皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第165回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回もその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:プロセス
プロセスは、以下を実施する、事業体のポリシーや手続きに影響される実践手法の集合体と定義されています。
・複数のソース(他のプロセスも含む)からインプットを受ける
・受けたインプットを操作する
・アウトプット(製品、サービスなど)を生成する
プロセスのイネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、モデルを使いながら説明します。
COBIT5プロセス参照モデル(続き)
COBIT5は規範でありませんが、事業体がガバナンスとマネジメントのプロセスを導入する事を推奨しているので、ガバナンスとマネジメントの主要分野をカバーする必要があります。
理論上、事業体は、基本的なガバナンスとマネジメントの目標が全てカバーされている限り、必要に応じた形にプロセスを体系化する事ができます。
しかし、カバーする目標が全て同じであっても、事業体の規模に応じて、プロセス数は以下の様に増減します。
・事業体の規模が小さければ小さいほど、プロセスが少なくなる
・事業体の規模が大きくて、複雑であればあるほど、プロセスが多くなる
上記の説明と矛盾している様にも聞こえますが、COBIT5には、プロセス参照モデルが含まれていて、複数のガバナンスとマネジメントのプロセスを定義して、詳細を記述したものとなっています。
このモデルは、事業体で通常行われるITアクティビティに関わるプロセスを全て網羅的に表していて、IT部門マネージャーおよびビジネスマネージャーに分かりやすい、共通の参照モデルとなっています。
ここで提案されているプロセスモデルは、完全で包括的なモデルとなっていますが、これが唯一のプロセスモデルだという訳ではありません。
各事業体は、その事業体固有の状況を考慮して、独自のプロセスを定義する必要があります。
ITアクティビティを行っている事業体の全ての部門にとって、運用可能なモデルと共通の用語を取り入れることは、優れたガバナンスに向けた最も重要なステップの一つとなります。
このモデルは、以下のためのフレームワークを提供します。
・ITのパフォーマンスの測定やモニタリング
・サービスプロバイダーとのコミュニケーション
・マネジメントのベストプラクティスの統合
COBIT5プロセス参照モデルは、事業体のITガバナンスとITマネジメントのプロセスを、ガバナンスとマネジメントと言う2つの主要なアクティビティ領域に分類します。
以前にも説明しましたが、2つの主要なアクティビティ領域は、いくつかのプロセスドメインに分けられます。
・ガバナンス
このドメインには、5つのガバナンスプロセスが含まれて、各プロセスにおいて、EDM実践手法が定義されています。
※EDM:ISO/IEC 38500標準のコンセプト
・戦略的な選択肢を評価する(E:Evaluate)
・ITに方向付けを提供する(D:Direct)
・成果をモニターする(M:Monitor)
・マネジメント
マネジメントの4つのドメインは、PBRM(COBIT 4.1ドメインの発展したもの)と言う実行責任領域に一致して、ITを包括的にカバーします。
各ドメインには、COBIT 4.1やそれ以前の版と同じように、複数のプロセスが含まれています。
ほとんどのプロセスは、以下の4つのアクティビティを、そのプロセス、または対応すべき特定の課題(品質、セキュリティなど)の中で必要とします。
・計画(P:Plan)
・構築または導入(B:Build)
・実行(R:Run)
・モニタリング(M:Monitor)
しかし、事業体レベルでITを見たとき、それらのプロセスは、一般的に最も関連の深いアクティビティ領域に配置されています。
COBIT5でプロセスは、事業体のITガバナンスとITマネジメントに関連する、ビジネスとITのアクティビティの全範囲をカバーしているので、このプロセスモデルは、実際に事業体全体に渡るものとなります。
ブログの第7回でお伝えしましたが、COBIT5のプロセス参照モデルは、COBIT 4.1プロセスモデルの後継版で、Risk ITとVal ITのプロセスモデルも統合しています。
ブログの第128回でも掲載しましたが、以下は、COBIT5内の37個のガバナンスプロセスとマネジメントプロセスの一式を示しています。
全てのプロセスの詳細は、説明したプロセスモデルに従って、COBIT5:Enabling Processesと言う資料に含まれています。
・事業体のITガバナンスのための5個のプロセス
ドメイン:評価、方向付けおよびモニタリング
EDM01:ガバナンスフレームワークの設定と維持の保証
EDM02:効果実現の保証
EDM03:リスク最適化の保証
EDM04:資源最適化の保証
EDM05:ステークホルダーから見た透明性の保証
・事業体のITマネジメントのための32個のプロセス
ドメイン:整合、計画および組織化(13プロセス)
APO01:ITマネジメントフレームワークの管理
APO02:戦略管理
APO03:エンタープライズアーキテクチャ管理
APO04:イノベーション管理
APO05:ポートフォリオ管理
APO06:予算とコストの管理
APO07:人的資源の管理
APO08:関係管理
APO09:サービス契約の管理
APO10:サプライヤーの管理
APO11:品質管理
APO12:リスク管理
APO13:セキュリティ管理
ドメイン:構築、調達および導入(10プロセス)
BAI01:プログラムとプロジェクトの管理
BAI02:要件定義の管理
BAI03:ソリューションの特定と構築の管理
BAI04:可用性とキャパシティの管理
BAI05:組織の変更実現性の管理
BAI06:変更管理
BAI07:変更受入と移行の管理
BAI08:知識管理
BAI09:資産管理
BAI10:構成管理
ドメイン:提供、サービスおよびサポート(6プロセス)
DSS01:オペレーション管理
DSS02:サービス要求とインシデントの管理
DSS03:問題管理
DSS04:継続性管理
DSS05:セキュリティサービスの管理
DSS06:ビジネスプロセスコントロールの管理
ドメイン:モニタリング、評価およびアセスメント(3プロセス)
MEA01:成果と整合性のモニタリング、評価およびアセスメント
MEA02:内部統制のシステムのモニタリング、評価およびアセスメント
MEA03:外部要件への準拠性のモニタリング、評価およびアセスメント
これで、付録GのCOBIT5イネーブラーの詳細説明の、プロセスについては、説明を終了します。
少し長くなりましたので、この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/