皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第167回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回はその続きで、COBIT5の7カテゴリーのイネーブラーから、組織構造の続きを説明して行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:組織構造
組織構造イネーブラーの詳細と、一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、組織構造モデルを使いながら説明します。
・その他のイネーブラーとの関係
組織構造とその他のイネーブラーとのリンクには、以下のものが含まれます。
1.原則、ポリシーおよびフレームワーク
2.プロセス
4.文化、倫理および行動
5.情報
7.人材、スキルおよび遂行能力
◇原則、ポリシーおよびフレームワーク
組織構造の権限および運用原則は、確立されているポリシーフレームワークによって導かれます。
◇プロセス
RACIチャートは、プロセスアクティビティを組織構造、または事業体内の個別の役割に、リンクさせています。
RACIチャートは、以下の各プロセスの実践手法における各役割の参加レベルを説明しています。
・実行責任者
・説明責任者
・協議先
・報告先
◇文化、倫理および行動
文化、倫理および行動は、組織構造とその決定の効率性と有効性を決定します。
◇情報
インプットとアウトプットが関係します。
組織体は、インプット(通常は情報)があってはじめて、詳細な情報に基づく決断を行うことができ、アウトプットを生成します。
情報の例としては、以下の様なものが挙げられます。
・決定
・その他の情報
・追加のインプット要求
◇人材、スキルおよび遂行能力
組織構造を構成する上で、メンバーの適切なスキルセットを考慮する事と、それによる遂行能力を要求する必要があります。
COBIT5内の組織構造の例示
COBIT5のプロセスモデルの説明で触れられているように、COBIT5のプロセス参照モデルの図表が作成され、詳細がCOBIT5: Enabling Processes で説明されています。
このモデルには、あらかじめ定義された複数の役割と組織体を使用しているRACIチャートが含まれています。
以下に、RACIチャートで使用されている、あらかじめ定義された役割と組織体を説明します。
日本では、あまりなじみのない論理組織名が、役割 / 組織体として登場して来ています。
備考:
これらは、事業体が導入した実際の機能に必ずしも対応している必要はありませんが、説明されている組織体の目的や役割が、ほとんどの組織体に対して有効であるという意味においては、価値を提供します。
この説明の目的は、全ての事業体のための普遍的な組織図を規定する事ではなく、論理組織機能の例示として見るものです。
COBIT5の役割と組織構造
役割 / 組織体
・取締役会
・CEO
・CFO
・最高執行責任者(COO)
・CRO
・CIO
・最高情報セキュリティ責任者(CISO)
・事業部門の幹部
・ビジネスプロセスオーナー
・戦略(ITエグゼクティブ)委員会
・(プロジェクト/ プログラム)ステアリングコミッティ
・アーキテクチャ委員会
・事業体のリスク管理委員会
・人事責任者
・コンプライアンス
・監査
・アーキテクチャ責任者
・開発責任者
・ITオペレーション責任者
・IT業務管理責任者
・プログラム / プロジェクトマネジメントオフィス(PMO)
・バリューマネジメントオフィス(VMO)
・サービスマネージャー
・情報セキュリティマネージャー
・事業継続マネージャー
・個人情報管理最高責任者
・取締役会
事業体のガバナンスに対する説明責任があって、リソース全体を管理する、事業体の最上級経営幹部、または非常勤取締役のグループです。
・CEO
事業体の全体的なマネジメントの責任を負う最高幹部です。
・CFO
以下を含む、財務管理の全ての側面に対する説明責任がある、事業体の最上級幹部です。
・財務リスク
・財務コントロール
・信頼性の高い正確な会計
・最高執行責任者(COO)
事業体の運営に関して説明責任がある、事業体の最上級幹部です。
・CRO
事業体全体のリスク管理の全側面に関して説明責任がある、事業体の最上級幹部です。
IT関連のリスクを監督するために、ITリスク責任者の機能を設置する場合があります。
・CIO
ITと事業戦略の整合をとる責任があり、事業体の目標をサポートするために以下の説明責任を負う、事業体の最上級幹部です。
