資産の評価手法と確率、監査および流通データ型、影響と損失期待値モデル・技術双方の利用を含む)
4.15 プロセス分析技術のような、極低頻度だが大きな影響を与えるリスクタイプを発見する手法
4.16 社内のIT利用に関連したリスク軽減戦略
4.17 全社リスク管理に影響を与えるために適用可能な、IT関連活動に関するリスク管理技術
4.18 特定されたリスクの状況を、効果的に管理し、報告する手法
*ドメイン5:リソース管理
IT部門が、能力が高く有能なリソースを十分保有している事を保証します。
IT資産の以下を最適化する事で、現在および、将来的な戦略目標を実行し、ビジネス要求を満たし続けるために必要です。
・投資
・利用
・割り当て
・タスク
5.1 以下の人材に関する要求事項が、理解され適切に評価される事を保証する
・必要なスキルセットを身に付けた
・トレーニングを受けた
5.2 以下を支援するために、全てのスタッフのトレーニングと開発に関する、適切な方針が存在する事を保証する
・企業の要求事項を満たす事
・個人的/専門的な成長
5.3 企業が利用可能なリソース、および今後利用できる可能性があるリソースの記録システムの維持を進展させ、促進する
5.4 ビジネスおよびITリソースが、戦略目標を満たせる事を保証するために、ギャップ分析によって、要求事項を満たさない点を明らかにする
(ITリソース:人、アプリケーション、情報、基盤)
5.5 投資プログラムとサービスに対する、明確で一貫性があり執行力のある人的リソースの割り当てを、効果的、効率的に保証する
5.6 リソース割り当て戦略が、現存リソースの効果的な利用と、今後獲得が必要なリソースの識別に基づいている事を保証する
5.7 効果的、効率的にリソース要求を満たすために、以下の調達方針が存在する事を保証する
・人
・ハードウェア
・ソフトウェア
・基盤
5.8 人的リソースに対するトレーニング要件を定期的に評価する事で、以下を保証する
・現在および、将来の戦略目標を実行するために、能力が高く、有能で、十分な人的リソースが利用可能
・人的リソースが、常に進展を続けるテクノロジーに遅れをとらない
5.9 リソースに対する以下のプロセスを、ビジネス戦略・戦術計画、および業務運営に統合する事を保証する
・認識
・分類
・割り当て
・定期的な評価
5.10 以下の事に対して、保証を行う
・IT基盤が標準化されている
・可能な場合には、いつでも、規模の経済性が達成される
・要求される場合には、企業の緊急ニーズをサポートするために、相互利用可能性が存在する
5.11 以下の事に対して、保証を行う
・IT資産が、経済的なライフサイクルを通じて管理され、保護されている
・ビジネス目標の経済的な達成をサポートするために、IT資産が現在および長期的なビジネス業務運営要件に整合している
・知識項目
5.1 全社のビジネスとITリソース
(人、アプリケーション、基盤、情報)
5.2 企業のビジネスとITリソース、および調達プロセス
(人、アプリケーション、ソフトウェア、ハードウェア、設備、外部委託サービス)
5.3 企業のビジネス目標を満たすために要求される、スキルとテクノロジーの融合
5.4 技術および、ビジネス上の以下に関する確率された要件を満たすために必要となる、人的資源の管理プロセスと最適化の実践
・習熟
・能力
・素質
5.5 以下を満たすために採用するかもしれない、アウトソーシングとオフショア化
・投資プログラム
・業務運営とサービスレベルに関する合意
5.6 社内の人的・技術的な、ビジネスおよびITリソースに固有の強み・弱み
業務上の能力と習熟を維持するために、必要なスキルセットを持つトレーナーを見つける手段
5.7 全社ビジネス戦略
5.8 ビジネスおよび、ITのリソース計画と戦略・戦術計画についての以下
・方法論
・技術
・プロセス
5.9 ビジネスおよび、ITリソースの利用と、リソースの利用可能性を、決定し評価するために利用される定量・定性方法論
5.10 ビジネスおよび、ITリソースのパフォーマンスをモニタリングし報告する方法論
*ドメイン6:リソース最適化
ビジネスを支援する、ITのゴール・目標および、その測定が、主要なステークホルダーとの関係で、確立されている事を保証します。
また、測定可能なターゲットに対して、以下が行われている事を保証します。
・設定
・モニター
・評価
・タスク
6.1 取締役会および、業務執行のリーダーシップを担うチームと共に、企業の戦略的なIT目標を確立する
これらの目標は、次の4つの領域に分類される
・財務(ビジネス貢献)
・顧客(ユーザー志向)
・内部プロセス(業務運営上の卓越)
・学習と成長(未来志向)
その他、企業にとって適切な領域ならば、どのような領域でも良い
6.2 以下を確立する
・測定基準に支えられた、成果およびパフォーマンスの測定方法
・企業および、ITの目標とビジネス戦略の達成に向けた、進捗を評価するターゲット
6.3 成果測定とパフォーマンスドライバーを利用して、以下を実施する
・ITプロセスパフォーマンスを評価
・IT投資ポートフォリオパフォーマンスを追跡
・IT価値提供を測定
6.4 企業のパフォーマンスレベルの健全性を評価し、報告するために、成熟度モデルやその他の評価技術を利用する
6.5 改善案件と適切なマネジメント活動の以下を行うために、継続的なパフォーマンス測定を利用する
・特定
・優先順位付け
・開始
・管理
6.6 適切なタイミングと正確な方法で、関連するステークホルダーに適切な以下を報告する
・ポートフォリオ
・プログラム
・ITパフォーマンス
・知識項目
6.1 企業のビジネス目標
6.2 戦略マッピングとバランスド・スコアカードの原理
6.3 広く利用されているIT成熟度モデルのスコープ、目標と効果に関する知識
(成熟度属性を含む)
6.4 パフォーマンス測定のためのデータ収集技術
6.5 継続的改善の方法論
6.6 ITガバナンスの実行に関する実践手法
6.7 測定と測定基準の特性および選択基準
6.8 成果測定とパフォーマンスドライバー
6.9 パフォーマンス測定での定評のある実践手法と効果的な業界ベンチマーク技術
(手法例:成熟度モデル)
6.10 測定、コミュニケーション、組織的な変革を推進するツールと技術
6.11 自動モニタリングツールと技術
6.12 根本原因分析の技術
6.13 ライフサイクルにおける、投資対利益分析技術
6.14 ITのパフォーマンスと価値ガバナンスの評価、モニタリング
ドメインの内容を見ていただければ、ご理解いただけると思いますが、GEITは恐ろしく広範囲です。
事業体(組織全体)のITに関連する全て、経営そのものと言って良い範囲を網羅しています。
以上で、ISACAの認定資格CGEITについての説明を終了します。
ISACAの資格は、日本では未だに認知度の低い資格ですが、米国のある調査では、給与の高いIT資格ベスト3を独占しています。
以下のURL(Global Knowledge Training LLC. 調査レポート)を参照ください。
https://www.globalknowledge.com/training/generic.asp?pageid=3632
少し長くなりましたので、ISACAの認定資格について、説明の途中で終了します。
この続きは、次回以降に、ISACAが発行している資格を1つずつ、詳細に紹介して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題を中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/