図解COBIT5

Size: px

Start display at page:

Download "図解COBIT5"

きゅうたあみおか
4 years ago
Views:

1 第 1 章 COBIT5 の IT ガバナンスの捉え方 1.COBIT5 の IT ガバナンスの定義 COBIT5 は従来の IT ガバナンスを事業体のガバナンスに取り込みました IT 視点にあった従来の IT ガバナンスは事業体に焦点を当てた事業体の IT ガバナンスという表現に変更しました COBIT5 の目的はこの事業体の IT ガバナンスに対して効果の実現とリスクレベルやリソース活用の最適化とのバランスを保つことによって事業体が IT から最適な価値を生み出すことを支援するものであると述べていますつまり COBIT5 でいう事業体の IT ガバナンスとは効果の実現とリスクレベルやリソース活用の最適化とのバランスを保つことによって事業体が IT から最適な価値を生み出すことということになりますこの定義の意味するところを少し説明を加えましょう事業体とは事業の利害関係者であるステークホルダーに向けて価値を創出するために存在しますこの価値創出が事業体の IT ガバナンスの目標ですステークホルダーは事業活動の構成要因である顧客仕入先銀行等を考えればよいでしょうつぎに価値創出とは事業利益を最大化することですが事業には事業活動を阻害するリスクが存在します例えばセキュリティリスク粉飾決算リスク経営戦略リスク等様々ですリスク対策はより精度の高い対策を講じるほど投資予算は拡大しますそれらのリスクを事業目標に照らし最適なリソースコストで効果を実現することが必要になりますつまり事業の価値創出とはリスクを最適化しより良い事業活動に向けたヒトモノカネ情報といった経営資源の資源最適化を図り事業の効果の実現を作り出すということです COBIT5 図 1-1 COBIT5 の IT ガバナンス定義事業体の IT ガバナンスとは効果の実現とリスクレベルやリソース活用の最適化とのバランスを保つことによって事業体が IT から最適な価値を生み出すこと出典 : A Business Framework for thegovernance and Management of Enterprise IT 日本 IT ガバナンス協会 (ITGI Japan) 企業体の IT ガバナンス IT ガバナンスマネジメントコントロール出典 :ISACA ガバナンスとは異なるステークホルダー間の価値の利害を調節し決定することです利害を調整し統制がとれる状態にするにはその責任者である誰がに焦点を当監査 Val IT2.0 (2008) Risk IT2.0 (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT /6 2012

2 て設定することが必要になりますもう一度事業体の IT ガバナンスに戻ってみましょう事業体の IT ガバナンスには IT が加えられていますので事業体が IT から最適な価値を生み出すことを支援するものと置き換えることが出来ます 2.COBIT5 フレームワークの特性 COBIT5 のフレームワークは事業体の IT ガバナンスを確立するためのフレームワークですこのフレームワークの特性は 2 つの要点としてまとめることが出来ます要点 1:COBIT 5 は IT ガバナンスと IT マネジメントに関わる目標を事業体が達成できるよう支援する包括的なフレームワークを提供する従来の COBIT4.0 フレームワークと大きく異なるのは COBIT5 が事業体の IT ガバナンスを IT ガバナンスと IT マネジメントの 2 つの領域に分類し各領域のプロセスを統治する構成にしました IT ガバナンスの領域に含まれるプロセスを IT マネジメント領域に含まれるプロセスの上位に置き上下関係で事業体の IT ガバナンスを構造化しました IT ガバナンスとはステークホルダーのニーズや条件選択肢を評価し優先順位の設定と意思決定によって方向性を定め合意した方向性と目標に沿ってパフォーマンスや準拠性をモニターすることですこれらの方策は事業体の目標のもとにバランスを取り合意の上で決定し達成されることを保証するものでなければならないと述べています IT ガバナンスプロセスは評価方向付けモニターで構成しています事業体においては取締役会長のリーダーシップのもと取締役会が事業体の IT ガバナンス全体の実行責任を負うことになります一方図 1-2 COBIT5 フレームワークの特性 COBIT5 の IT ガバナンス事業体の IT ガバナンスとは効果の実現とリスクレベルやリソース活用の最適化とのバランスを保つことによって事業体が IT から最適な価値を生み出すこと COBIT5 フレームワーク特性 COBIT 5 は IT ガバナンスと IT マネジメントに関わる目標を事業体が達成できるよう支援する包括的なフレームワークを提供する COBIT 5 のフレームワークは 5 つの原則にもとづいて要件を整理した出典 :COBIT5 IT マネジメントとは事業体の目標の達成に向けてガバナンス主体が定めた方向付けと整合するようにアクティビティを計画構築実行し評価することになりますマネジメントプロセスは計画構築実行モニターのプロセスで構成することに Framework

