COBIT 5 の紹介

Similar documents
COBIT 5 の紹介

Microsoft PowerPoint - 報告書(概要).ppt

文化政策情報システムの運用等

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

平成25年度 独立行政法人日本学生支援機構の役職員の報酬・給与等について

2 役 員 の 報 酬 等 の 支 給 状 況 平 成 27 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 役 名 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 2,142 ( 地 域 手 当 ) 17,205 11,580 3,311 4 月 1

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

18 国立高等専門学校機構

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

(Microsoft Word - \212\356\226{\225\373\220j _\217C\220\263\201j.doc)

私立大学等研究設備整備費等補助金(私立大学等

Taro-01 議案概要.jtd

<6D33335F976C8EAE CF6955C A2E786C73>

2 役 員 の 報 酬 等 の 支 給 状 況 役 名 法 人 の 長 理 事 理 事 ( 非 常 勤 ) 平 成 25 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 16,936 10,654 4,36

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社


続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

2. ど の 様 な 経 緯 で 発 覚 し た の か ま た 遡 っ た の を 昨 年 4 月 ま で と し た の は 何 故 か 明 ら か に す る こ と 回 答 3 月 17 日 に 実 施 し た ダ イ ヤ 改 正 で 静 岡 車 両 区 の 構 内 運 転 が 静 岡 運

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

平成27年度大学改革推進等補助金(大学改革推進事業)交付申請書等作成・提出要領

Microsoft PowerPoint - COBIT5講習会( )

スライド 1

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

一般競争入札について

慶應義塾利益相反対処規程


(2)大学・学部・研究科等の理念・目的が、大学構成員(教職員および学生)に周知され、社会に公表されているか

- 1 - 総 控 負 傷 疾 病 療 養 産 産 女 性 責 帰 べ 由 試 ~ 8 契 約 契 約 完 了 ほ 契 約 超 締 結 専 門 的 知 識 技 術 験 専 門 的 知 識 高 大 臣 専 門 的 知 識 高 専 門 的 知 識 締 結 契 約 満 歳 締 結 契 約 契 約 係 始

弁護士報酬規定(抜粋)

Transcription:

Presented by 東 京 海 上 日 動 システムズ( 株 ) GRC 支 援 部 上 級 エキスパート ISACA 東 京 支 部 基 準 委 員 会 委 員 稲 葉 裕 一

COBIT 5 とは 事 業 体 の IT ガバナンスと IT マネジメン トのためのビジネスフレームワーク 効 果 の 実 現 リスクの 最 適 化 資 源 の 最 適 化 とのバランスを 維 持 し ITにより 最 適 な 価 値 を 創 り 出 すことを 支 援 営 利 非 営 利 公 的 機 関 等 すべての 規 模 の 事 業 体 に 適 用 でき 有 効 なもの 4

COBIT 5 に 至 るまで ス コ ー プ の 進 化 事 業 体 のITガバナンス(GEIT) ITガバナンス マネジメント コントロール 監 査 Val IT 2.0 (2008) Risk IT (2009) COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5 1996 1998 2000 2005/7 2012 ISACAが 提 供 するビジネスフレームワーク www.isaca.org/cobit 2012 ISACA All rights reserved. 5

事 業 体 ITガバナンス(GEIT) ガバナンス は 舵 取 り ギリシャ 語 の 動 詞 kubernáo( 舵 を 取 る) に 由 来 日 本 では 統 治 が 一 般 的 ( 押 さえつけるような 語 感 ) ITガバナンス IT 部 門 (CIO)の 視 点 IT 部 門 中 心 のガバナンス 事 業 体 ITガバナンス(GEIT:ガイト/ゲイトと 発 音 ) 経 営 トップ(CEO)の 視 点 ビジネスガバナンス ~ITが 経 営 の 中 心 的 な 役 割 になってきているので 6

GEIT vs. ITガバナンス 取 締 役 会 CEO COO,CxO 部 門 部 門 部 門 部 門 ビジネス 部 門 GEIT ITガバナンス CIO IT 部 門 7

COBIT 5 プロダクトファミリー COBIT 5 プロダクトファミリー COBIT 5 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT 5 Implementation COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. 8

COBIT 5 プロダクトファミリー 日 本 語 版 COBIT 5 プロダクトファミリー COBIT 5 済 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5 for Information Security COBIT 5 for Assurance 着 手 COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT Assessment Programme COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. COBIT Process Assessment Model (PAM): Using COBIT 5 着 手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 9

COBIT 5 プロダクトファミリー 日 本 語 版 COBIT 5 プロダクトファミリー COBIT 5 済 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5 for Information Security COBIT 5 for Assurance 着 手 COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT Assessment Programme COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. COBIT Process Assessment Model (PAM): Using COBIT 5 着 手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 12

COBIT 5 フレームワーク 正 式 名 称 : COBIT 5 : A Business Framework for the Governance and Management of Enterprise IT COBIT 5 プロダクトの 中 心 であり 全 体 を 包 括 構 成 COBIT5の5つの 原 則 COBIT5の7つのイネーブラー COBIT5 プロセス 参 照 モデル COBIT5の 導 入 ガイダンスの 紹 介 (COBIT 5 Implementation) COBITアセスメントモデルの 紹 介 (COBIT Process Assessment Model : PAM) 13

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 14

COBIT 5のイネーブラー 2.プロセス 3. 組 織 構 造 4. 文 化 倫 理 お よび 行 動 1. 原 則 ポリシーおよびフレームワーク 5. 情 報 6.サービス インフラストラクチャ およびアプリケーション 7. 人 材 スキル および 遂 行 能 力 資 源 Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 出 典 : COBIT 5 日 本 語 版, 図 表 12. 2012 ISACA All rights reserved. 15

COBIT 5 プロセス 参 照 モデル 事 業 体 ITガバナンスのためのプロセス 評 価 方 向 付 けおよびモニタリング EDM01 ガバナンス フレームワークの 設 定 と 維 持 の 確 保 EDM02 効 果 提 供 の 確 保 EDM03 リスク 最 適 化 の 確 保 EDM04 資 源 最 適 化 の 確 保 EDM01 ステークホルダーへ の 透 明 性 の 確 保 整 合 計 画 および 組 織 化 APO01 ITマネジメント フレームワークの APO08 関 係 APO02 戦 略 APO09 サービス 契 約 の 管 理 APO03 エンタープライズ アーキテクチャ 管 理 APO10 サプライヤーの APO04 イノベーション APO11 品 質 APO05 ポートフォリオ APO12 リスク APO06 予 算 と 費 用 の 管 理 APO13 セキュリティ 管 理 APO07 人 材 の モニタリング 評 価 およびアセスメント MEA01 成 果 と 整 合 性 の モニタリング 評 価 およびアセスメント 構 築 調 達 および 導 入 BAI01 プログラムと プロジェクトの BAI02 要 件 定 義 の BAI03 ソリューションの 特 定 と 構 築 の BAI04 可 用 性 とキャパ シティの BAI05 組 織 の 変 革 実 現 の BAI06 変 更 BAI07 変 更 受 入 と 移 行 の MEA02 内 部 統 制 システムの モニタリング 評 価 およびアセスメント BAI08 知 識 の BAI09 資 産 の BAI10 構 成 の 提 供 サービスおよびサポート DSS01 オペレーション DSS02 サービス 要 求 と インシデントの DSS03 問 題 DSS04 継 続 性 DSS05 セキュリティ サービスの DSS06 ビジネスプロセス のコントロールの MEA03 外 部 要 求 への コンプライアンスの モニタリング 評 価 およびアセスメント 事 業 体 のITマネジメントのためのプロセス 出 典 : COBIT 5 日 本 語 版, 図 表 16. 2012 ISACA All rights reserved. 16

