皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名のメールマガジンを発行する事になりました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(近日創刊!)
─────────────────────────────
ブログの第146回目は、このブログの本題になっている GEITについての続きです。
前回の第145回目で、付録E COBIT5と他の関連する標準やフレームワークとのマッピングの説明に入りました。
今回はその続きで、COBIT5とISO/IEC 38500の比較を取り上げていきます。
付録E COBIT5と他の関連する標準やフレームワークとのマッピング
COBIT5とISO/IEC 38500標準の比較
前回もお伝えしましたが、ISO/IEC 38500(情報技術のコーポレートガバナンス)には、以下の6つの主要な原則があります。
ISO/IEC 38500の6つの主要な原則
・原則1─責任
・原則2─戦略
・原則3─取得調達
・原則4─パフォーマンス
・原則5─整合性
・原則6─人間の行動
ISO/IEC 38500の主要な原則の実践的な意味合いに対して、COBIT5のガイダンスが、その優れた実践手法で、それをどう実現しているかが、次の様に書かれています。
・原則1─責任の実務的な意味:
ビジネス(顧客)とIT(提供者)は、Win-Winの関係を築く必要があります。
そのためには、前向きでお互いを高く信頼する関係に基づいた効果的なコミュニケーションを活用して、実行責任と説明責任を明確にするパートナーシップモデルにおいて協力する事が必要になります。
まず、重要な決定やタスクのためのオーナーシップや実行責任を明確にして、適切なガバナンスの組織構造、役割および実行責任を、ガバナンス主体からの指示によって定める必要があります。
中小規模の事業体で、単純な指揮構造で伝達経路も短い場合は、取締役が、ITアクティビティを監督する上で、より直接的なアプローチを取る必要があります。
既に、重要な決定やタスクのためのオーナーシップや実行責任が明確である場合は、幹部から命令を受けて、適切なガバナンスの組織構造、役割および実行責任を定める必要があります。
これらには、主要な第三者ITサービス提供者との関係も含める必要があります。
COBIT5は、どのように優れた実践手法を実現するのか:
1. COBIT5のフレームワークは、事業体のITガバナンスのために、複数のイネーブラーを定義しています。
ここでは、RACIチャートと組み合わされた「プロセス」のイネーブラーと「組織構造」のイネーブラーが特に関連性があります。
ISACAでは、実行責任の割り当てを強く勧めていて、全ての主要な関連するプロセスおよびアクティビティに対し、取締役会のメンバーおよびマネジメントの役割および実行責任の例を示しています。
※RACIチャートは、タスクに対して、以下を特定しています。
・実行責任者(R:Responsible)
・説明責任者(A:Accountable)
・協議先(C:Consulted)
・報告先(I:Informed)
2. COBIT5のImplementationは、ITガバナンスの割り当てを実施して、強化する際の、ステークホルダーと他の関係者の実行責任を説明しています。
3. COBIT5には、2つのレベルのモニタリングがあります。
・ガバナンスのコンテキストに関連したレベル
・EDM05「ステークホルダーから見た透明性の保証」のプロセスレベル
EDM05では、達成目標および目標を確立する一般的な方法、および関連する測定指標を用いて、ITガバナンスとITパフォーマンスをモニターして、評価する際の取締役の役割を説明しています。
原則2─戦略の実務的な意味:
ITの戦略的計画は、事業体の全事業部門とIT戦略の計画との間の緊密な連携を必要とする複合的で重要な作業となります。
期待される効果を達成する可能性が高い計画を優先して、リソースを効果的に割り当てることも重要となります。
高レベルの達成目標は、達成可能な戦術計画に変換して、失敗や予期しない事態を最小限にする必要があります。
目標は、取締役会が許容し得るリスクの水準を考慮した上で、戦略的目標を支援するための価値を提供する事になります。
トップダウン方式で計画を展開することは重要ですが、計画は急激に変化するビジネス要件とITの機会に対応するために、柔軟で、順応性のあるものにしなければなりません。
更に、IT能力の有無によって、事業戦略が可能になったり、妨げられたりすることもあるため、IT戦略計画には、IT能力の取得向上に関する透明かつ適切な計画を含める必要があります。
計画には、将来のビジネス要件をサポートするための現在のITインフラストラクチャおよび人的資源の能力の評価と、競争力を高め、コストを最適化する可能性がある将来の技術開発の検討を含める必要があります。
