Microsoft PowerPoint - COBIT5講習会( ) - PDF 無料ダウンロード

ISACA 東京部基準委員会委員檜垣元朗 (CISA CISM CGEIT CRISC CIA)

本お話しする内容 COBIT 講習会改めての基礎編昨年度の基準委員会での活動成果を補 COBIT 5 とは何かどんな特徴を持っているかどのように使っていけばよいかについてのヒント 2

次はじめに (COBIT 5 とは ) COBIT 5 フレームワーク COBIT 5 の 5 つの原則 COBIT 5 のプロセス参照モデル (COBIT 5: Enabling Processes) 導ガイダンス (COBIT 5 Implementation) COBIT 5 のプロセス評価モデル (Process Assessment Model (PAM)) おわりに 3

COBIT 5 とは事業体の情報と技術 (IT) のガバナンスおよびマネジメントに関する完全かつ国際的に承認されたフレームワーク IT ガバナンスとマネジメントの優れた実践法の開発導継続的改善モニタリングについて事業体をサポートする COBIT はもともと Control Objectives for Information and related Technology に由来しているが COBIT 5 では頭字のみが使されている出典 :COBIT 5 付録 H 語解説 ( 本語版 p.102) 5

COBIT 5 におけるガバナンス (1) ガバナンス : ステイクホルダーのニーズや条件選択肢を評価し優先順位の設定と意思決定によって向性を定め合意した向性と標に沿ってパフォーマンスや準拠性をモニターすることで事業体の標がバランスを取って合意の上で決定され達成されることを保証するものマネジメント : 事業体の標の達成に向けてガバナンス主体が定めた向性と整合するようにアクティビティを計画構築実し評価すること出典 :COBIT 5 付録 H 語解説 ( 本語版 p.103 104) 6

COBIT 5 におけるガバナンス (2) ガバナンスは舵取りギリシャ語の動詞 kubernáo( 舵を取る ) に由来本では統治が般的 ( 押さえつけるような語感 ) ITガバナンス IT 部 (CIO) の視点 IT 部中のガバナンス事業体のITガバナンス (GEIT; Governance of Enterprise IT) 経営トップ (CEO) の視点ビジネスガバナンス ITが経営の中的な役割になってきているので 7

COBIT 5 におけるフレームワーク複雑な課題を解決したり対策を講じたりするために使われる基本的な概念構造アプローチや理解の法関連するエンティティ間の関係とそれらの役割境界を定義する上での連のコンセプト仮説実践法出典 :COBIT 5 付録 H 語解説 ( 本語版 p.103) 8

COBIT 5 とは ( 続き -1) 効果の実現リスクの最適化資源の最適化とのバランスを維持し ITにより最適な価値を創り出すこと (= 情報システムに信頼を注ぎ込み価値を導き出す ( Trust In, and Value From, Information Systems )) を援営利営利公的機関等すべての規模の事業体に適でき有効なもの 9

COBIT 5 とは ( 続き -2) 事業体のITガバナンスとマネジメントにおける最新の知が組み込まれておりグローバルに受けれられている原則や実践事例分析ツールモデルを提供 COBIT4.1をベースとしつつ ISACAのVal ITやRisk IT に加えて ITIL (*) や関連する国際標準 (IS) を統合することで拡張が図られている (*) Information Technology Infrastructure Library 10

COBIT 5 とは ( 続き -3) ビジネスプロセスと技術に責任を負う々適切で信頼の置ける情報を頼る々情報や関連するテクノロジーに品質や信頼性統制を与える々によりグローバルに利されている主要なユーザは事業体のエグゼクティブや下記の分野におけるコンサルタント等監査と保証コンプライアンス IT 運ガバナンスセキュリティとリスクマネジメント 11

スコプの進化(2009) COBIT 5 にるまで事業体のITガバナンス (GEIT) ITガバナンスマネジメントコントロール監査 Val IT 2.0 (2008) Risk IT COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 ISACAが提供するビジネスフレームワーク www.isaca.org/cobit 2012 ISACA All rights reserved. 12

COBIT 5 さまざまなプロダクトイネーブラーガイド COBIT 5: Enabling Processes COBIT 5: Enabling Information プロフェッショナルガイド COBIT 5: Implementation COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk COBIT アセスメントプログラム Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5 13

COBIT 5 プロダクトファミリー本語版 COBIT 5 COBIT 5 プロダクトファミリー済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5for Information Security COBIT 5for Assurance 着手 COBIT 5for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 本語版, 図表 11 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 14

COBIT 5-Related Guides COBIT 5 Principles: Where Did They Come From? (white paper) Controls and Assurance in the Cloud: Using COBIT 5 (book) Relating the COSO Internal Control Integrated Framework and COBIT (white paper) Vendor Management: Using COBIT 5 (book) Securing Mobile Devices Using COBIT 5 for Information Security (book) Transforming Cybersecurity: Using COBIT 5 (book) Configuration Management Using COBIT 5 (book) RBI Guidelines Mapping With COBIT 5 (India WP) Securing Sensitive Personal Data or Information Under Indiaʼs IT Act Using COBIT 5 (India WP) 15