COBIT 5 Implementation Source: COBIT 5 日 本 語 版 図 表 17. 2012 ISACA All rights reserved. 17

COBIT 5 プロセスアセスメントモデル (プロセス 能 力 モデル) Source: COBIT 5 日 本 語 版 図 表 19. 2012 ISACA All rights reserved. 18

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 20

原 則 1. ステークホルダーのニーズを 充 足 事 業 体 はそのステークホルダーの 価 値 を 創 出 する ために 存 在 する ステークホルダーの ニーズ 推 進 ガバナンス 目 標 : 価 値 創 出 効 果 の 実 現 リスク 最 適 化 資 源 最 適 化 出 典 : COBIT 5 日 本 語 版, 図 表 3.. 2012 ISACA All rights reserved. 21

原 則 1. ステークホルダーのニーズを 充 足 ステークホルダーのニーズを 事 業 体 の 戦 略 に 変 換 COBIT 5の 達 成 目 標 のカスケ ード( 展 開 ) ステークホルダーのニーズから 事 業 体 の 達 成 目 標 IT 達 成 目 標 イネーブラーの 達 成 目 標 へ 展 開 する ステークホルダーのドライバー ( 環 境 技 術 革 新 ) ステークホルダーのニーズ 効 果 の 実 現 リスク 最 適 化 事 業 体 の 達 成 目 標 IT 達 成 目 標 影 響 資 源 最 適 化 カスケード( 展 開 ) カスケード( 展 開 ) カスケード( 展 開 ) イネーブラーの 達 成 目 標 出 典 : COBIT 5 日 本 語 版, 図 表 4. 2012 ISACA All rights reserved. 22

原 則 1. ステークホルダーのニーズを 充 足 出 典 : COBIT 5 日 本 語 版, 図 表 5. 2012 ISACA All rights reserved. 23

原 則 1. ステークホルダーのニーズを 充 足 事 業 体 の 達 成 目 標 と のマッピング COBIT 5ではP( 主 要 ) とS( 副 次 )で 事 業 体 達 成 目 標 とのマッピング を 示 している (COBIT 5 日 本 語 版 図 表 22 参 照 ) 出 典 : COBIT 5 日 本 語 版, 図 表 6. 2012 ISACA All rights reserved. 24

原 則 1. ステークホルダーのニーズを 充 足 出 典 : COBIT 5 日 本 語 版, 図 表 6. 2012 ISACA All rights reserved. 出 典 : COBIT 5 日 本 語 版, 図 表 23. 2012 ISACA All rights reserved. 25

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 26

原 則 2. 事 業 体 全 体 の 包 含 事 業 体 全 体 にわたる 包 括 的 な 視 点 から 情 報 とそれに 関 連 する 技 術 のガバナンスとマネジメントを 取 り 扱 う 事 業 体 の 中 の 全 ての 部 門 全 てのプロセスをカバー 事 業 体 ITガバナンス(GEIT)はコーポレートガバナンス(ビ ジネスガバナンス)そのもの 27

原 則 2. 事 業 体 全 体 の 包 含 ガバナンスのアプローチ ガバナンス 目 標 : 価 値 創 出 効 果 の 実 現 リスク 最 適 化 資 源 最 適 化 ガバナンス イネーブラー ガバナンス スコープ 役 割 アクティビティ 関 係 性 出 典 : COBIT 5 日 本 語 版, 図 表 8. 2012 ISACA All rights reserved. オーナーおよ びステーク ホルダー 役 割 アクティビティ 関 係 性 委 任 方 向 付 け 指 示 整 合 ガバナンス マネジメント 主 体 説 明 責 任 モニター 報 告 運 営 実 行 出 典 : COBIT 5 日 本 語 版, 図 表 9. 2012 ISACA All rights reserved.

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 29

原 則 3. 一 つに 統 合 されたフレームワークの 適 用 最 新 の 関 連 する 他 の 標 準 やフレームワークと 整 合 事 業 体 : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 IT 関 連 : ISO/IEC 38500, ITIL, ISO/IEC 27000シリーズ, TOGAF, PMBOK/PRINCE2, CMMI ガバナンスとマネジメントのフレームワークを 統 合 する ものとして 利 用 可 能 30

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 31

原 則 4. 包 括 的 アプローチの 実 現 COBIT 5 のイネーブラー 事 業 体 のITに 関 するガバナンスとマネジメント に 対 して 個 々にかつ 集 合 的 に 影 響 を 与 える 要 因 目 標 のカスケード( 展 開 )により 推 進 される 7つのカテゴリー で 記 述 32

原 則 4. 包 括 的 アプローチの 実 現 COBIT 5の 事 業 体 のイネーブラー 2.プロセス 3. 組 織 構 造 4. 文 化 倫 理 お よび 行 動 1. 原 則 ポリシーおよびフレームワーク 5. 情 報 6.サービス インフラストラクチャ およびアプリケーション 資 源 資 7. 人 材 スキル および 遂 行 能 力 出 典 : COBIT 5 日 本 語 版, 図 表 12. 2012 ISACA All rights reserved. 33

原 則 4. 包 括 的 アプローチの 実 現 1. 原 則 ポリシーおよびフレームワーク 要 求 される 行 動 を 日 々のマネジメ ントの 実 践 的 なガイダンスに 変 換 する 手 段 2. プロセス 文 書 化 され 組 織 化 された 確 かな 目 標 を 達 成 しIT 関 連 目 標 を サポートするアウトプットの 集 合 を 生 み 出 すための 実 践 と 活 動 の 組 織 化 さ れた 集 合 を 記 述 3. 組 織 構 造 組 織 における 重 要 な 意 思 決 定 の 実 体 (エンティティ) 4. 文 化 倫 理 および 行 動 各 個 人 のものであり 組 織 のもの 多 くの 場 合 ガバナンスとマネジメントの 活 動 の 成 功 要 因 として 過 小 評 価 されている 5. 情 報 いかなる 組 織 でも 全 体 に 深 く 浸 透 しているもの 事 業 体 で 生 み 出 され 使 用 されている 全 情 報 が 取 り 扱 われる 情 報 はその 組 織 の 運 営 を 維 持 し うまくガバナンスされるために 必 要 とされるが 運 用 レベルでは 多 くの 場 合 情 報 が 事 業 体 そのものの 重 要 な 生 産 物 6. サービス インフラストラクチャおよびアプリケーション 情 報 技 術 処 理 と サービスを 事 業 体 に 提 供 するインフラストラクチャ 技 術 およびアプリケー ション 7. 人 スキルおよび 遂 行 能 力 人 とリンクし 全 ての 活 動 がうまく 完 了 し 正 しい 意 思 決 定 を 行 い 是 正 措 置 を 行 うために 必 要 34

