皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ!何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第105回目は、このブログの本題になっている GEITについての続きです。
前回第103回目から、組織全体のITガバナンスのフレームワークCOBIT5のプロセス能力モデルについての説明を始めました。
今回は、COBIT5のプロセス能力モデルについての続きを取り上げていきます。
COBIT5のプロダクトには、以下の国際標準に基づいたプロセス能力モデルが含まれている事を前回説明しました。
・ISO/IEC 15504 ソフトウェア技術 ─ プロセスアセスメント
旧バージョンのCOBITとの違い
COBIT5のISO/IEC 15504 をベースにしたプロセス能力アセスメントと前のバージョンであるCOBIT4.1成熟度モデル(Val ITや Risk ITのドメインベースの成熟度モデル)では、以下の違いがあります。
・定義された能力レベルの命名や意味は、COBIT4.1の成熟度レベルのものとは大きく異なっている
・能力レベルを定義する9個のプロセス属性は、COBIT4.1の成熟度属性またはプロセスコントロールによってカバーされる分野の一部をカバーしているが、範囲が限られており、方法も異なっている
全ての事業体のプロセスに該当する共通の属性は、COBITのそれぞれのバージョンで、以下の様になります。
・COBIT3rd Editionでは、重複するコントロール目標となる
・COBIT4.1では、プロセスコントロール(PC)の目標にまとめられる
・COBIT5では、アセスメントモデルのレベル2~5に定義されてる
実践手法での違い
プロセスアセスメントモデルの変更に関わる実務的な違いが、新旧のモデル間に存在する事は明らかです。
使用者はこれらの変更を認識して、アクションプランの中でこれらの変更を考慮できるように準備を整える必要があります。
考慮すべき主要な変更点は、以下のものとなります。
・アセスメントの結果は、記述に使用される数字の尺度や用語が類似しているため比較できるように見えますが、対象範囲、重点、目的に違いがあるため、比較は難しい。
・一般的には、COBIT5のプロセス能力モデルではスコアが低くなる。
・COBIT4.1の成熟度モデルでは、あるプロセスは、そのプロセスの全ての目標を完全に達成しなくてもレベル1またはレベル2を達成する事ができますが、COBIT5のプロセス能力モデルのレベルでは、スコアが低くなって、0または1になる。
COBIT5とCOBIT4.1の能力の尺度は、以下で示すようにおおよそ対応すると考える事ができます。
COBIT5 COBIT4.1
────────────────────────────
0:不完全なプロセス ─── 0:存在しない
1:実施されたプロセス ─┬─ 1:初期/アドホック
└─ 2:繰返し可能だが直感的
2:管理されたプロセス
3:確立されたプロセス ─── 3:定義されたプロセス
4:予測可能なプロセス ─── 4:管理され、測定可能である
5:最適化しているプロセス── 5:最適化されている
ISO/IEC 15504のプロセス能力アセスメントのアプローチは、詳細なプロセスの内容にプロセスごとの成熟度モデルを含むアプローチを禁止しています。
そのため、COBIT5は、詳細なプロセスの内容にプロセスごとの成熟度モデルは含まれていません。
その代わりとして、このアプローチは、「プロセス参照モデル」(アセスメントに使用されるプロセスモデル)で必要な以下の情報を定義しています。
・目的の説明を含むプロセス記述
・プロセスガバナンスまたはプロセスマネジメントの実践手法と同等のベースプラクティス
・インプットとアウトプットと同等の作業成果物
COBIT5のアセスメントモデルは、各能力属性のための測定尺度、および適用方法に関するガイダンスを提供します。
それにより、各プロセスに対して、9個の能力属性のそれぞれについて、アセスメントを実行する事ができます。
一方、COBIT4.1の成熟度モデルは、事業体の成熟度プロファイルを生成します。
このプロファイルの主要な目的は、改善が必要な特定の弱点がある特質や属性を特定する事です。
このアプローチは、事業体が報告を目的として1つの成熟度の数値を得るのでなく、改善に焦点が当てられる場合に使用されています。
COBIT5のプロセス能力属性とCOBIT4.1の成熟度属性は、同一でなく、以下の様に、ある程度、重複したり、対応したりします。
COBIT5のプロセス能力属性 COBIT4.1の成熟度属性
────────────────────────────────────────────────
PA 1.1:プロセスパフォーマンス
PA 2.1:パフォーマンス管理 達成目標の設定と測定
PA 2.2:作業成果物管理
PA 3.1:プロセス定義 認識と周知、ツールと自動化、
スキルと専門性、
実行責任と説明責任
PA 3.2:プロセス展開 認識と周知、スキルと専門性
PA 4.1:プロセスマネジメント 認識と周知、
達成目標の設定と測定
PA 4.2:プロセスコントロール ポリシーと計画および手続き
PA 5.1:プロセスイノベーション
PA 5.2:プロセス最適化
COBIT4.1で成熟度モデル属性のアプローチを使用していた事業体は、既存のアセスメントデータを再利用する事ができます。
これを上記の表に基づいて、COBIT5の属性アセスメントに従った再分類として実施する事ができます。
少し長くなりましたので、COBIT5のプロセス能力モデルの説明途中で終了します。
この続きはまた次回以降に、COBIT5のプロセス能力モデルについての続きとして取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/