COBIT 5 資料の法 ISACA 国際本部の Web サイトからダウンロード可能 ( 部無償 ) http://www.isaca.org/cobit/pages/cobit-5- japanese.aspx 本語訳は以下の 3 冊 (2014 年 9 時点 ) COBIT 5 本語 COBIT 5 Enabling Processes COBIT 5 Implementation 追加資料 COBIT 5 の紹介 COBIT 5 エグゼクティブサマリー 16

COBIT 5 フレームワーク (1) 正式名称 : COBIT 5 : A Business Framework for the Governance and Management of Enterprise IT COBIT 5 プロダクトの中であり全体を包括するエグゼクティブサマリーと COBIT 5 フレームワークの全ての構成要素を含む COBIT 5 の5つの原則 COBIT 5 の7つのイネーブラー COBIT 5 のプロセス参照モデル COBIT 5 の導ガイダンスの紹介 (COBIT 5 Implementation) COBIT アセスメントプログラムの紹介 (COBIT 5 固有ではない ) および ISACA によって COBIT に採されているプロセス能アプローチの紹介 19

COBIT 5 フレームワーク (2) 付録として収められているもの参考献事業体の達成標とIT 達成標の詳細なマッピング IT 達成標とIT 関連プロセスの詳細なマッピングステークホルダーのニーズと事業体の達成標 COBIT 5 と他の関連する標準やフレームワークとのマッピング COBIT 5 情報モデルとCOBIT 4.1 情報要請規準との較 COBIT 5 イネーブラーの詳細説明語解説 20

COBIT 5 の 7 つのイネーブラー 2. プロセス 3. 組織構造 4. 化倫理および動 1. 原則ポリシーおよびフレームワーク 5. 情報 6. サービスインフラストラクチャおよびアプリケーション 7. 材スキルおよび遂能資源 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 出典 : COBIT 5 本語版, 図表 12 2012 ISACA All rights reserved. 22

COBIT 5 プロセス参照モデル事業体 IT ガバナンスのためのプロセス評価向付けおよびモニタリング EDM01 ガバナンスフレームワークの設定と維持の確保 EDM02 効果提供の確保 EDM03 リスク最適化の確保 EDM04 資源最適化の確保 EDM01 ステークホルダーへの透明性の確保整合計画および組織化 APO01 IT マネジメントフレームワークの管理 APO08 関係管理 APO02 戦略管理 APO09 サービス契約の管理 APO03 エンタープライズアーキテクチャ管理 APO10 サプライヤーの管理 APO04 イノベーション管理 APO11 品質管理 APO05 ポートフォリオ管理 APO12 リスク管理 APO06 予算と費の管理 APO13 セキュリティ管理 APO07 材の管理モニタリング評価およびアセスメント MEA01 成果と整合性のモニタリング評価およびアセスメント構築調達および導 BAI01 プログラムとプロジェクトの管理 BAI02 要件定義の管理 BAI03 ソリューションの特定と構築の管理 BAI04 可性とキャパシティの管理 BAI05 組織の変実現の管理 BAI06 変更管理 BAI07 変更受と移の管理 MEA02 内部統制システムのモニタリング評価およびアセスメント BAI08 知識の管理 BAI09 資産の管理 BAI10 構成の管理提供サービスおよびサポート DSS01 オペレーション管理 DSS02 サービス要求とインシデントの管理 DSS03 問題管理 DSS04 継続性管理 DSS05 セキュリティサービスの管理 DSS06 ビジネスプロセスのコントロールの管理 MEA03 外部要求へのコンプライアンスのモニタリング評価およびアセスメント事業体の IT マネジメントのためのプロセス出典 : COBIT 5 本語版, 図表 16 2012 ISACA All rights reserved. 23

まとめとして COBIT 5 は 5つの原則を結び合わせることで事業体が効果的なガバナンスとマネジメントのフレームワークを構築することを可能とするこれは情報と技術の投資と活を最適化する包括的な7つのイネーブラーのセットに基づくものでありステークホルダーへの効果をもたらすものであるそのために責任を持つべきビジネスおよび機能領域の隅から隅までを引き受け内外部のステークホルダーのIT 関連の利害に配慮している COBIT 5 の原則とイネーブラーは営利営利もしくは公的機関であれすべての規模の事業体にとって般的であり有なものである 26

COBIT 5 の 5 つの原則 1. ステークホルダーのニーズを充 (Meeting Stakeholder Needs) 2. 事業体全体の包含 (Covering the Enterprise End-to-end) 3. つに統合されたフレームワークの適 (Applying a Single Integrated Framework) 4. 包括的アプローチの実現 (Enabling a Holistic Approach) 5. ガバナンスとマネジメントの分離 (Separating Governance From Management) 29