原 則 4. 包 括 的 アプローチの 実 現 相 互 接 続 されたイネーブラー インプット 十 分 に 効 果 的 であるために 他 のイネーブラーからのインプ ットが 必 要 例 えば プロセスは 情 報 が 必 要 であり 組 織 構 造 はスキル と 行 動 が 必 要 アウトプット 他 のイネーブラーへ 効 果 をもたらすアウトプットを 提 供 例 えば プロセスは 情 報 を 提 供 し スキルと 行 動 はプロセス を 効 率 化 35

イネーブラーの パフォーマンスの イネーブラーの 特 質 原 則 4. 包 括 的 アプローチの 実 現 イネーブラーの 特 質 共 通 で シンプルで 構 造 化 された 方 法 を 提 供 する 複 雑 な 相 互 作 用 をマネジメントすることを 可 能 とする 成 果 達 成 を 手 助 けする ステークホルダー 内 部 のステークホル ダー 外 部 のステークホル ダー 達 成 目 標 本 質 的 な 品 質 状 況 に 応 じた 品 質 ( 適 切 性 有 効 性 ) アクセスビリティ とセキュリティ ライフサイクル 計 画 設 計 構 築 / 調 達 / 作 成 / 導 入 利 用 / 運 用 評 価 /モニター 更 新 / 廃 棄 優 れた 実 践 手 法 実 践 事 例 作 業 成 成 果 物 (インプット/アウト プット) ステークホルダーの ニーズに 対 応 してい るか? イネーブラーの 達 成 目 標 が 達 成 されてい るか? ライフサイクルが 管 理 されているか? 優 れた 実 践 手 法 が 適 用 されているか? 達 成 目 標 の 達 成 度 に 関 する 測 定 指 標 ( 遅 行 指 標 ) 実 践 手 法 の 運 用 に 関 する 測 定 指 標 ( 先 行 指 標 ) 出 典 : COBIT 5 日 本 語 版, 図 表 13. 2012 ISACA All rights reserved. 36

COBIT 5の 原 則 1. ステーク ホルダーの ニーズを 充 足 5. ガバナン スとマネジメ ントの 分 離 COBIT 5の 原 則 2. 事 業 体 全 体 の 包 含 4. 包 括 的 ア プローチの 実 現 3. 一 つに 統 合 されたフ レームワー クの 適 用 出 典 :COBIT 5 日 本 語 版, 図 表 2. 2012 ISACA All rights reserved. 37

原 則 5. ガバナンスとマネジメントの 分 離 ガバナンスとマネジメントの 間 に 明 確 な 区 別 異 なるタイプの 活 動 を 包 含 する 異 なる 組 織 構 造 を 必 要 とする 異 なる 目 的 を 持 つ ガバナンス ほとんどの 事 業 体 において ガバナンス は 取 締 役 会 の 責 任 であり その 取 締 役 会 議 長 のリー ダーシップのもとにある マネジメント ほとんどの 事 業 体 において マネジメン トは 経 営 幹 部 の 責 任 であり 最 高 経 営 責 任 者 (CEO) のリーダーシップのもとにある 38

原 則 5. ガバナンスとマネジメントの 分 離 ガバナンスとは バランスが 取 れ 合 意 された 達 成 すべき 事 業 体 の 目 標 を 決 定 するためにEDMサイクルを 回 すこと ステイクホルダーのニーズや 条 件 選 択 肢 を 評 価 (Evaluate) 優 先 順 位 の 設 定 と 意 思 決 定 によって 方 向 性 を 定 め(Direct) 合 意 した 方 向 性 と 目 標 に 沿 って 成 果 や 準 拠 性 をモニター(Monitor) マネジメントとは 事 業 体 の 目 標 の 達 成 に 向 けてガバナン ス 主 体 が 定 めた 方 向 性 と 整 合 するようにPBRMアクティビ ティを 実 行 すること 計 画 (Plan) 構 築 (Build) 実 行 (Run) モニター(Monitor) 39

原 則 5. ガバナンスとマネジメントの 分 離 ビジネスニーズ ガバナンス 評 価 方 向 付 け マネジメントフィード バック モニター マネジメント 計 画 (APO) 構 築 (BAI) 実 行 (DSS) モニター (MEA) 出 典 : COBIT 5 日 本 語 版, 図 表 15. 2012 ISACA All rights reserved. 40

プロセス:イネーブラーの1つ COBIT 5の 事 業 体 のイネーブラー 2.プロセス 3. 組 織 構 造 4. 文 化 倫 理 お よび 行 動 1. 原 則 ポリシーおよびフレームワーク 5. 情 報 6.サービス インフラストラクチャ およびアプリケーション 資 源 資 7. 人 材 スキル および 遂 行 能 力 出 典 : COBIT 5 日 本 語 版, 図 表 12. 2012 ISACA All rights reserved. 42

COBIT 5: Enabling Processes COBIT 5 プロダクトファミリー COBIT 5 日 本 語 化 済 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes 日 本 語 化 済 COBIT 5プロフェッショナルガイド COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5 Implementation 日 本 語 化 済 COBIT 5 for Information Security COBIT 5 for Assurance 日 本 語 化 着 手 COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT Assessment Programme COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. COBIT Process Assessment Model (PAM): Using COBIT 日 本 5 語 化 着 手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 43

COBIT 5: Enabling Processes COBIT 5: Enabling Processesは COBIT 5を 補 完 し COBIT 5 プロセス 参 照 モデルに 定 義 されているプロセスに 関 する 詳 細 な 参 照 ガイドである 第 1 章 はじめに 第 2 章 事 業 体 とIT 関 連 の 達 成 目 標 のカスケード( 展 開 )と 測 定 指 標 第 3 章 COBIT 5 プロセスモデル 第 4 章 COBIT 5 プロセス 参 照 モデル (プロセス 参 照 モデルが 図 解 されている) 第 5 章 COBIT 5 プロセス 参 照 ガイド (COBIT 5 全 37プロセスの 詳 細 プロセス 情 報 が 記 述 されている) 44

