皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第158回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回もその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:原則、ポリシーおよびフレームワーク
原則およびポリシーとは、ガバナンス体系およびマネジメントの指示や命令を伝えるために確立されている、コミュニケーションの仕組みの事を言います。
原則、ポリシーおよびフレームワークのイネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、モデルを使いながら説明します。
イネーブラーの4つの共通の特質
・ステークホルダー
・達成目標
・ライフサイクル
・優れた実践手法
・ライフサイクル
ポリシーは、定義した達成目標の達成を支援可能なライフサイクルを持っています。
フレームワークは、以下の理由で重要になります。
・一貫したガイダンスを定義するための構造を提供するため
例として、ポリシーフレームワークは、以下を実現しています。
・一貫したポリシーを作成できる
・維持できる構造を提供する
・個別のポリシー内、およびポリシー間で、簡単なナビゲーションのポイントも提供する
事業体が運営する外部環境に応じて、強力な内部統制(強力なポリシーフレームワーク)のための、規制要件の程度は異なります。
フレームワークおよびポリシーに関して、主要な考慮点は、ポリシーの最新性となります。
ポリシーを見直したり、更新したりした場合に、以下の事項を保証する強力な仕組みがあるかどうかの確認が、必要となります。
・人々が更新を認識している
・最新バーションに簡単にアクセスできる
・古い情報が適切にアーカイブ化、または廃棄されている
・優れた実践手法
優れた実践手法は、特にこのイネーブラー特有の要素が複数含まれて、以下の事が必要になります。
・ポリシーが全体のガバナンスとマネジメントのフレームワークの一部となっている
・すべてのポリシーが適切に適合する
・基礎となる原則に明確にリンクする(階層的な)構造となっている
ポリシーフレームワークの一部として、以下の項目を説明する必要があります。
・対象範囲と妥当性
・ポリシーに準拠しなかった場合の結果
・例外を扱う手段
・ポリシーへの準拠を確認し、測定する方法
ここでの作業成果物としては、ポリシー要綱と言う様な名称のものとなります。
付録Aや付録Eで取り上げた、一般的に認められているガバナンスとマネジメントのフレームワークは、ポリシーに含まれる実際の記述に関する貴重なガイダンスとなります。
ポリシーは、以下の目的を持つ、事業体の内部統制システムの主要なコンポーネントです。
・リスク管理
・リスク抑制
ポリシーは、事業体のリスク選好度と整合をとる必要があります。
リスクガバナンスのアクティビティの一部として、以下を実現する必要があります。
・リスク選好度を定義する
・リスク選好度をポリシーに反映させる
リスク選好の低い事業体は、リスク選好の高い事業体に比べて、ポリシーが厳格となります。
ポリシーは、定期的な間隔で再検証または更新、もしくはその両方を行う必要があります。
・その他のイネーブラーとの関係
その他のイネーブラーとのリンクには、以下のものが含まれます。
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
◇プロセスとの関係
プロセスの実践手法とアクティビティは、ポリシーを実行するのに最も重要な手段となります。
◇組織構造との関係
組織構造は、コントロールの範囲内でポリシーを定義、導入する事ができ、そのアクティビティもポリシーによって定義されています。
◇文化、倫理および行動との関係
特に、文化、倫理および行動に関するイネーブラーとは、強いつながりがあります。
原則、ポリシーおよびフレームワークは、事業体の文化および倫理的な価値を反映して、望ましい行動を促すべきものとなります。
◇情報
ポリシーも情報の中に含まれるため、情報に適用される全ての優れた実践手法は、ポリシーにも適用されます。
少し長くなりましたので、付録GのCOBIT5イネーブラーの詳細説明の途中で終了します。
この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/