原則 1: ステークホルダーのニーズを充 (3) 事業体には多くのステークホルダーが関わることから価値の創出は各々にとって異なり時に盾するガバナンスは異なるステークホルダー間の価値の利害を調整し意思決定することであるガバナンスの仕組みは効果資源およびリスクアセスメントの意思決定をう際に全ステークホルダーを考慮しなければならない各々の意思決定では以下の事項を問うことができ問われなければならないその効果は誰のためのものであるか? 誰がそのリスクを負うのか? どのような資源が必要とされるのか? 32 推

原則 1: ステークホルダーのニーズを充 (4) ステークホルダーのニーズを事業体の実可能な戦略に変換 COBIT 5 の達成標のカスケード ( 展開 ): ステークホルダーのニーズをその状況における具体的で実可能でそしてカスタマイズされた事業体の達成標 IT 達成標そしてイネーブラーの達成標へと変換ステークホルダーのドライバー ( 環境技術新 ) ステークホルダーのニーズリスク効果の実現最適化事業体の達成標 IT 達成標イネーブラーの達成標影響資源最適化カスケード ( 展開 ) カスケード ( 展開 ) カスケード ( 展開 ) 出典 : COBIT 5 本語版, 図表 4 2012 ISACA All rights reserved. 33

原則 1: ステークホルダーのニーズを充 (5) COBIT 5 における達成標のカスケード ( 展開 ) の効果事業体の ( 戦略 ) 標および関連するリスクに基づいて事業体のITガバナンスにおける導改善およびアシュアランスの優先順位づけを定義することを可能とする実において標のカスケードによって適切で明確な達成標を多様なレベルでの実責任において定義する事業体の標に基づいて特定の導改善もしくはアシュアランスのプロジェクトに取りれる適切なガイダンスを引き出すために COBIT 5 の知識ベースから選択をう事業体の標を達成するために ( 時には運レベルの ) イネーブラーが重要であることを明確に認識し情報共有する 34

原則 2: 事業体全体の包含 (2) COBIT 5 は事業体全体にわたる包括的な視点から情報とそれに関連する技術のガバナンスとマネジメントを取り扱うこれは次のことを意味する : COBIT 5 は事業体のITガバナンスを事業体のガバナンスに統合するすなわち COBIT 5 によって事業体のITのためのガバナンスシステムはいかなるガバナンスシステムともシームレスに統合されるなぜならば COBIT 5 はガバナンスに関する最新の観点と整合しているからである COBIT 5 は事業体の中の全ての機能とプロセスをカバーする COBIT 5 はIT 機能だけに焦点を当てているのではなく情報とそれに関する技術をその事業体の全員が資産として扱う必要のある他のいかなるものと同様の資産であるとして扱っているからである 39

原則 2: 事業体全体の包含 (3) ガバナンス標 : 価値創出効果の実現リスク最適化資源最適化ガバナンスシステムにおけるキーとなる構成要素ガバナンスイネーブラーガバナンススコープ役割アクティビティ関係性出典 : COBIT 5 本語版, 図表 8 2012 ISACA All rights reserved. オーナーおよびステークホルダー役割アクティビティ関係性委任向付け指整合ガバナンスマネジメント主体説明責任モニター報告運営実出典 : COBIT 5 本語版, 図表 9 2012 ISACA All rights reserved. 40

原則 3: つに統合されたフレームワークの適 (2) COBIT 5 は事業体で利される最新の関連する他の標準やフレームワークと整合をとっている事業体 : COSO COSO ERM ISO/IEC 9000( 品質マネジメント ) ISO/IEC 31000( リスクマネジメント ) IT 関連 : ISO/IEC 38500(ITガバナンス ) ISO/IEC 27000シリーズ ( 情報セキュリティマネジメント ) ITIL TOGAF PMBOK/PRINCE2 CMMI これによって事業体は COBIT 5 をガバナンスとマネジメントのフレームワークを統合するものとして利することが可能になる 42

原則 4: 包括的アプローチの実現 (2) COBIT 5 のイネーブラーは事業体の IT におけるガバナンスとマネジメントに対して何かが作するかどうかについて個々にかつ集合的に影響を与える要因である標のカスケード ( 展開 ) により推進されるすなわちハイレベルの IT 関連の達成標により異なるイネーブラーが達成すべきことが定義される COBIT 5 のフレームワークにより 7 つのカテゴリーで記述されている 45

原則 4: 包括的アプローチの実現 (3) COBIT 5 の 7 つのイネーブラー 2. プロセス 3. 組織構造 4. 化倫理および動 1. 原則ポリシーおよびフレームワーク 5. 情報 6. サービスインフラストラクチャおよびアプリケーション 7. 材スキルおよび遂能資源 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 出典 : COBIT 5 本語版, 図表 12 2012 ISACA All rights reserved. 46

