皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第164回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回もその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:プロセス
プロセスは、以下を実施する、事業体のポリシーや手続きに影響される実践手法の集合体と定義されています。
・複数のソース(他のプロセスも含む)からインプットを受ける
・受けたインプットを操作する
・アウトプット(製品、サービスなど)を生成する
プロセスのイネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、モデルを使いながら説明します。
・その他のイネーブラーとの関係
プロセスとその他のイネーブラーのカテゴリーとの間のリンクは、以下の関係を通じて存在します。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
◇原則、ポリシーおよびフレームワークとの関係
プロセスは、一貫した導入と実行を保証するために、ポリシーと手続きを生成、または必要とします。
◇プロセスとの関係
プロセスは、他のプロセスに依存します。
◇組織構造との関係
プロセスは、 以下のRACIチャートで表されている組織構造、および運営するための役割を必要とします。
・IT運営委員会
・事業体のリスク管理委員会
・取締役会
・監査
・CIO
・CEO
※RACIチャートは、タスクに対して、以下を特定しています。
・実行責任者(R:Responsible)
・説明責任者(A:Accountable)
・協議先(C:Consulted)
・報告先(I:Informed)
◇文化、倫理および行動との関係
文化および行動の側面は、どれほど適切にプロセスが実行されるかを決定します。
◇情報との関係
プロセスは、インプットの一種として情報を必要として、作業成果物として情報を生成します。
◇サービス、インフラストラクチャおよびアプリケーションとの関係
プロセスは、サービス能力(インフラストラクチャ、アプリケーションなど)を生成し、必要とします。
COBIT5プロセス参照モデル
ガバナンスプロセスとマネジメントプロセス
COBITにおいて指針となる原則の一つは、ガバナンスとマネジメントの区別です。
各事業体は、この原則に従って、複数のガバナンスプロセスおよび複数のマネジメントプロセスを実行して、包括的な事業体のITガバナンスとITマネジメントを提供する事が期待できます。
事業体の状況に応じて、ガバナンスとマネジメントのためのプロセスを考える場合、プロセスのタイプの違いは、プロセスの目標の違いを伴っています。
・ガバナンスプロセス
ガバナンスプロセスは、以下の様なステークホルダーのガバナンスの目標を扱っています。
・価値の提供
・リスク最適化
・資源最適化
ガバナンスプロセスは、以下の事を目的とした実践手法やアクティビティを含んでいます。
(EDM:ISO/IEC 38500標準のコンセプト)
・戦略的な選択肢を評価する(E:Evaluate)
・ITに方向付けを提供する(D:Direct)
・成果をモニターする(M:Monitor)
・マネジメントプロセス
マネジメントの定義に従えば、マネジメントプロセス内の実践手法とアクティビティは、PBRM(計画、構築、実効、モニター)に関する以下を実現しなければなりません。
・事業体ITの責任分野をカバーする
・ITを包括的にカバーする
プロセス自体の文脈(前後関係)から、内部的に両者のプロセスの成果は異なって、かつ異なる相手に提供されます。
しかし、全てのプロセスは、そのプロセス内に、以下のアクティビティを必要とします。
・計画(P:Plan)
・構築または導入(B:Build)
・実行(R:Run)
・モニタリング(M:Monitor)
少し長くなりましたので、付録GのCOBIT5イネーブラーの詳細説明の途中で終了します。
この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/