COBIT 5: Enabling Processes 事 業 体 のITガバナンスのためのプロセス 評 価 方 向 付 けおよびモニタリング EDM01 ガバナンス フレームワークの 設 定 と 維 持 の 確 保 EDM02 効 果 提 供 の 確 保 EDM03 リスク 最 適 化 の 確 保 EDM04 資 源 最 適 化 の 確 保 EDM01 ステークホルダーへ の 透 明 性 の 確 保 整 合 計 画 および 組 織 化 APO01 ITマネジメント フレームワークの APO08 関 係 APO02 戦 略 APO09 サービス 契 約 の 管 理 APO03 エンタープライズ アーキテクチャ 管 理 APO10 サプライヤーの APO04 イノベーション APO11 品 質 APO05 ポートフォリオ APO12 リスク APO06 予 算 と 費 用 の 管 理 APO13 セキュリティ 管 理 APO07 人 材 の モニタリング 評 価 およびアセスメント MEA01 成 果 と 整 合 性 の モニタリング 評 価 およびアセスメント 構 築 調 達 および 導 入 BAI01 プログラムと プロジェクトの BAI02 要 件 定 義 の BAI03 ソリューションの 特 定 と 構 築 の BAI04 可 用 性 とキャパ シティの BAI05 組 織 の 変 革 実 現 の BAI06 変 更 BAI07 変 更 受 入 と 移 行 の MEA02 内 部 統 制 システムの モニタリング 評 価 およびアセスメント BAI08 知 識 の BAI09 資 産 の BAI10 構 成 の 提 供 サービスおよびサポート DSS01 オペレーション DSS02 サービス 要 求 と インシデントの DSS03 問 題 DSS04 継 続 性 DSS05 セキュリティ サービスの DSS06 ビジネスプロセス のコントロールの MEA03 外 部 要 求 への コンプライアンスの モニタリング 評 価 およびアセスメント 事 業 体 のITマネジメントのためのプロセス 出 典 : COBIT 5 日 本 語 版, 図 表 16. 2012 ISACA All rights reserved. 45

COBIT 5: Enabling Processes COBIT 5 プロセス 参 照 モデルは 事 業 体 における IT 関 連 の 実 践 と 活 動 を2つの 主 要 領 域 に 分 割 ガバナンスドメインは5つのガバナンスプロセス で 構 成 される 各 プロセスの 中 に 評 価 方 向 付 け モニタリング(EDM)の 実 践 が 定 義 されて いる 4つのマネジメントドメインは 計 画 構 築 実 行 およびモニター(PBRM)の 責 任 領 域 に 対 応 し ている 46

COBIT 5 Implementation COBIT 5 プロダクトファミリー COBIT 5 日 本 語 化 済 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes 日 本 語 化 済 COBIT 5プロフェッショナルガイド COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5 Implementation 日 本 語 化 済 COBIT 5 for Information Security COBIT 5 for Assurance 日 本 語 化 着 手 COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT Assessment Programme COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. COBIT Process Assessment Model (PAM): Using COBIT 日 本 5 語 化 着 手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 48

経 営 者 の 認 識 COBIT 5 Implementation 事 業 体 のITガバナンス(GEIT)の 改 善 は 事 業 体 ガバナンス にとって 必 須 の 部 分 情 報 と 情 報 技 術 (IT)は ビジネスと 社 会 生 活 の 全 ての 局 面 で ますます 拡 大 IT 投 資 からより 多 くの 価 値 を 生 み 出 したい 増 大 するIT 関 連 リスクをしっかり したい 情 報 をビジネスで 利 用 することにかかわる 規 制 と 法 律 の 増 大 にしっかり 対 応 したい 49

COBIT 5 Implementation COBIT 5は 良 いGEITを 導 入 するためのフレームワー ク ベストプラクティス 標 準 である フレームワーク ベストプラクティス 標 準 は 効 果 的 に 選 択 適 用 されるべき 成 功 のためには 乗 り 越 えるべきチャレンジと 課 題 が ある COBIT5 Implementationは これらを 効 果 的 に 行 うためのガイダンス COBIT 5を 活 用 したGEITの 導 入 ガイダンス ~COBIT 5の 導 入 ガイダンスではない 50

COBIT 5 Implementation COBIT 5 Implementation の 内 容 事 業 体 内 におけるGEITの 位 置 付 け GEIT の 改 善 に 向 けての 第 1 歩 を 踏 み 出 すこと 改 善 への 挑 戦 と 成 功 要 因 GEITに 関 連 する 組 織 および 行 動 の 変 革 の 実 現 変 革 実 現 とプログラム が 含 まれる 継 続 的 改 善 の 導 入 COBIT 5 とその 構 成 要 素 の 利 用 51

COBIT 5 Implementation Source: COBIT 5 日 本 語 版 図 表 17. 2012 ISACA All rights reserved. 52

COBIT 5 プロダクトファミリー 日 本 語 版 COBIT 5 プロダクトファミリー COBIT 5 済 COBIT 5イネーブラーガイド COBIT 5: Enabling Processes 済 COBIT 5: Enabling Information その 他 のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT 5 Implementation 済 COBIT 5 for Information Security COBIT 5 for Assurance 着 手 COBIT 5 for Risk その 他 の プロフェッショナル ガイド COBIT Assessment Programme COBIT 5 オンライン コラボレーション 環 境 出 典 : COBIT 5 日 本 語 版, 図 表 11. 2012 ISACA All rights reserved. COBIT Process Assessment Model (PAM): Using COBIT 5 着 手 COBIT Assessor Guide: Using COBIT 5 COBIT Self-Assessment Guide: Using COBIT 5 54

アセスメントモデルとアセッサーガイド プロセス 参 照 モデル 測 定 指 標 フレームワーク プロセスアセスメントモデル 初 期 入 力 情 報 アセスメントプロセス 出 力 情 報 役 割 と 責 任 の 定 義 Source: COBIT Process Assessment Model: Using COBIT 5 2012 ISACA All rights reserved. 55

COBIT 5 プロセス 能 力 モデル Source: COBIT 5 日 本 語 版 図 表 19. 2012 ISACA All rights reserved. 56

アセスメント 指 標 能 力 軸 最 適 化 されたプロセス 革 新 されたプロセス コントロールされたプロセス 測 定 されたプロセス 展 開 されたプロセス 定 義 されたプロセス 実 行 を 作 業 成 果 物 を 実 行 されたプロセス プロセス 能 力 属 性 測 定 指 標 基 づく プロセス 実 行 測 定 指 標 基 づく 一 般 実 践 手 法 一 般 作 業 成 果 物 基 本 実 践 手 法 作 業 成 果 物 COBIT 5プロセス 軸 Source: COBIT 5 日 本 語 版 図 表 19. 2012 ISACA All rights reserved. 57

58 新 COBITアセスメントプログラムとは COBIT 4.1 COBIT 5 EDMドメイン 追 加 など プロセ ス 参 照 モデル COBIT 4.1 プロセス 参 照 モデル (4ドメイン 34プロセス) COBIT 5 プロセス 参 照 モデル (5ドメイン 37プロセス) 従 来 のアセスメント アセスメント 可 アセス メント モデル プロセス 成 熟 度 モデル (CMM:COBIT Maturity Model) 成 熟 度 レベル 評 価 ISO15504 に 準 拠 プロセスアセスメントモデル (PAM:Process Assessment Model) 能 力 度 レベル 評 価