・ITサービスとソリューションの提供の計画
・リソース供給
・管理
・最高情報セキュリティ責任者(CISO)
あらゆる形態の事業体の情報セキュリティに関して説明責任がある、事業体の最上級幹部です。
・事業部門の幹部
特定の事業部門または子会社の運営について、説明責任を負う上級管理者です。
・ビジネスプロセスオーナー
以下のプロセスのパフォーマンスについて、説明責任のある個人です。
・目標を実現する
・プロセス改善を推進する
・プロセスの変更を許可する
・戦略(ITエグゼクティブ)委員会
取締役会が、主要なIT関連事項や決定に関与し、情報を得ていることを保証するために、取締役会によって任命された上級幹部のグループです。
この委員会は、以下に説明責任があり、価値が提供され、リスクが管理されている事を保証します。
・ITによって実現された投資
・ITサービス
・IT資産のポートフォリオの管理
この委員会では、通常CIOではなく、取締役会のメンバーが議長を務めます。
・(プロジェクト/ プログラム)ステアリングコミッティ
以下を含む、プログラムとプロジェクトのガイダンスについて説明責任を負う、ステークホルダーと専門家のグループです。
・計画のマネジメント
・モニタリング
・リソースの割り当て
・効果と価値の提供
・プログラムとプロジェクトリスクのマネジメント
・アーキテクチャ委員会
以下に関して説明責任のある、ステークホルダーと専門家のグループです。
・エンタープライズアーキテクチャ関連の事項と決定に関するガイダンス
・アーキテクチャのポリシーと標準の設定
・事業体のリスク管理委員会
ERM(Enterprise Risk Management)のアクティビティと決定をサポートするために必要な、以下について説明責任がある事業体の幹部のグループです。
・事業体レベルでの協働作業
・事業体レベルでの合意形成
ITリスクをより詳細に考慮し、事業体のリスク管理委員会にアドバイスするために、ITリスク委員会を設置する場合があります。
・人事責任者
事業体内の全ての人的資源に関する計画やポリシーに関して、説明責任を負う事業体の最上級幹部です。
・コンプライアンス
法令、規制および契約の遵守に関するガイダンスについて、責任を負う事業体内の機能です。
・監査
内部監査の取り決めに関して、責任を負う事業体内の機能です。
・アーキテクチャ責任者
エンタープライズアーキテクチャプロセスについて、説明責任を負う上級管理者です。
・開発責任者
IT関連のソリューション開発プロセスについて、説明責任を負う上級管理者です。
・ITオペレーション責任者
IT運用環境やインフラストラクチャについて、説明責任を負う上級管理者です。
・IT業務管理責任者
IT関連の記録について説明責任を負い、IT関連の業務管理事項をサポートする責任を負う上級管理者です。
・プログラム / プロジェクトマネジメントオフィス(PMO)
プログラムマネージャーやプロジェクトマネージャーをサポートし、プログラムとその構成要素である以下のプロジェクトの実行に関する責任を負う機能です。
・情報の収集
・評価
・報告
・バリューマネジメントオフィス(VMO)
以下を含む、投資とサービスのポートフォリオの管理において事務局として活動する機能です。
・投資機会およびビジネスケースに関する評価とアドバイス
・価値のガバナンスとマネジメントの方法、およびコントロールの推奨
・投資およびサービスからの価値の維持、および創出に関する進歩を報告する
・サービスマネージャー
ユーザー(特定の顧客または顧客のグループ)に対して、新規と既存の製品やサービスについて、以下を管理する個人です。
・開発
・導入
・評価
・継続的なマネジメント
・情報セキュリティマネージャー
事業体の情報セキュリティの、以下についてを行う個人です。
・管理
・設計
・監督
・評価
・事業継続マネージャー
事業体の重要機能が、破壊的なイベントが発生しても機能することを保証するために、事業体の事業継続性の能力について、以下を行う個人です。
・管理
・設計
・監督
・評価
・個人情報管理最高責任者(データ保護責任者)
個人情報保護法の指示が守られていることを保証するため、以下について責任を負う個人です。
・リスクやビジネスインパクトをモニターする
・ポリシーの指針を提供する
・アクティビティの指針を提供する
・各指針を調整する
以上で、付録GのCOBIT5イネーブラー組織構造の詳細説明を終了します。
この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/