3 なりますこの IT マネジメントは事業体において最高経営責任者 (CEO) のリーダーシップのもとに経営幹部がマネジメントの実行責任を負うことになります詳細記述は第 2 章で行います要点 2: COBIT 5 のフレームワークは 5 つの原則にもとづいて構築した COBIT5 のフレームワーク要件は 5 つの原則のもとに構成されていますのでこの原則を要約をしておきましょう ( 図 1-3-1) 5 つの原則とはステークホルダーのニーズを充足事業体全体の包含一つに統合されたフレームワークの適用包括的アプローチの実現ガバナンスとマネジメントの分離です 1 原則 1: ステークホルダーのニーズを充足事業体はステークホルダーに向けて価値を生み出すために存在しています COBIT 5 はステークホルダーニーズにもとづく事業価値の創出をガバナンス目標として設定しました価値創出とはリスクを最適化しつつ最適なリソースコストで効果を実現することと定義していますまた達成目標のカスケード ( 展開 ) で事業体のステークホルダーにニーズから事業達成目標を IT の達成目標へ変換しプロセス実践手法に絞り込む手続きを提供しましたこの提供される達成目標カスケードはあらゆる事業体が IT ガバナンス導入のカストマイズにおいて実施作業 ( タスク ) までの絞り込みを容易にしました 2 原則 2: 事業体全体の包含 COBIT 5 は IT ガバナンスを事業体のガバナンスに統合しましたがこの意味するところは図 IT ガバナンスに向けた COBIT5 の原則 5. ガバナンスとマネジメントの分離ガバナンスとマネジメントの間に明確な区別を設けている 4. 包括的アプローチの実現事業体の IT ガバナンスと IT マネジメントを効率的かつ効果的なものとするために 7 つのカテゴリーのイネーブラーを定義 1. ステークホルダーのニーズを充足 COBIT5 の原則 IT を使った事業価値の創出をサポートするために達成目標のカスケード ( 展開 ) と必要なすべてのプロセスとその他のイネーブラーを提供 2. 事業体全体の包含 3. 一つに統合されたフレームワークの適用 IT ガバナンス目標の設定し事業体の IT ガバナンスを事業体のガバナンスに統合他の関連する標準やフレームワークと高レベルで整合をとっているため事業体の IT ガバナンスと IT マネジメントに関わる包括的なフレームワーク出典 :COBIT5 Framework a.cobit 5 は IT 機能のみに焦点を合わせるのではなく情報とそれに関わる技

4 術を他の資産と同様に事業体の全員が関与すべき資産として扱うつまり情報とそれに関わる技術を事業価値創出に向けた重要イネーブラーとして取り扱うということです b.cobit 5 はすべての IT に関わるガバナンスとマネジメントのすべてのプロセスを提供し事業体の全体に亘る活動として包括的なものとして捉えている事業体のITガバナンスおよびITマネジメントプロセスの実施で関与する7つのイネーブラーである原則ポリシーおよびフレームワークプロセス組織構造文化倫理および行動 ( 個人と事業体の行動 ) 情報サービスインフラストラクチャおよびアプリケーション人材スキルおよび遂行能力は IT 機能の定義だけではなく事業価値創出の観点で捉えることを前提としていることです 3 原則 3: 一つに統合されたフレームワークの適用 COBIT 5 は他の関連する標準やフレームワークと整合をとっているため事業体の IT ガバナンスと IT マネジメントに関わる包括的なフレームワークとなっているこの意味するところは事業体の IT ガバナンスに係る標準やガイド例えば ISACA で発行された COBIT 以外の他の標準やフレームワークである ValIT RiskIT などを取り込み統合したことおよび ISACA 発行以外の ISO 標準 ITIL や TOGAF などとも整合性を取ったことを述べている COBIT5 は IT ガバナンスに係る標準およびフレームワークを統合しその中核に位置づけようとしている意図がよく表れています 4 原則 4: 包括的アプローチの実現 COBIT5 は事業体の IT ガバナンスと IT マネジメントを効率的かつ効果的なものとするために 7 つのカテゴリーのイネーブラーを定義していますイネーブラーとは広義には事業体の目標達成を支援する影響要因を指しますこれらのイネーブラーを定義することで事業体の目標達成を支援する IT ガバナンス要因を定義することになるということです 7 つのカテゴリーのイネーブラーとは以下の通りです詳細は 2 章で解説します原則ポリシーおよびフレームワークプロセス組織構造