アセスメントモデル 比 較 COBIT 4.1 COBIT 5(ISO/IEC 15504) 成 熟 度 モデルレベル に 基 づいたプロセス 能 力 5 レベル 5: 最 適 化 されている 最 適 化 しているプロセス 4 レベル 4: され 測 定 可 能 である 予 測 可 能 なプロセス 3 レベル 3: 定 義 されたプロセス 確 立 されたプロセス レベル 2: されたプロセス 2 繰 返 し 可 能 だが 直 感 的 レベル 1: 1 実 施 されたプロセス 初 期 / アドホック 0 レベル 0: 存 在 しない 不 完 全 なプロセス コンテキスト 事 業 体 の 視 点 企 業 の 知 識 インスタンスの 視 点 個 人 の 知 識 Source: COBIT 5 日 本 語 版 図 表 19. 2012 ISACA All rights reserved. 59

COBIT 5 実 践 事 例 による 解 説 COBIT 5を 理 解 する 最 善 の 方 法 -それは 実 践 事 例 による 解 説 ではないか 保 険 グループにおけるITサービス 会 社 の 事 例 を 紹 介 COBIT 5を 参 考 にし 部 分 的 に 適 用 して GRC 態 勢 を 構 築 COBIT 5の ひとつの 使 い 方 事 例 として 62

保 険 グループのITサービス 会 社 保 険 グループ 内 部 統 制 態 勢 法 律 規 制 等 F S A 法 規 制 監 督 監 督 経 営 経 営 ホールディング 会 社 損 害 保 険 会 社 ITサービス 業 務 委 託 契 約 ITサービス 会 社 経 営 生 命 保 険 会 社 ITサービス 業 務 委 託 契 約 63

ITサービス 会 社 のGRCの 概 念 G ガバナンス ( 価 値 の 創 出 ) 企 業 グループ 内 部 統 制 フレームワーク (GRCへの 統 合 的 対 応 ) R リスク (リスクの 最 適 化 ) コンプライアンス (ルールの 遵 守 ) C 64

保 険 グループの 内 部 統 制 フレームワーク グループ 各 社 の 内 部 統 制 領 域 各 イネーブラーの 目 標 を 設 定 内 部 統 制 領 域 AAAAAAAA 内 部 統 制 領 域 BBBBBBBB 内 部 統 制 領 域 YYYYYYYY 内 部 統 制 領 域 ZZZZZZZZ 内 部 統 制 に 関 する 基 本 方 針 の 雛 形 [グループ 会 社 名 ] に 関 する 基 本 方 針 内 部 統 制 に 関 する 基 本 方 針 体 系 AAAAAAA に 関 する 基 本 方 針 各 内 部 統 制 領 域 に 関 する 基 本 方 針 を 明 確 化 BBBBBBB に 関 する 基 本 方 針 内 部 統 制 基 本 方 針 YYYYYYY に 関 する 基 本 方 針 ZZZZZZZ に 関 する 基 本 方 針 第 1 条 ( 目 的 ) 第 2 条 ( 定 義 等 ) 第 3 条 ( 基 本 的 考 え 方 ) 第 4 条 ( 態 勢 の 整 備 ) 第 5 条 ( 子 会 社 としての 役 割 ) 第 6 条 ( 改 廃 ) 65

ITサービス 会 社 のGRC 領 域 内 部 統 制 領 域 (GRC 領 域 ) 内 部 統 制 (GRC) 適 正 性 適 合 性 リスク 効 率 性 グループ 会 社 経 営 ITサービ ス 業 務 経 理 情 報 開 示 グループ 内 取 引 等 管 理 コンプ ライ アンス 顧 客 保 護 等 情 報 セ 反 社 会 的 キュリティ 勢 力 等 へ の 対 応 内 部 監 査 リスク 危 機 ITガバナ ンス 人 事 利 益 相 反 取 引 等 の 外 部 委 託 個 別 リスク 経 営 リスク 流 動 性 リ スク レピュ テーショナ ル リスク 事 務 リスク システムリ スク 情 報 漏 えい リスク 法 務 リスク 事 故 災 害 犯 罪 リスク 人 事 労 務 リスク 66

ITサービス 会 社 のGRC 態 勢 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) ステークホルダーニーズ 効 果 の 実 現 お 客 様 価 値 の 提 供 ガバナンス 目 標 : 価 値 創 出 資 源 の 最 適 化 達 成 目 標 企 業 価 値 の 創 造 リスクの 最 適 化 内 部 統 制 整 備 運 用 ガバナンス 層 取 締 役 会 取 締 役 評 価 (Evaluate) お 客 様 価 値 提 供 の 状 況 説 明 責 任 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 方 向 付 け(Direct) 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 評 価 改 善 活 動 (PDCA Cycle) マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 モニタリング(Monitor) お 客 様 価 値 提 供 の 状 況 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 内 部 統 制 フ レームワーク 方 針 規 程 等 業 務 プロセス 組 織 体 制 文 化 倫 理 行 動 情 報 社 員 スタッフ パートナー 会 社 サービス シス テム 基 盤 ア プリケーション 人 材 スキル コンピテンシー 67

ITサービス 会 社 のGRC 態 勢 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) ガバナンス 目 標 : 価 値 創 出 ステークホルダーニーズ 資 源 の 効 果 の 実 現 ガバナンス 目 標 : 価 値 最 創 出 適 化 効 果 の 実 現 お 客 様 価 値 の 提 供 お 客 様 価 値 の 提 供 ステークホルダーニーズ 資 源 の 最 適 化 達 成 目 標 企 業 価 値 の 創 造 リスクの 最 適 化 達 成 目 標 内 部 統 制 整 備 運 用 企 業 価 値 取 締 役 の 会 創 造 取 締 役 方 向 付 け(Direct) プロジェクト サービスイン SLA 達 成 など 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 企 業 コンセプト 人 材 育 成 業 務 領 域 拡 大 など 方 向 付 け (Direct) 理 念 ビジョン 方 針 等 内 部 統 制 フ レームワーク ( 経 営 理 念 ビジョン) 業 務 プロセス 方 針 規 程 等 リスクの ガバナンス 層 最 適 化 取 締 役 会 取 締 役 内 部 統 制 整 備 運 用 内 部 統 制 基 本 方 針 組 織 体 制 イネーブラー 目 標 を 具 体 的 に 表 現 内 部 統 制 リスク を しっかりと 評 価 (Evaluate) 評 価 改 善 活 動 (PDCA Cycle) マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 文 化 倫 理 行 動 お 客 様 価 値 提 供 の 状 況 プロジェクト サービスイン SLA 達 成 など お 客 様 価 値 社 員 スタッフ パートナー 会 社 説 明 責 任 お 客 様 価 値 提 供 の 状 況 企 業 価 値 説 明 責 任 業 務 遂 行 状 況 報 告 業 務 遂 行 状 況 報 告 企 業 価 値 内 部 統 制 整 備 創 造 の 状 況 運 用 の 状 況 取 締 創 役 造 会 の 状 取 況 締 役 運 用 の 状 況 モニタリング(Monitor) 人 材 育 成 業 務 領 域 拡 大 など 業 務 遂 行 状 況 報 告 お 客 様 価 値 企 業 価 値 モニタリング 提 供 の 状 況 創 造 の 状 況 (Monitor) 業 務 遂 行 状 況 報 告 企 業 価 値 内 部 統 制 整 備 内 部 統 制 リスク を しっかりと 内 部 統 制 整 備 運 用 の 状 況 サービス シス 内 部 統 制 整 備 人 材 スキル 提 供 の 情 状 報 況 創 テム 造 の 基 状 盤 ア 況 運 用 の 状 況 コンピテンシー プリケーション ステークホルダーニーズの 充 足 状 況 イネーブラー 目 標 の 達 成 状 況 ライフサイクルの 状 況 68

