皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリスト事、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
─────────────────────────────
本題に入る前にPRです。
まぐまぐから、『飛躍的に組織のITガバナンスを向上させる知恵袋』と言う題名の無料メールマガジンを、発行しました。
このブログに書いている、GEITについてのまとめみたいなものですが、もしよろしかったら、読者登録をお願いいたします。
まぐまぐの発行者番号は、mag2 0001626008 です。(7/1既刊!)
─────────────────────────────
ブログの第169回目は、このブログの本題になっている GEITについての続きです。
第153回目で、付録G COBIT5イネーブラーの詳細説明に入りました。
今回はその続きで、COBIT5の7カテゴリーのイネーブラーについて、詳細説明をして行きます。
付録G COBIT5イネーブラーの詳細説明
既にお伝えしている様にCOBIT5の5原則の内、原則4の包括的アプローチの実現で、イネーブラーの概要を説明しました。
COBIT5の5原則
1.ステークホルダーのニーズを充足
2.事業体全体の包含
3.一つに統合されたフレームワークの適用
4.包括的アプローチの実現
5.ガバナンスとマネジメントの分離
原則4:包括的アプローチの実現
COBIT5は、事業体のITのための全般的なガバナンスとマネジメントシステムの導入を支援するために、以下の7つのカテゴリーのイネーブラーを定義しています。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
4.文化、倫理および行動
5.情報
6.サービス、インフラストラクチャおよびアプリケーション
7.人材、スキルおよび遂行能力
COBIT5のイネーブラー:文化、倫理および行動
文化、倫理および行動とは、事業体内(組織全体)の個人および集団の行動の事です。
文化、倫理および行動イネーブラーの詳細と一般的なイネーブラーの説明との比較を、4つの特質とその他のイネーブラーとの関係として、文化、倫理および行動のモデルを使いながら説明します。
イネーブラーの4つの共通の特質
・ステークホルダー
・達成目標
・ライフサイクル
・優れた実践手法
・ステークホルダー
文化、倫理および行動のステークホルダーは、事業体の内部と外部の場合が、あります。
内部のステークホルダーには、事業体全体が含まれます。
外部のステークホルダーは、以下の様な監督機関が含まれます。
・外部監査人
・監視機関
利害関係は、以下の2つの要素で表されます。
・一部のステークホルダー
・その他のステークホルダー
以下の様な一部のステークホルダーは、望ましい行動の定義、導入及び指導を行います。
・法務責任者
・リスク管理マネージャー
・HRマネージャー
・報酬委員会と担当者
その他のステークホルダーは、定義されたルールおよび規範と整合を取る必要があります。
・達成目標
文化、倫理および行動のイネーブラーの達成目標は、以下に関連します。
・組織の倫理
・個人の倫理
・個人の行動
◇組織の倫理
事業体が存続させたい価値によって、決定される組織の倫理の事です。
◇個人の倫理
以下の様な外的要因に大きく依存して、事業体の各個人の個人的価値観に応じて決定される個人の倫理です。
・宗教
・民族性
・社会経済的背景
・地理
・個人的な経験
◇個人の行動
事業体の文化や風土を、集合的に決定する個人の行動の事です。
上記で説明した外部要因などの多くの要因だけでなく、以下も行動を促します。
・事業体内の人間関係
・人員の目標や野望
ここに関係がある行動の種類としては、以下のものが含まれます。
・リスクを取る
・ポリシーに従う
・悪い結果に対する
*リスクを取る行動
事業体は、どれほどのリスクを吸収し、どのリスクを取ることを望むか?
*ポリシーに従う行動
どの程度、人々はポリシーに応じ、準拠するか?
*悪い結果に対する行動
事業体は、機会損失や果たされなかった機会などの悪い結果に、どのように対処するか?
・悪い結果から学び、調整を試みるか?
・根本原因を取り除く事なく、非難をなすりつけるか?
・ライフサイクル
組織の文化、倫理に関するスタンス、個人の行動などには、全てライフサイクルがあります。
事業体は、既存の組織文化を元に、必要な変更を特定して、導入に向けて作業する事ができます。
以下でお伝えする、優れた実践手法で説明されている複数のツールを使用できます。
・優れた実践手法
事業体全体で望ましい行動を創出し、推奨し、維持するための優れた実践手法には、一般と異なるイネーブラー特有の要素として、以下のものが含まれます。
・周知
・施行
・率先者
・意識向上
・インセンティブと報酬
・規則と規範
望ましい行動と基礎となる事業体の価値を、事業体全体で周知する。
上級マネジメントや他の率先者が示す模範的な行動によって、補強された望ましい行動を認識させる。
以下の間には、明確な関連性があります。
・望ましい行動を推奨するインセンティブ
・強要のための抑止力として、個人の行動と事業体に確立されている人事報酬の枠組み
望ましい組織の行動に関する、より詳細なガイダンスを提供する規則(ルール)と規範を作成する。
これは、事業体が設定している原則とポリシーに、非常に明確に関連付けされています。
・その他のイネーブラーとの関係
文化、倫理および行動とその他のイネーブラーとのリンクには、以下のものが含まれます。
1.原則、ポリシーおよびフレームワーク
2.プロセス
3.組織構造
◇原則、ポリシーおよびフレームワーク
原則とポリシーは、企業の価値および望ましい行動を伝達する非常に重要な仕組みです。
◇プロセス
プロセスは、それを望めば、完全なレベルまで設計できますが、以下の様な場合、プロセスの成果は達成されません。
・プロセスのステークホルダーが、意図した通りにプロセスアクティビティを実行する事を希望せず、行動が準拠しなくなる
◇組織構造
プロセスと同様に、組織構造を教科書通りに設計、構築する事はできますが、以下の様な場合は、事業体のITガバナンスとITマネジメントは正しく達成されません。
・個人の思惑の違いやインセンティブの不足等の理由で、決定を実施できない
文化、倫理および行動については、抽象的に、比較的あっさりと書かれている印象ですが、一番難しく、他の6つのカテゴリーのイネーブラーが、どれほど整っても、これなくしては成功は望めません。
そういう意味では、成功の可否を握る最重要事項と言えます。
これで、付録GのCOBIT5イネーブラーの文化、倫理および行動についての詳細説明を終了します。
この続きはまた次回以降に、COBIT5の7つのイネーブラーを1つずつ詳細に説明して行きます。
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの凄いフレームワークCOBITを中心に、ISACAが発行している資格などについても順次お伝えして行きます。
ただし、ISACAの資料は、著作権の管理が非常に厳しいため、全引用とかはほぼ不可能となっています。
表現を変えたり、かみ砕いた言葉などで説明して行く予定です。
皆さまからの、ご意見・ご感想をお待ちしております。
これからのブログの成長に、どうぞご期待ください。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/