ITリソースには、多くの外部製品ベンダーとサービス提供者との関係が含まれているため、それらの一部はビジネスのサポートにおいて重要な役割を担う可能性が高くなります。
そのため、戦略的ソーシングのガバナンスは、経営層の指示および監督が必要となる、非常に重要な戦略的計画アクティビティとなります。
COBIT5は、どのように優れた実践手法を実現するのか:
1. COBIT5は、以下を提供しています。
IT投資の管理および戦略的目標が、適切なビジネスケースによってどのようにサポートされるかに関する具体的なガイダンス
(特にガバナンスドメイン内のプロセス EDM02「 効果実現の保証」)
2. COBIT5のAPOドメインは、以下を含む内外のITリソースの、効果的な計画と組織に必要とされるプロセスを説明しています。
・戦略的計画
・技術とアーキテクチャの計画
・組織の計画
・イノベーションの計画
・ポートフォリオの管理
・投資管理、リスク管理
・リレーションシップマネジメント
・品質管理
ビジネス達成目標とIT達成目標の整合性も説明されていて、広い業界に対するリサーチに基づいて、ビジネス達成目標とIT達成目標が、どのように全てのIT関連のプロセスのための戦略的目標をサポートするかを示す一般的な例も示しています。
3. 事業体の達成目標とIT達成目標を識別して、整合をとる事によって、事業体の達成目標、IT達成目標、ITプロセスを含むイネーブラーのカスケード(展開)関係の理解を深める事ができます。
また、事業体の達成目標とIT達成目標を識別して、整合をとる事で、17個の一般的な事業体の達成目標と、17個のIT達成目標の強力なリストを得る事ができます。
これらは、異なる部門で検証され、優先順位が設定されています。
更に、これらの目標をリンクさせる情報が加わる事で、ビジネス達成目標からIT達成目標への一般的なカスケード(展開)を構築するための優れた基礎を得る事ができます。
原則3─取得調達の実務的な意味:
ITソリューションは、ビジネスプロセスをサポートするために存在します。
従って、ITソリューションを独立して考慮したり、「技術」プロジェクトまたは「技術」サービスとして考えたりしないように注意しなければなりません。
一方で、以下の事からプロジェクトの失敗、ビジネス運営を維持できない、ビジネスの価値が低くなるといった結果を招く事が発生します。
・技術アーキテクチャの選択が不適切
・現在の適切な技術インフラストラクチャを維持できない
・スキルのある人的資源がいない
ITリソースの調達は、広範なITによって可能になるビジネスの変革の一部として考えるべきものです。
調達したテクノロジーは、既存および開発中のビジネスプロセス、更にITインフラストラクチャもサポートして、これらと融合して機能するものが求められます。
導入は、単に技術的な問題ではなく、組織変更、ビジネスプロセスの変更、トレーニングおよび変更の実現が組み合わさったものとなります。
そのために、ITプロジェクトは、結果の成功を保証するために必要なアクティビティの全範囲をカバーする他のプロジェクトを含む、より広範な事業体全体の変更プログラムの一部として実施される必要があります。
COBIT5は、どのように優れた実践手法を実現するのか:
1. COBIT5は、以下を提供しています。
EDMドメインは、ライフサイクル全体(調達、導入、運用、廃止)を通して、ITで可能になったビジネス投資のガバナンスとマネジメントに関するガイダンス
APO05「 ポートフォリオ管理」プロセスは、効果の実現およびコストの最適化を保証するために、効果的なポートフォリオと、そのような投資のプログラム管理を適用する方法
2. COBIT5は、以下を提供しています。
APOドメインは、投資の計画、リスク管理、プログラムとプロジェクトの計画、品質計画を含む、調達のためのガイダンス
3. COBIT5は、以下を提供しています。
BAIドメインは、要件の定義の網羅、実行可能なソリューションの特定、文書の準備、ユーザーとオペレーションが新規システムを運用できるようにするためのトレーニングを含む、ITソリューションの調達と導入に必要なプロセスに関するガイダンス
更に、変更がビジネスとIT環境に適用された時に、ソリューションが適切にテストされ、コントロールされていることを保証するためのガイダンス
4. COBIT5は、以下を提供しています。
MEAドメインとプロセスEDM05は、調達が適切に管理され、実行されていることを保証するために、取締役が調達プロセスと内部統制をモニターして、評価するためのガイダンス
少し長くなりましたので、付録EのCOBIT5とISO/IEC 38500標準の比較説明の途中で終了します。
この続きはまた次回以降に、COBIT5とISO/IEC 38500標準とのマッピングを取り上げていきます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャ
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/