原 則 1. ステークホルダーのニーズを 充 足 事 業 体 はそのステークホルダーの 価 値 を 創 出 する ために 存 在 する ステークホルダーの ニーズ 推 進 ガバナンス 目 標 : 価 値 創 出 効 果 の 実 現 リスク 最 適 化 資 源 最 適 化 出 典 : COBIT 5 日 本 語 版, 図 表 3.. 2012 ISACA All rights reserved. 71

原 則 1. ステークホルダーのニーズを 充 足 ステークホルダーのニーズを 事 業 体 の 戦 略 に 変 換 COBIT 5の 達 成 目 標 のカスケ ード( 展 開 ) ステークホルダーのニーズから 事 業 体 の 達 成 目 標 IT 達 成 目 標 イネーブラーの 達 成 目 標 へ 展 開 する ステークホルダーのドライバー ( 環 境 技 術 革 新 ) ステークホルダーのニーズ 効 果 の 実 現 リスク 最 適 化 事 業 体 の 達 成 目 標 IT 達 成 目 標 影 響 資 源 最 適 化 カスケード( 展 開 ) カスケード( 展 開 ) カスケード( 展 開 ) イネーブラーの 達 成 目 標 出 典 : COBIT 5 日 本 語 版, 図 表 4. 2012 ISACA All rights reserved. 72

原 則 1:ステークホルダーニーズの 充 足 適 用 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) ガバナンス 目 標 : 価 値 創 出 ステークホルダーニーズ 資 源 の 効 果 の 実 現 ガバナンス 目 標 : 価 値 最 創 出 適 化 効 果 の 実 現 お 客 様 価 値 の 提 供 お 客 様 価 値 の 提 供 ステークホルダーニーズ 資 源 の 最 適 化 達 成 目 標 企 業 価 値 の 創 造 リスクの 最 適 化 達 成 目 標 内 部 統 制 整 備 運 用 企 業 価 値 取 締 役 の 会 創 造 取 締 役 方 向 付 け(Direct) 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 方 向 付 け (Direct) 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 フ レームワーク ( 経 営 理 念 ビジョン) 業 務 プロセス 方 針 規 程 等 リスクの ガバナンス 層 最 適 化 取 締 役 会 取 締 役 内 部 統 制 整 備 運 用 内 部 統 制 基 本 方 針 組 織 体 制 評 価 (Evaluate) 評 価 改 善 活 動 (PDCA Cycle) マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 文 化 倫 理 行 動 情 報 社 員 スタッフ パートナー 会 社 ガバナンス 目 標 : 価 値 説 創 明 出 責 任 効 果 の 実 現 ステークホルダーニーズ リスク 最 適 化 お 客 様 価 値 提 供 の 状 況 事 業 体 の 達 成 目 標 モニタリング(Monitor) お 客 様 価 値 提 供 の 状 況 IT 達 成 目 標 サービス シス テム 基 盤 ア プリケーション 業 務 遂 行 状 況 報 告 企 業 価 カスケード( 値 内 部 統 展 制 整 開 備 ) 創 造 の 状 況 運 用 の 状 況 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 イネーブラーの 達 成 目 標 推 進 資 源 最 適 化 カスケード( 展 開 ) 内 部 統 制 整 備 運 用 の 状 況 カスケード( 展 開 ) 人 材 スキル コンピテンシー 73

原 則 2. 事 業 体 全 体 の 包 含 事 業 体 全 体 にわたる 包 括 的 な 視 点 から 情 報 とそれに 関 連 する 技 術 のガバナンスとマネジメントを 取 り 扱 う 事 業 体 の 中 の 全 ての 部 門 全 てのプロセスをカバー 事 業 体 ITガバナンス(GEIT)はコーポレートガバナンス(ビ ジネスガバナンス)そのもの 75

原 則 2. 事 業 体 全 体 の 包 含 ガバナンスのアプローチ ガバナンス 目 標 : 価 値 創 出 便 益 の 実 現 リスク 最 適 化 資 源 最 適 化 ガバナンス イネーブラー ガバナンス スコープ 役 割 アクティビティ 関 係 性 出 典 : COBIT 5 日 本 語 版, 図 表 8. 2012 ISACA All rights reserved. オーナーおよ びステーク ホルダー 役 割 アクティビティ 関 係 性 委 任 方 向 付 け 指 示 整 合 ガバナンス マネジメント 主 体 説 明 責 任 モニター 報 告 運 営 実 行 出 典 : COBIT 5 日 本 語 版, 図 表 9. 2012 ISACA All rights reserved.

原 則 2: 事 業 体 全 体 の 包 含 の 適 用 事 業 体 の 中 の 全 ての 部 門 全 てのプロセスをカバー 内 部 統 制 (GRC) 適 正 性 適 合 性 リスク 効 率 性 グループ 会 社 経 営 ITサービ ス 業 務 経 理 情 報 開 示 グループ 内 取 引 等 管 理 コンプ ライ アンス 顧 客 保 護 等 情 報 セ 反 社 会 的 キュリティ 勢 力 等 へ の 対 応 内 部 監 査 リスク 危 機 ITガバナ ンス 人 事 利 益 相 反 取 引 等 の 外 部 委 託 個 別 リスク 経 営 リスク 流 動 性 リ スク レピュ テーショナ ル リスク 事 務 リスク システムリ スク 情 報 漏 えい リスク 法 務 リスク 事 故 災 害 犯 罪 リスク 人 事 労 務 リスク 77

原 則 2: 事 業 体 全 体 の 包 含 の 適 用 オーナーお よびステー ク ホルダー 事 業 体 全 体 にわたる 包 括 的 な 視 点 から 情 報 とそれに 関 連 する 技 術 のガバナンスとマネジメントを 取 り 扱 う 説 明 責 任 モニター 報 告 ガバナンス 主 体 マネジメント 運 営 実 行 委 任 方 向 付 け 指 示 整 合 役 割 アクティビティ 関 係 性 ステークホルダーニーズ ガバナンス 目 標 : 価 値 創 出 資 源 の 最 適 リスクの 効 果 の 実 現 化 最 適 化 お 客 様 価 値 の 提 供 方 向 付 け(Direct) 内 部 統 制 フ レームワーク 方 針 規 程 等 達 成 目 標 企 業 価 値 の 創 造 業 務 プロセ ス 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) 内 部 統 制 整 備 運 用 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 組 織 体 制 ガバナンス 層 取 締 役 会 取 締 役 評 価 (Evaluate) 評 価 改 善 活 動 (PDCA Cycle) マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 文 化 倫 理 行 動 情 報 社 員 スタッフ パートナー 会 社 モニタリング (Monitor) サービス シス テム 基 盤 ア プリケーション 説 明 責 任 業 務 遂 行 状 況 報 告 お 客 様 価 値 企 業 価 値 提 供 の 状 況 創 造 の 状 況 業 務 遂 行 状 況 報 告 お 客 様 価 値 企 業 価 値 提 供 の 状 況 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 内 部 統 制 整 備 運 用 の 状 況 人 材 スキル コンピテン シー 78