5 文化倫理および行動情報サービスインフラストラクチャおよびアプリケーション人材スキルおよび遂行能力 5 原則 5: ガバナンスとマネジメントの分離 COBIT 5 フレームワークはガバナンスとマネジメントの間に明確な区別を設けていますガバナンスとマネジメントの区分を明確にしておきましょう ( 図 1-3-2) ガバナンスとは IT マネジメントのフレームワークに対するステークホルダーのニーズや条件選択肢を評価し優先順位の設定と意思決定によって方向性を定めるそして合意した方向性と目標に沿ってパフォーマンスや準拠性をモニターすることで事業体の目標が達成されることを保証する全体監理の統治プロセスですほとんどの事業体においては取締役会長のリーダーシップのもと取締役会がガバナンス全体の実行責任を負いますマネジメントとは事業体の目標の達成に向けてガバナンス主体が定めた方向性に沿ってアクティビティを計画構築実行し評価する実働の管理プロセスですほとんどの事業体において最高経営責任者 (CEO) のリーダーシップのもとに経営幹部がマネジメントの実行責任を負います以上の定義を踏まえると事業体の IT ガバナンスでは社内でのステークガバナンスマネジメント図ガバナンスとマネジメント図表 15-COBIT5 のガバナンスとマネジメントの重要領域方向付けホルダーのすべてが関係することになります経営者はガバナンスプロセスの統治そして管理者と従業員はマネジメントプロセスの統治という活動における役割が出てきますガバナンスとマネジメント領域の統治の対象となるプロセスを以下に概説します a. 評価方向づけおよびモニタリング (evaluate direct and monitor:edm) ガバナンス領域での統治プロセスですビジネスニーズを受けて経営者 ( 取締役会 ) が IT ガバナンスの現状を評価し方向付けをしてマネジメントプロセスの成果をモニタリングするドメイン ( 領域 ) ですこのドメインはすべてのステークホルダーに向計画 (APO) 構築 (BAI) ビジネスニーズ評価マネジメントフィードバック実行 (DSS) モニターモニター (MEA) 出典 :COBIT5 Framework

6 けた目標達成のプロセス統治活動を経営者が保証することになりますのでガバナンスとカテゴリーしました COBIT5 では EDM ドメインといいます事業体の IT ガバナンスのマネジメントプロセスは管理者と従業員で実践するマネジメントカテゴリーになり 4 つのプロセスドメインがあります b. 整合計画および組織化 (Align, Plan and Organise:APO) EDM ドメインの方向付けのもとに IT 化業務プロセスの計画を立案しプロジェクトの組織化を行うプロセスを統治するドメインです APO ドメインといいます c. 構築調達および導入 (Build, Acquire and Implement:BAI) APO ドメインの計画にもとづいて構築調達および導入を実践するプロセスを管理するドメインです BAI ドメインといいます d. 提供サービスおよびサポート (Deliver, Service and Support:DSS) BAI ドメインの完了を受けて IT システムによってサービスとその管理を行うプロセスを統治するドメインです DSS ドメインになります e. モニタリング評価およびアセスメント (Monitor, Evaluate and Assess:MEA) DSS ドメインの定着化時に APO ドメインの計画目標の達成をモニタリングし評価し EDM ドメインへの報告するプロセスを統治するドメインです MEA ドメインといいますガバナンスとマネジメントの各ドメインとプロセスに関しては第 2 章で詳述します

COBIT 5 の紹介

COBIT 5 の紹介 Presented by 東京海上日動システムズ ( 株 ) 生保本部ソリューションプロデューサー ISACA 東京支部基準委員会委員上山隆 Material Prepared by : 東京海上日動システムズ ( 株 ) GRC 支援部兼経営企画部上級エキスパート ISACA 東京支部基準委員会委員稲葉裕一 COBIT 5 とは事業体の IT ガバナンスと IT マネジメントのためのビジネスフレームワーク