原則 4: 包括的アプローチの実現 (4) 1. 原則ポリシーおよびフレームワーク要求される動を々のマネジメントの実践的なガイダンスに変換する段 2. プロセス書化され組織化された確かな標を達成し IT 関連標をサポートするアウトプットの集合をみ出すための実践と活動の組織化された集合を記述 3. 組織構造組織における重要な意思決定の実体 ( エンティティ ) 4. 化倫理および動各個のものであり組織のもの多くの場合ガバナンスとマネジメントの活動の成功要因として過評価されている ( 続く ) 47

原則 4: 包括的アプローチの実現 (5) 5. 情報いかなる組織でも全体に深く浸透しているもの事業体でみ出され使されている全情報が取り扱われる情報はその組織の運営を維持しうまくガバナンスされるために必要とされるが多くの場合運レベルでは情報が事業体そのものの重要な産物 6. サービスインフラストラクチャおよびアプリケーション情報技術処理とサービスを事業体に提供するインフラストラクチャ技術およびアプリケーション 7. スキルおよび遂能とリンクし全ての活動がうまく完了し正しい意思決定をい是正措置をうために必要 48

原則 4: 包括的アプローチの実現 (4) 相互接続されたイネーブラーによる体系的なガバナンスとマネジメント事業体の主標を達成するためには常に相互接続されたイネーブラーの集合を考慮しなければならないイネーブラーが分に効果的であるために他のイネーブラーからのインプットが必要である例えばプロセスは情報が必要であり組織構造はスキルと動が必要であるイネーブラーは他のイネーブラーへ効果をもたらすアウトプットを提供する例えばプロセスは情報を提供しスキルと動はプロセスを効率化する 49

原則 4: 包括的アプローチの実現 (5) イネーブラーの特質共通でシンプルで構造化された法を提供する複雑な相互作をマネジメントすることを可能とする成果達成を助けするイネーブラーの特質ステークホルダー内部のステークホルダー外部のステークホルダー達成標本質的な品質状況に応じた品質 ( 適切性有効性 ) アクセスビリティとセキュリティライフサイクル計画設計構築 / 調達 / 作成 / 導利 / 運評価 / モニター更新 / 廃棄優れた実践法実践事例作業成成果物 ( インプット / アウトプット ) イネーブラーのパフォーマンスの管理ステークホルダーのニーズに対応しているか? 達成標の達成度に関する測定指標 ( 遅指標 ) イネーブラーの達成標が達成されているか? ライフサイクルが管理されているか? 実践法の運に関する測定指標 ( 先指標 ) 優れた実践法が適されているか? 出典 : COBIT 5 本語版, 図表 13 2012 ISACA All rights reserved. 50

原則 5: ガバナンスとマネジメントの分離 (2) ガバナンスとマネジメントの間に明確な区別異なるタイプの活動を包含する異なる組織構造を必要とする異なる的を持つガバナンスほとんどの事業体においてガバナンスは取締役会の責任でありその取締役会議のリーダーシップのもとにあるマネジメントほとんどの事業体においてマネジメントは経営幹部の責任であり最経営責任者 (CEO) のリーダーシップのもとにある 52

原則 5: ガバナンスとマネジメントの分離 (3) ガバナンス : ステイクホルダーのニーズや条件選択肢を評価し優先順位の設定と意思決定によって向性を定め合意した向性と標に沿ってパフォーマンスや準拠性をモニターすることで事業体の標がバランスを取って合意の上で決定され達成されることを保証するものステイクホルダーのニーズや条件選択肢を評価 (Evaluate) 優先順位の設定と意思決定によって向性を定め (Direct) 合意した向性と標に沿って成果や準拠性をモニターする (Monitor) 53

原則 5: ガバナンスとマネジメントの分離 (4) マネジメント : 事業体の標の達成に向けてガバナンス主体が定めた向性と整合するようにアクティビティを計画構築実し評価すること計画 (Plan) 構築 (Build) 実 (Run) モニター (Monitor) 54

原則 5: ガバナンスとマネジメントの分離 (5) COBIT 5 では組織がガバナンスとマネジメントのプロセスを導し主要な分野をカバーすることを推奨しているビジネスニーズガバナンス評価 (Evaluate) 向付け (Direct) マネジメントフィードバックモニター (Monitor) マネジメント計画 (APO) 構築 (BAI) 実 (DSS) モニター (MEA) 出典 : COBIT 5 本語版, 図表 15 2012 ISACA All rights reserved. 55

原則 5: ガバナンスとマネジメントの分離 (6) COBIT 5 のフレームワークではイネーブラーの7つのカテゴリー ( 原則 4) が記述されているプロセスはつのカテゴリーである必要とされるガバナンスとマネジメント標がすべてカバーされる限り事業体はそのプロセスが組織に合うように組みてることができる同じ標をすべてカバーするためによりさな事業体はより少ないプロセスとなるであろうしよりきなより複雑な事業体は多くのプロセスを実現することになるであろう 56

原則 5: ガバナンスとマネジメントの分離 (7) COBIT 5 には多くのガバナンスとマネジメントのプロセスが詳細に定義され記述されたプロセス参照モデル (PRM) が含まれているこの具体的なイネーブラーのモデルの詳細は COBIT 5: Enabling Process の資料に収められている 57

COBIT 5: Enabling Processes (1) COBIT 5 COBIT 5 プロダクトファミリー済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5for Information Security COBIT 5for Assurance 着手 COBIT 5for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 59

COBIT 5: Enabling Processes (2) COBIT 5: Enabling Processes COBIT 5を補完し COBIT 5 プロセス参照モデルに定義されているプロセスに関する詳細な参照ガイドである第 1 章はじめに第 2 章事業体とIT 関連の達成標のカスケード ( 展開 ) と測定指標第 3 章 COBIT 5 プロセスモデル第 4 章 COBIT 5 プロセス参照モデル ( プロセス参照モデルが図解されている ) 第 5 章 COBIT 5 プロセス参照ガイド (COBIT 5 全 37 プロセスの詳細プロセス情報が記述されている ) 60

プロセス : イネーブラの 1 つ COBIT 5 の 7 つのイネーブラー 2. プロセス 3. 組織構造 4. 化倫理および動 1. 原則ポリシーおよびフレームワーク 5. 情報 6. サービスインフラストラクチャおよびアプリケーション 7. 材スキルおよび遂能資源 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 出典 : COBIT 5 本語版, 図表 12( 部改変 ) 2012 ISACA All rights reserved. 61

イネーブラとしてのプロセスの特徴 (1) プロセスは複数のソース ( 他のプロセスも含む ) からインプットを受けそのインプットを操作しアウトプット ( 製品サービスなど ) を成する事業体のポリシーや続きに影響される実践法の集合体ステークホルダー : プロセスのステークホルダーとその責任レベルはRACIチャートで表現される達成標 : プロセスの達成標は本質的な標状況に応じた標アクセシビリティとセキュリティ標に分類できる達成標の測定指標は SMART 具体的 (Specific) 測定可能 (Measurable) 実可能(Actionable) 適切 (Relevant) 適時(Timely) である必要がある 62

イネーブラとしてのプロセスの特徴 (2) イネーブラーの特質ステークホルダー内部のステークホルダー外部のステークホルダー的本質的な品質状況に応じた品質 ( 適切性有効性 ) アクセシビリティとセキュリティライフサイクル計画設計構築 / 調達 / 作成 / 導使 / 運評価 / モニター更新 / 廃棄プロセスのための般的な実践法優れた実践法プロセスの法アクティビティ詳細なアクティビティ作業成果物 ( インプット / アウトプット ) イネーブラーのパフォーマンス管理ステークホルダーのニーズに対応しているか? イネーブラーの達成標が達成されているか? 達成標の達成度に関する測定指標 ( 遅指標 ) ライフサイクルが管理されているか? 優れた実践法が適されているか? 実践法の適に関する測定指標 ( 先指標 ) 出典 : COBIT 5 本語版, 図表 29 2012 ISACA All rights reserved. 63

COBIT 5 プロセス参照モデル (1) COBIT 5 プロセス参照モデルは事業体における IT 関連の実践と活動を 2 つの主要領域に分割しているガバナンスドメインは5つのガバナンスプロセスで構成される各プロセスの中に評価向付けモニタリング (EDM) の実践が定義されているマネジメントドメインは複数プロセスの4つのドメインにさらに分割され計画構築実およびモニター (PBRM) の責任領域に対応している 64

COBIT 5 プロセス参照モデル (2)( 再掲 ) 事業体の IT ガバナンスのためのプロセス評価向付けおよびモニタリング EDM01 ガバナンスフレームワークの設定と維持の確保 EDM02 効果提供の確保 EDM03 リスク最適化の確保 EDM04 資源最適化の確保 EDM01 ステークホルダーからみた透明性の確保整合計画および組織化 APO01 IT マネジメントフレームワークの管理 APO08 関係管理 APO02 戦略管理 APO09 サービス契約の管理 APO03 エンタープライズアーキテクチャ管理 APO10 サプライヤーの管理 APO04 イノベーション管理 APO11 品質管理 APO05 ポートフォリオ管理 APO12 リスク管理 APO06 予算とコストの管理 APO13 セキュリティ管理 APO07 的資源の管理モニタリング評価およびアセスメント MEA01 成果と整合性のモニタリング評価およびアセスメント構築調達および導 BAI01 プログラムとプロジェクトの管理 BAI02 要件定義の管理 BAI03 ソリューションの特定と構築の管理 BAI04 可性とキャパシティの管理 BAI05 組織の変実現の管理 BAI06 変更管理 BAI07 変更受と移の管理 MEA02 内部統制システムのモニタリング評価およびアセスメント BAI08 知識管理 BAI09 資産管理 BAI10 構成管理提供サービスおよびサポート DSS01 オペレーション管理 DSS02 サービス要求とインシデントの管理 DSS03 問題管理 DSS04 継続性管理 DSS05 セキュリティサービスの管理 DSS06 ビジネスプロセスコントロールの管理 MEA03 外部要件への準拠性のモニタリング評価およびアセスメント事業体の IT マネジメントのためのプロセス出典 : COBIT 5 本語版, 図表 16 2012 ISACA All rights reserved. 65

COBIT 5 プロセス参照モデル (3) EDM(Evaluate, Direct and Monitor) 評価向付けおよびモニタリング APO(Align, Plan and Organise) 整合計画および組織 BAI(Build, Acquire and Implement) 構築調達および導 DSS(Deliver, Service and Support) 提供サービスおよびサポート MEA(Monitor, Evaluate and Assess) モニタリング評価およびアセスメント 66

RACI チャート (1) プロセスの実践における異なる役割や組織への責任分担レベルの例フレームワーク内において実責任者説明責任者協議先報告先を図する R(Responsible: 実責任者 ) プロセスのアクティビティを実し意図した結果をみ出すための運上の責任を負う役割 ( 誰がタスクを成し遂げるのか ) A(Accountable: 説明責任者 ) タスクの達成に対する全体的な責任を負う役割 ( 誰がタスクの成功に責任を負うのか誰が責任転嫁をめるのか ) C(Consulted: 協議先 ) インプットとなる情報を提供する役割 ( 誰がインプットを提供するのか ) I(Informed : 報告先 ) タスクの達成状況や成果物の報告を受ける役割 ( 誰が情報を受け取るのか ) 67

COBIT 5 Implementation COBIT 5 COBIT 5 プロダクトファミリー済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5for Information Security COBIT 5for Assurance 着手 COBIT 5for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 70

経営者の認識情報と情報技術 (IT) はビジネスと社会活の全ての局でますます拡事業体のITガバナンス (GEIT) の改善は事業体ガバナンスにとって必須の部分 IT 投資からより多くの価値をみ出したい事業上の優越性コストの最適化増するIT 関連リスクをしっかり管理したい情報をビジネスで利することにかかわる規制と法律の増にしっかり対応したい 71

COBIT 5 Implementation( 続 -1) COBIT 5 は良いGEITを導するためのフレームワークベストプラクティス標準であるフレームワークベストプラクティス標準は効果的に選択適されるべき成功のためには乗り越えるべきチャレンジと課題がある COBIT5 Implementationはこれらを効果的にうためのガイダンス COBIT 5 を活したGEITの導ガイダンス COBIT 5 の導ガイダンスではない時間が経過してもガバナンスやマネジメントが成功し続けるような成果を得る 72

COBIT 5 Implementation( 続 -2) COBIT 5 Implementation の内容事業体内におけるGEITの位置付け GEIT の改善に向けての第 1 歩を踏み出すこと改善への挑戦と成功要因 GEITに関連する組織および動の変の実現変実現とプログラム管理が含まれる継続的改善の導 COBIT 5 とその構成要素の利 73

適切な環境の整備指針となる原則決定権限説明責任のフレームワークを特定設計する関係者の役割を明確化した RACIチャートの活が有効 R: 実責任 (Responsible) A: 説明責任 (Accountable) C: 協議先 (Consulted) I: 報告先 (Informed) 出典 : COBIT 5 Implementation 本語版図表 4 2012 ISACA All rights reserved. 74

GEIT 導ライフサイクルのコンポーネント 3 つのコンポーネントプログラム管理 ( 外部リング ) 変の実現 ( 中間リング ) 継続的な改善ライフサイクル ( 内部リング ) 取り組みが回限りのアクティビティでない事実を強調するために継続したライフサイクルとして描かれている 7 つのフェーズ出典 : COBIT 5 本語版図表 17 2012 ISACA All rights reserved. 75

GEIT 導ライフサイクルの 7 つのフェーズフェーズ 1 ドライバーは何か? フェーズ 2 どの位置にいるのか? フェーズ 3 どの位置を指すか? フェーズ 4 何をする必要があるか? フェーズ 5 どのように達成するか? フェーズ 6 そこに到達したか? フェーズ 7 どのように推進を維持できるか? 現在の変ドライバーを識別し経営幹部レベルにおいてそのときのビジネスケースの概要の中で表現される変要求を作り出す IT 達成標を事業体の戦略とリスクに整合させ最も重要な事業体の達成標 IT 達成標プロセスを優先付ける潜在的な解決策を特定するためにギャップ分析に従った改善標を設定する正当なビジネスケースによってサポートされるプロジェクトを定義し導の変計画を開発することにより実現可能で有な解決策を計画する々の実践に向けた解決策導の提案とビジネスとの整合が達成され成果が測定できることを確実にする測定指標とモニタリングシステムの確を提供する改善されたガバナンスおよびマネジメントが持続可能なように通常の事業運営に移されることおよび成果測定指標と期待する効果を使った改善の達成度モニタリングに注する取り組み全体としての成功を振り返りさらなるガバナンスやマネジメントの要件を識別し継続的な改善の必要性を補強する 76

フェーズ 1: ドライバーは何か? 標フェーズの標プログラムの背景と的および最新のガバナンスアプローチについての理解の取得最初のプログラムの概念としてのビジネスケースの定義すべての主要なステークホルダーの関与と約束の取り付けインプット CI 動の必要性を認識するアウトプット事業体の針戦略ガバナンス計画と事業計画監査報告書事業体の取り組み IT 関連の現状の問題点をすインプット有益で適切な業界情報ケーススタディ等 CE PM 変要求を確するプログラムを開始するビジネスケースの概要ハイレベルの役割と責任ステークホルダーの情報プログラムのウェイクアップやキックオフ連絡等 CI: 継続的改善 CE: 変実現 PM: プログラム管理 77

フェーズ 2: どの位置にいるのか? 標プログラムチームの事業体の達成標および IT を使った価値提供法の理解必要なプロセスあるいは改善計画の実施に必要なその他のイネーブラーの特定事業リスクや事業体の現在と将来のリスク嗜好状況がプログラムに与える影響の判断選択したプロセスの現在の能を判定と事業体の変に対する許容度と対応能の理解フェーズ 1 のアウトプット事業と IT の計画と戦略 IT プロセスの説明針基準続き技術的仕様監査報告書リスク管理針 IT 成果報告書ダッシュボードスコアカード等インプット CI CE PM 現状を評価する強な導チームを組成する問題と機会を定義する合意されている事業体の IT 関連達成標と IT 部への影響リスクと影響度についての共通理解達成標や現在の能評価結果等アウトプット CI: 継続的改善 CE: 変実現 PM: プログラム管理 78

フェーズ 3: どの位置を指すか? 標選定されたプロセスのそれぞれに対して標設定された能の決定選定されたプロセスにおける現状とあるべき姿の位置付けの間のギャップの特定およびギャップの改善機会の変換詳細なビジネスケースやハイレベルのプログラム計画の作成フェーズ 2 のアウトプット内外の能ベンチマーク結果 COBIT 5 やその他の参照先からの優れた実践事例ステークホルダー分析結果等等インプット CI CE PM 達成標の状態を定義しギャップを分析する求められる成果を明確にしコミュニケーションを図るロードマップを定義する標となる能の評価結果改善機会に関する詳細記述変実現計画詳細なビジネスケースハイレベルなフロクラム計画とその評価指標等アウトプット CI: 継続的改善 CE: 変実現 PM: プログラム管理 79

フェーズ 4: 何をする必要があるか? 標改善機会から正当に貢献するプロジェクトへの変換影響がきいプロジェクトへの優先と注改善プロジェクトを全体のプログラム計画への統合短期的成功の実現フェーズ 3 のアウトプット機会ワークシート優れた実践法と基準外部評価技術評価機会グリッドプロジェクト定義プロジェクトポートフォリオ管理計画リソース計画 IT 予算初期段階で識別された強み等インプット CI CE PM 改善を設計構築する各種役割の担当者に権限を付与し短期的成功を識別するプログラム計画を策定する改善プロジェクトの定義定義された変対応計画識別された短期的成功体験配置されたリソースとプログラム計画成功評価基準等アウトプット CI: 継続的改善 CE: 変実現 PM: プログラム管理 80

フェーズ 5: どのように達成するか? 標事業体のプログラム / プロジェクト管理の能基準および実践法を活し詳細な改善プロジェクトを導するプロジェクトの進捗に関しモニタリングし測定し報告するインプット CI 改善を導するアウトプットフェーズ 4 のアウトプットプロジェクトの定義プロジェクトガントチャート変対応計画変戦略統合されたプログラム / プロジェクト計画 CE 運と利を実現する改善の導変対応計画の導短期的成功の実現と成功した変の可視化の実現うまくいっているコミュニケーションの状況等 PM 計画を実する等 CI: 継続的改善 CE: 変実現 PM: プログラム管理 81

フェーズ 6: そこに到達したか? 標プロジェクト成果と全体的なガバナンス改善プログラムによる効果の実現についての測定指標の定期的定常的に実されるモニタリングの成果測定システムへの統合フェーズ 5 のアウトプット既存の測定指標とスコアカードビジネスケースの効果変対応計画とコミュニケーション戦略等インプット CI CE PM 運し測定する新しいアプローチを組み込む効果を実現する更新されたプロジェクトとプログラムのスコアカード変の有効性の測定結果 ( 事業上と認識上の両 ) スコアカードの結果を説明する報告業務運営に定着した改善等アウトプット CI: 継続的改善 CE: 変実現 PM: プログラム管理 82

フェーズ 7: どのように推進を維持できるか? 標プログラムから得た結果と経験の評価並びに学んだ教訓の共有変のための組織構造プロセス役割と責任体制の改善と継続的最適化更なる改善に向けた更なるインテレーションの促進継続的な成果のモニタリングと定期的な報告による説明責任と実責任の遂インプット CI モニタリングおよび評価を実施するアウトプットフェーズ 6 のアウトプット導後レビューの報告成果報告事業戦略と IT 戦略新しい規制の要求事項のような新たなトリガー等 CE PM 持続させるプログラムの有効性をレビューする更なる GEIT アクティビティに向けた推奨事項ステークホルダーの満度調査書化された成功事例と得られた教訓進中のコミュニケーション計画成果の報酬制度 CI: 継続的改善 CE: 変実現 PM: プログラム管理 83

COBIT 5 Implementation の活法 COBIT 5 Implementation を逆引きすることで課題認識に応じて必要な情報をつけることができる COBIT 5 Implementation 現状の問題点を解決したいリスクに備えて現状を評価したい GEIT 導がうまく進まない付録 A 図表 45 (p.78) 付録 C 図表 47 (pp.83 87) 第 4 章図表 9 13 (pp.37 43) COBIT 5 Enabling Processes COBIT 5 PAM (Process Assessment Model) COBIT 5 Implementation 84

COBIT Process Assessment Model (1) COBIT 5 COBIT 5 プロダクトファミリー済 COBIT 5 イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その他のイネーブラーガイド COBIT 5 プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5for Information Security COBIT 5for Assurance 着手 COBIT 5for Risk その他のプロフェッショナルガイド COBIT 5 オンラインコラボレーション環境出典 : COBIT 5 本語版, 図表 11. 2012 ISACA All rights reserved. COBIT Assessment Programme COBIT Process Assessment Model (PAM): Using COBIT 5 着手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 86

COBIT Process Assessment Model (2) プロセスアセスメントモデルは ISO/IEC 15504に準拠しておりプロセスの改善をサポートするための事業体によるアセスメントを可能にする COBIT 5 PAMは COBIT 5 に定義されているプロセスの的成果と ISO/IEC 15504-2に定義されているプロセス属性を解釈する際にガイダンスとして利するための指標を提供している COBIT プロセスアセスメントモデルの概要プロセス軸とプロセスパフォーマンス指標プロセス能指標 87

ISO/IEC 15404 ISO/IEC 15404 Information technology -- Process assessment ( 情報技術-プロセスアセスメント ) 原案作成に寄与したプロジェクト名にちなんで SPICE(Software Process Improvement and Capability determination) という愛称でも知られる JIS X 0145 として JIS 化されているプロセス改善や能判定をう際のフレームワーク成熟度モデルではなくプロセス能モデルをいる任意のプロセス参照モデルをいてアセスメントを実施することができる 88

プロセス軸 COBIT 5 PAMでは COBIT 5 のプロセス参照モデルをプロセスを定義し分類するためのプロセス軸として利する : EDM (Evaluate, Direct and Monitor) 評価向付けおよびモニタリング APO (Align, Plan and Organise) 整合計画および組織 BAI (Build, Acquire and Implement) 構築調達および導 DSS (Deliver, Service and Support) 提供サービスおよびサポート MEA (Monitor, Evaluate and Assess) モニタリング評価およびアセスメント 91

評価スケールプロセス属性の評価は ISO/IEC 15504で定義されている標準的評価スケールを使してわれる各能レベルは下位のレベルが完全に達成された場合にのみ達成できるプロセス能レベル1とそれよりもい能レベルとの間にはきな違いがある出典 : COBIT 5 Process Assessment Model (PAM) 本語版図表 6 2012 ISACA All rights reserved. 93

新 COBIT アセスメントプログラムとは COBIT 4.1 COBIT 5 EDM ドメイン追加などプロセス参照モデル COBIT 4.1 プロセス参照モデル (4 ドメイン 34 プロセス ) COBIT 5 プロセス参照モデル (5 ドメイン 37 プロセス ) 従来のアセスメントアセスメント可アセスメントモデルプロセス成熟度モデル (CMM:COBIT Maturity Model) 成熟度レベル評価 ISO15504 に準拠プロセスアセスメントモデル (PAM:Process Assessment Model) 能度レベル評価 96

アセスメントモデル較 COBIT 4.1 COBIT 5(ISO/IEC 15504) 成熟度モデルレベルに基づいたプロセス能 5 レベル 5: 最適化されている最適化しているプロセス 4 レベル 4: 管理され測定可能である予測可能なプロセス 3 レベル 3: 定義されたプロセス確されたプロセスレベル 2: 管理されたプロセス 2 繰返し可能だが直感的レベル 1: 1 実施されたプロセス初期 / アドホック 0 レベル 0: 存在しない不完全なプロセスコンテキスト事業体の視点企業の知識インスタンスの視点個の知識出典 : COBIT 5 本語版図表 19 2012 ISACA All rights reserved. 97

COBIT 5 を使ってみるためのヒント IT 中のCIO 視点から会社経営線のCEO 視点へ (ITガバナンスからGEITへ) ガバナンス標は価値創出組織は何のため ITだけではない Non ITにも適可 ( ビジネスガバナンス ) つまみいで良いわかるところ使えるところから利する変の実現困った時の COBIT 5 Implementation 99

Q&A ご清聴ありがとうございました