原 則 3. 一 つに 統 合 されたフレームワークの 適 用 最 新 の 関 連 する 他 の 標 準 やフレームワークと 整 合 事 業 体 : COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 IT 関 連 : ISO/IEC 38500, ITIL, ISO/IEC 27000シリーズ, TOGAF, PMBOK/PRINCE2, CMMI ガバナンスとマネジメントのフレームワークを 統 合 する ものとして 利 用 可 能 80

原 則 3:1つに 統 合 されたフレームワークの 適 用 の 適 用 全 てのGRC 領 域 (= 内 部 統 制 領 域 )に 保 険 グループの 内 部 統 制 フレームワークを 適 用 グループ 各 社 の 内 部 統 制 領 域 内 部 統 制 領 域 AAAAAAAA 内 部 統 制 領 域 BBBBBBBB 各 イネーブラーの 目 標 を 設 定 内 部 統 制 に 関 する 基 本 方 針 の 雛 形 内 部 統 制 領 域 YYYYYYYY 内 部 統 制 領 域 ZZZZZZZZ [グループ 会 社 名 ] に 関 する 基 本 方 針 内 部 統 制 に 関 する 基 本 方 針 体 系 AAAAAAA に 関 する 基 本 方 針 各 内 部 統 制 領 域 に 関 する 基 本 方 針 を 明 確 化 BBBBBBB に 関 する 基 本 方 針 内 部 統 制 基 本 方 針 YYYYYYY に 関 する 基 本 方 針 ZZZZZZZ に 関 する 基 本 方 針 第 1 条 ( 目 的 ) 第 2 条 ( 定 義 等 ) 第 3 条 ( 基 本 的 考 え 方 ) 第 4 条 ( 態 勢 の 整 備 ) 第 5 条 ( 子 会 社 としての 役 割 ) 第 6 条 ( 改 廃 ) 81

原 則 3:1つに 統 合 されたフレームワークの 適 用 の 適 用 保 険 グループの 内 部 統 制 フレームワークを 使 い 各 GRC 領 域 ごとに 基 本 方 針 を 定 義 これら 基 本 方 針 の 下 配 下 の 規 程 基 準 にCOBIT 5 等 を 参 考 として 活 用 保 険 グループ 内 部 統 制 フレームワーク COBIT 5 Framework (GRC 全 体 ) ITIL (ITサービス 業 務 : 運 用 ) COBIT 4.1 PRM 成 熟 度 モデル (ITガバナンス 領 域 ) COBIT 5 Enabling Processes (モニタリング) CMMI (ITサービス 業 務 : 開 発 ) PIMBOK (プロジェクト ) 82

原 則 4. 包 括 的 アプローチの 実 現 COBIT 5の 事 業 体 のイネーブラー 2.プロセス 3. 組 織 構 造 4. 文 化 倫 理 お よび 行 動 1. 原 則 ポリシーおよびフレームワーク 5. 情 報 6.サービス インフラストラクチャ およびアプリケーション 資 源 資 7. 人 材 スキル および 遂 行 能 力 出 典 : COBIT 5 日 本 語 版, 図 表 12. 2012 ISACA All rights reserved. 84

原 則 4: 包 括 的 なアプローチの 実 現 の 適 用 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) ステークホルダーニーズ 効 果 の 実 現 ガバナンス 目 標 : 価 値 創 出 資 源 の 最 適 化 リスクの 最 適 化 ガバナンス 層 取 締 役 会 取 締 役 説 明 責 任 お 客 様 価 値 の 提 供 達 成 目 標 企 業 価 値 の 創 造 内 部 統 制 整 備 運 用 2.プロセス 3. 組 織 構 造 評 価 (Evaluate) 4. 文 化 倫 理 および 行 動 お 客 様 価 値 提 供 の 状 況 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 方 向 付 け(Direct) 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 5. 情 報 1. 原 則 ポリシーおよびフレームワーク 評 価 6.サービス 改 善 活 動 インフラストラクチャ およびアプリケーション (PDCA Cycle) 資 源 7. 人 材 スキル および 遂 行 能 力 モニタリング(Monitor) お 客 様 価 値 提 供 の 状 況 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 内 部 統 制 フ レームワーク 方 針 規 程 等 業 務 プロセス 組 織 体 制 文 化 倫 理 行 動 情 報 社 員 スタッフ パートナー 会 社 サービス シス テム 基 盤 ア プリケーション 人 材 スキル コンピテンシー 85

原 則 4: 包 括 的 なアプローチの 実 現 の 適 用 各 イネーブラー 目 標 を 内 部 統 制 基 本 方 針 や 配 下 規 程 基 準 に 盛 り 込 む 2.プロセス 3. 組 織 構 造 4. 文 化 倫 理 および 行 動 に 関 する 基 本 方 針 1. 原 則 ポリシーおよびフレームワーク 第 1 条 ( 目 的 ) 内 部 統 制 の 目 的 5. 情 報 6.サービス インフラストラクチャ およびアプリケーション 資 源 7. 人 材 スキル および 遂 行 能 力 第 2 条 ( 定 義 等 ) 言 葉 の 定 義 第 3 条 ( 基 本 的 考 え 方 ) カルチャー プリンシプル 等 を 定 義 第 4 条 ( 態 勢 の 整 備 ) 第 5 条 ( 子 会 社 としての 役 割 ) 組 織 体 制 方 針 規 定 等 評 価 改 善 活 動 等 を 定 義 親 会 社 への 事 前 承 認 事 項 報 告 事 項 等 第 6 条 ( 改 廃 ) 86

原 則 5. ガバナンスとマネジメントの 分 離 ビジネスニーズ ガバナンス 評 価 方 向 付 け マネジメントフィード バック モニター マネジメント 計 画 (APO) 構 築 (BAI) 実 行 (DSS) モニター (MEA) 出 典 : COBIT 5 日 本 語 版, 図 表 15. 2012 ISACA All rights reserved. 88

原 則 5:ガバナンスとマネジメントの 分 離 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) ステークホルダーニーズ 効 果 の 実 現 お 客 様 価 値 の 提 供 ガバナンス 目 標 : 価 値 創 出 資 源 の 最 適 化 達 成 目 標 企 業 価 値 の 創 造 リスクの 最 適 化 内 部 統 制 整 備 運 用 ガバナンス 層 取 締 役 会 取 締 役 評 価 (Evaluate) お 客 様 価 値 提 供 の 状 況 説 明 責 任 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 方 向 付 け(Direct) 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 評 価 改 善 活 動 (PDCA Cycle) モニタリング(Monitor) お 客 様 価 値 提 供 の 状 況 業 務 遂 行 状 況 報 告 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 (PBRM= 内 部 統 制 の 整 備 運 用 ) 内 部 統 制 フ レームワーク 方 針 規 程 等 業 務 プロセス 組 織 体 制 文 化 倫 理 行 動 情 報 社 員 スタッフ パートナー 会 社 サービス シス テム 基 盤 ア プリケーション 人 材 スキル コンピテンシー 89

COBIT 5: Enabling Processes 事 業 体 のITガバナンスのためのプロセス 評 価 方 向 付 けおよびモニタリング EDM01 ガバナンス フレームワークの 設 定 と 維 持 の 確 保 EDM02 効 果 提 供 の 確 保 EDM03 リスク 最 適 化 の 確 保 EDM04 資 源 最 適 化 の 確 保 EDM01 ステークホルダーへ の 透 明 性 の 確 保 整 合 計 画 および 組 織 化 APO01 ITマネジメント フレームワークの APO08 関 係 APO02 戦 略 APO09 サービス 契 約 の 管 理 APO03 エンタープライズ アーキテクチャ 管 理 APO10 サプライヤーの APO04 イノベーション APO11 品 質 APO05 ポートフォリオ APO12 リスク APO06 予 算 と 費 用 の 管 理 APO13 セキュリティ 管 理 APO07 人 材 の モニタリング 評 価 およびアセスメント MEA01 成 果 と 整 合 性 の モニタリング 評 価 およびアセスメント 構 築 調 達 および 導 入 BAI01 プログラムと プロジェクトの BAI02 要 件 定 義 の BAI03 ソリューションの 特 定 と 構 築 の BAI04 可 用 性 とキャパ シティの BAI05 組 織 の 変 革 実 現 の BAI06 変 更 BAI07 変 更 受 入 と 移 行 の MEA02 内 部 統 制 システムの モニタリング 評 価 およびアセスメント BAI08 知 識 の BAI09 資 産 の BAI10 構 成 の 提 供 サービスおよびサポート DSS01 オペレーション DSS02 サービス 要 求 と インシデントの DSS03 問 題 DSS04 継 続 性 DSS05 セキュリティ サービスの DSS06 ビジネスプロセス のコントロールの MEA03 外 部 要 求 への コンプライアンスの モニタリング 評 価 およびアセスメント 事 業 体 のITマネジメントのためのプロセス 出 典 : COBIT 5 日 本 語 版, 図 表 16. 2012 ISACA All rights reserved. 91

COBIT 5 プロセス 参 照 モデルの 適 用 業 務 遂 行 状 況 報 告 (ステークホルダーレポート) お 客 様 価 値 提 供 の 状 況 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 COBIT 5 プロセス 参 照 モデル の 考 え 方 を 適 用 業 務 遂 行 状 況 報 告 (マネジメントレポート) お 客 様 価 値 提 供 の 状 況 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 運 用 の 状 況 IT 領 域 特 有 の 考 え 方 すべての 領 域 共 通 な 考 え 方 92

プロセス 参 照 モデルの 適 用 株 主 お 客 様 (ITサービス 提 供 先 会 社 ) 説 明 責 任 ステークホルダーニーズ 効 果 の 実 現 お 客 様 価 値 の 提 供 方 向 付 け(Direct) 内 部 統 制 フ レームワーク 方 針 規 程 等 ガバナンス 目 標 : 価 値 創 出 資 源 の 最 適 化 達 成 目 標 企 業 価 値 の 創 造 リスクの 最 適 化 内 部 統 制 整 備 運 用 理 念 ビジョン 方 針 等 企 業 コンセプト 内 部 統 制 基 本 方 針 ( 経 営 理 念 ビジョン) 業 務 プロセス 組 織 体 制 ガバナンス 層 取 締 役 会 取 締 役 評 価 (Evaluate) 評 価 改 善 活 動 (PDCA Cycle) マネジメント 層 執 行 役 員 本 部 長 部 長 等 業 務 遂 行 文 化 倫 理 行 動 お 客 様 価 値 提 供 の 状 況 お 客 様 価 値 提 供 の 情 状 報 況 社 員 スタッフ パートナー 会 社 お 客 様 価 値 提 供 の 状 況 取 締 創 役 造 会 の 状 取 況 締 役 運 用 の 状 況 モニタリング(Monitor) サービス シス テム 基 盤 ア プリケーション 説 明 責 任 業 務 遂 行 状 況 報 告 ステークホルダーレポート 企 業 価 値 業 務 遂 行 状 況 報 告 企 業 価 値 内 部 統 制 整 備 創 造 の 状 況 運 用 の 状 況 業 務 遂 行 状 況 報 告 お 客 様 価 値 企 業 価 値 モニタリング 提 供 の 状 況 創 造 の 状 況 (Monitor) 業 務 遂 行 状 況 報 告 マネジメントレポート 企 業 価 値 創 造 の 状 況 内 部 統 制 整 備 内 部 統 制 整 備 運 用 の 状 況 内 部 統 制 整 備 人 運 材 用 スキル の 状 況 コンピテンシー 93

Implementationの 適 用 GRC 態 勢 初 期 導 入 時 には 適 用 なし( 存 在 を 知 らない) 継 続 的 改 善 サイクルの 中 でGRC 委 員 会 を 設 立 第 3 章 GEITに 向 けた 最 初 のステップ で ITエグゼクティブ 戦 略 委 員 会 の 設 置 をガイダンス 振 り 返 ってみると GRC 態 勢 構 築 はまさにGEITの 導 入 変 革 の 実 現 試 行 錯 誤 により 構 築 してきた 最 初 にImplementationを 知 っていれば もっと 効 率 的 に 構 築 でき たのに 進 め 方 や 直 面 した 課 題 と 試 行 錯 誤 でおこなってきた 原 因 究 明 解 決 策 が COBIT 5Implementationに 書 いてある! 7つのフェーズごとの 課 題 とその 根 本 原 因 解 決 策 95

プロセスアセスメントモデルの 適 用 プロセスアセスメントモデル(プロセス 能 力 モデル)は 適 用 して いない ( 従 来 からIT 関 連 内 部 統 制 領 域 について グループ 標 準 の 成 熟 度 モデルに 対 応 ~COBIT 4.1 成 熟 度 モデルに 基 づく) ガバナンスプロセス モニタリングプロセスで 適 用 可 能 性 を 展 望 ( 不 断 の 改 善 努 力 の 一 つとして) 新 しいプロセスアセスメントモデルは 複 雑 で 対 応 ロードがかか りすぎると 感 じられた 利 用 を 躊 躇 した 要 因 のひとつ 理 解 を 深 めるにつれて むしろ 標 準 化 され 客 観 性 が 高 くわ かり 易 いもの 97

COBIT 5を 使 ってみよう ガバナンス 目 標 は 価 値 創 出 ~ 組 織 は 何 のため IT 中 心 のCIO 視 点 から 会 社 経 営 目 線 のCEO 視 点 へ (ITガバナンスからGEITへ) ITだけではない~Non ITにも 適 用 可 (ビジネスガバナンス) つまみ 食 いで 良 い~わかるところ 使 えるところから 利 用 する 変 革 の 実 現 困 った 時 のCOBIT 5 Implementation さあ 始 めよう! 99

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック