COBIT 5 の紹介 Presented by
© 2012 ISACA. All rights reserved © 2012 ISACA. All rights reserved. ISACAの事前の許可無く、本著作物の全部又は一部について、あらゆる形式や手段(電磁的、機械的、写真複写、記録、その他の方法)による使用、複製、再生、改変、配布、表示、検索システムへの組込、送信を行うことを禁じます。本著作物の使用は、個人的に使用する場合に限り許可されており、情報元の権利の帰属を意識して利用しなければなりません。本著作物のその他の権利又は許可を与えるものではありません。
COBIT 5 エグゼクティブ・サマリー
情報! 情報はすべての事業体にとって、キーとなる資源である。 情報は、生み出され、使用され、維持され、公開され、そして破棄される。 技術はこれらのアクティビティにおいてキーとなる役割を果たす。 技術はビジネスおよび個人の生活のすべての局面において、広く浸透しつつある。 情報と技術はどのような効果を事業体にもたらすのであろうか?
事業体の効果 事業体のステークホルダーの価値を創出するために、これらの効果をどのようにしたら実現できるであろうか? 事業体とその経営者層は以下のことに注力している。 事業の意思決定を支える情報の質を維持する。 ITを手段とした投資からビジネス価値を生み出す。つまり、戦略目標の達成とビジネス上の効果の実現を、ITの効果的かつ革新的利用を通じて達成する。 事業上の優越性を、信頼でき効果的な技術の適用を通じて達成する。 ITに関連するリスクを受容可能なレベルに維持する。 ITサービスと技術のコストを最適化する。 事業体のステークホルダーの価値を創出するために、これらの効果をどのようにしたら実現できるであろうか?
事業体の役員会、経営者層および管理職は、事業の他のいかなる重要な部分と同様に、ITを容認しなければならない。 ステークホルダーの価値 事業体のステークホルダーの価値を提供するためには、情報と技術(IT)資源の良い ガバナンスとマネジメント が必要である。 事業体の役員会、経営者層および管理職は、事業の他のいかなる重要な部分と同様に、ITを容認しなければならない。 事業体の情報と技術の利用に関連する、外部からの法的、規制上および契約上のコンプライアンス要求は増大し、もし違反した場合の価値への脅威となっている。 COBIT 5は包括的なフレームワークを提供し、これにより事業体は自身の達成目標の実現と価値の提供を、事業体のITに関する効果的なガバナンスとマネジメント を通じて行うことができる。
COBIT 5 フレームワーク 簡潔に述べると、COBIT 5は、効果の実現とリスクレベルおよび資源活用の最適化とのバランスを維持することによって、事業体がITから最適な価値を生み出すことを支援する。 COBIT 5は情報とそれに関連する技術が事業体全体に対して包括的にガバナンスされマネジメントされることを可能とする。そのために責任を持つべきビジネスおよび機能領域の隅から隅までを引き受け、内外部のステークホルダーのIT関連の利害に配慮している。 COBIT 5の 原則とイネーブラー は、営利、非営利もしくは公的機関であれ、すべての規模の事業体にとって一般的であり有用なものである。
COBIT 5の原則 COBIT 5の 1. ステークホルダーのニーズを充足 5. ガバナンスとマネジメントの分離 2. 事業体全体の包含 3. 一つに統合されたフレームワークの適用 4. 包括的アプローチの実現 2. 事業体全体の包含 5. ガバナンスとマネジメントの分離 COBIT 5の 原則 出典:COBIT® 5 日本語版, 図表2. © 2012 ISACA® All rights reserved.
COBIT 5のイネーブラー 2.プロセス 3.組織構造 4.文化、倫理および行動 1.原則、ポリシーおよびフレームワーク 5.情報 7.人材、スキル および 遂行能力 6.サービス、 インフラストラクチャ およびアプリケーション 資源 出典: COBIT® 5 日本語版, 図表12. © 2012 ISACA® All rights reserved.
ガバナンスとマネジメント ガバナンスとは、ステークホルダーのニーズや条件、選択肢を評価し、優先順位の設定と意思決定によって方向性を定め、合意した方向性と目標に沿って成果や準拠性、進捗をモニターすることで、事業体の目標が達成されることを確実にするものである。(EDM) マネジメントとは、事業体の目標の達成に向けてガバナンス主体が定めた方向性と整合するようにアクティビティを計画、構築、実行し、モニターすることである。 (PBRM)
まとめとして… COBIT 5は5つの原則を結び合わせることで、事業体が効果的なガバナンス とマネジメント のフレームワークを構築することを可能とする。これは情報と技術の投資と活用を最適化する包括的な7つのイネーブラー のセットに基づくものであり、ステークホルダーへの効果をもたらすものである。
COBIT 5
COBIT 5: 今、一つに統合された ビジネスフレームワークfor 2005/7 2000 1998 1996 2012 スコープの進化 事業体のITガバナンス(GEIT) COBIT 5 ITガバナンス COBIT4.0/4.1 マネジメント COBIT3 コントロール COBIT2 ISACAが提供するビジネスフレームワーク www.isaca.org/cobit 監査 COBIT1 2005/7 2000 1998 1996 2012 Val IT 2.0 (2008) Risk IT (2009) スコープの進化 © 2012 ISACA® All rights reserved.
COBIT 5 フレームワーク COBIT 5 COBIT 5プロダクトの中心であり、全体を包括する。 ISACAによって提供される導入ガイダンスの紹介 (COBIT 5 Implementation) COBITアセスメントプログラムの紹介(COBIT 5固有ではない)および、ISACAによってCOBITに採用されているプロセス能力アプローチの紹介。
COBIT 5 プロダクトファミリー COBIT 5 プロダクトファミリー COBIT® 5 COBIT® 5: Enabling Processes COBIT® 5: Enabling Information その他のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT® 5 Implementation COBIT® 5 for Information Security COBIT® 5 for Assurance COBIT® 5 for Risk その他の プロフェッショナル ガイド COBIT 5 オンライン コラボレーション環境 出典: COBIT® 5 日本語版, 図表11.© 2012 ISACA® All rights reserved.
COBIT 5の5つの原則 COBIT 5の5つの原則 1.ステークホルダーのニーズを充足 2.事業体全体の包含 3.一つに統合されたフレームワークの適用 4.包括的アプローチの実現 5.ガバナンスとマネジメントの分離
1. Meeting Stakeholder Needs 原則1.ステークホルダーのニーズの充足 事業体はそのステークホルダーの価値を創出するために存在する。 ガバナンス目標:価値創出 効果の実現 リスク最適化 資源最適化 ステークホルダーの ニーズ 推進 出典: COBIT® 5 日本語版, 図表3.. © 2012 ISACA® All rights reserved.
1. ステークホルダーのニーズを充足(続き) 原則1.ステークホルダーのニーズを充足 事業体には多くのステークホルダーが関わり「価値の創出」は各々にとって異なり、時に矛盾する。 ガバナンスは異なるステークホルダー間の価値の利害を調整し意思決定することにめぐることである。 ガバナンスの仕組みは、効果、資源およびリスクアセスメントの意思決定を行う際に、全ステークホルダーを考慮しなければならない。 各々の意思決定では、以下の事項を問うことができ、問われなければならない。 その効果は誰のためのものであるか? 誰がそのリスクを負うのか? どのような資源が必要とされるのか?
出典: COBIT® 5 日本語版, 図表4.© 2012 ISACA® All rights reserved. 1. ステークホルダーのニーズを充足(続き) 原則1.ステークホルダーのニーズを充足 ステークホルダーのニーズは、事業体の実行可能な戦略に変換されなければならない。 COBIT 5の達成目標のカスケード(展開)はステークホルダーのニーズを、その状況における、具体的で、実行可能で、そして カスタマイズされた事業体の達成目標、IT達成目標、そして、イネーブラーの達成目標へと変換する。 ステークホルダーのドライバー (環境、技術革新、…) ステークホルダーのニーズ 効果の実現 リスク 最適化 資源 影響 事業体の達成目標 IT達成目標 イネーブラーの達成目標 カスケード(展開) カスケード(展開) 出典: COBIT® 5 日本語版, 図表4.© 2012 ISACA® All rights reserved.
1. ステークホルダーのニーズを充足(続き) 原則1.ステークホルダーのニーズを充足 COBIT 5における達成目標のカスケード(展開)の効果 事業体の(戦略)目標および関連するリスクに基づいて、事業体のITガバナンスにおける、導入、改善およびアシュアランスの優先順位づけを定義することを可能とする。 実行において目標のカスケードによって、 適切で明確な達成目標を、多様なレベルでの実行責任において定義する。 事業体の目標に基づいて、特定の導入、改善もしくはアシュアランスのプロジェクトに取り入れる適切なガイダンスを引き出すために、COBIT 5の知識ベースから選択を行う。 事業体の目標を達成するために、(時には運用レベルの)イネーブラーが重要であることを、明確に認識し情報共有する。
2. 事業体全体の包含 原則2. 事業体全体の包含 COBIT 5 は、事業体全体にわたる包括的な視点から、情報とそれに関連する技術のガバナンスとマネジメントを取り扱う。 これはCOBIT 5が次のことを意味する。 事業体のITガバナンスを、事業体のガバナンスに統合する。すなわち、COBIT 5によって、事業体のITのためのガバナンスシステムは、いかなるガバナンスシステムともシームレスに統合される。何故ならば、COBIT 5はガバナンスに関する最新の観点と整合しているからである。 事業体の中の全ての機能とプロセスをカバーする。 COBIT 5 はIT機能だけに焦点を当てているのではなく、情報とそれに関する技術を、その事業体の全員が資産として扱う必要のある他のいかなるものと同様の資産であるとして扱っているからである。
ガバナンスシステムにおけるキーとなる構成要素 2. 事業体全体の包含(続き) 原則2. 事業体全体の包含 ガバナンス目標:価値創出 効果の実現 リスク 最適化 資源 最適化 ガバナンスシステムにおけるキーとなる構成要素 ガバナンス イネーブラー ガバナンス スコープ 役割、アクティビティ、関係性 出典: COBIT® 5 日本語版, 図表8. © 2012 ISACA® All rights reserved. 役割、アクティビティ、関係性 オーナーおよびステーク ホルダー ガバナンス 主体 マネジメント 運営、実行 委任 方向付け 指示、整合 報告 モニター 説明責任 出典: COBIT® 5 日本語版, 図表9. © 2012 ISACA® All rights reserved.
3. 一つに統合されたフレームワークの適用 原則3.一つに統合されたフレームワークの適用 COBIT 5は、事業体で利用される、最新の関連する他の標準やフレームワークと整合をとっている。 事業体: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 IT関連: ISO/IEC 38500, ITIL, ISO/IEC 27000シリーズ, TOGAF, PMBOK/PRINCE2, CMMI これによって事業体は、COBIT 5をガバナンスとマネジメントのフレームワークを統合するものとして利用することが可能になる。 ISACAは、 COBIT 5の実践とアクティビティからサードパーティーの参考文献へのユーザマッピングを容易にする機能を計画している。
4. 包括的アプローチの実現 原則4.包括的アプローチの実現 COBIT 5のイネーブラーは、 COBITの場合においては、事業体のITにおけるガバナンスとマネジメント に対して、何かが作用するかどうかについて、個々にかつ集合的に、影響を与える要因である。 目標のカスケード(展開)により推進される。すなわち、ハイレベルのIT関連の達成目標により、異なるイネーブラーが達成すべきことが定義される。 COBIT 5のフレームワークにより7つのカテゴリー で記述されている。
4. 包括的アプローチの実現(続き) 原則4.包括的アプローチの実現 COBIT 5の事業体のイネーブラー 2. プロセス 3. 組織構造 4. 文化、倫理および行動 1. 原則、ポリシーおよびフレームワーク 5. 情報 6. サービス、インフラストラクチャおよびアプリケーション 7. 人材、スキル および遂行能力 資源 Source: COBIT® 5, figure 12. © 2012 ISACA® All rights reserved. 出典: COBIT® 5 日本語版, 図表12. © 2012 ISACA® All rights reserved.
4. 包括的アプローチの実現(続き) 原則4 .包括的アプローチの実現 原則、ポリシーおよびフレームワーク—要求される行動を日々のマネジメントの実践的なガイダンスに変換する手段である。 プロセス—文書化され組織化された、確かな目標を達成しIT関連目標をサポートするアウトプットの集合を生み出すための実践とアクティビティの組織化された集合を記述する。 組織構造—組織において重要な意思決定を行うための重要なエンティティである。 文化、倫理および行動—各個人のものであり、組織のものである。非常に多くの場合、ガバナンスとマネジメントのアクティビティの成功要因として過小評価されている。 情報—いかなる組織でも全体に深く浸透しているものである。すなわち、その事業体で生み出され使用されている全情報が取り扱われる。情報はその組織の運営を維持し、うまくガバナンスされるために必要とされるが、運用レベルでは、非常に多くの場合、情報が事業体そのものの重要生産物である。 サービス、インフラストラクチャおよびアプリケーション—情報技術処理とサービスを事業体に提供するインフラストラクチャ、技術およびアプリケーションが含まれる。 人、スキルおよび遂行能力—人とリンクし、全てのアクティビティがうまく完了し、正しい意思決定を行い、是正措置を行うために必要とされる。
4. 包括的アプローチの実現(続き) 原則4.包括的アプローチの実現 相互接続されたイネーブラーによる、体系的なガバナンスとマネジメント—事業体の主目標を達成するためには、常に相互接続されたイネーブラーの集合を考慮しなければならない。すなわち、各イネーブラーは、 十分に効果的であるために他のイネーブラーからのインプットが必要である。例えば、プロセスは情報が必要であり、組織構造はスキルと行動が必要である。 他のイネーブラーへ効果をもたらすアウトプットを提供する。例えば、プロセスは情報を提供し、スキルと行動はプロセスを効率化する。 これは「情報セキュリティのためのビジネスモデル(BMIS) 」に関するISACAの開発作業から明らかになった重要な原則である。
4. 包括的アプローチの実現(続き) 原則4.包括的アプローチの実現 COBIT 5のイネーブラーの特質 全てのイネーブラーは一連の共通する特質を備えている。この一連の特質は、 イネーブラーを扱うための、共通で、シンプルで構造化された方法を示す。 組織体エンティティが複雑な相互作用を管理することを可能とする。 イネーブラーの成果達成を促す。 ステークホルダーのニーズに対応しているか? 達成目標の達成度に関する測定指標 (遅行指標) ステークホルダー 内部のステークホルダー 外部のステークホルダー 実践手法の運用に関する測定指標 (先行指標) イネーブラーの達成目標が達成されているか? ライフサイクルが管理されているか? 優れた実践手法が適用されているか? 達成目標 本質的な品質 状況に応じた品質(適切性、有効性) アクセスビリティとセキュリティ パフォーマンスの管理 イネーブラーの ライフサイクル 計画 設計 構築/調達/作成/ 導入 使用/運用 評価/モニター 更新/廃棄 優れた実践手法 実践手法 作業成果物 (インプット/アウトプット) イネーブラーの特質 出典: COBIT® 5 日本語版, 図表13.© 2012 ISACA® All rights reserved.
5. ガバナンスとマネジメントの分離 原則5. ガバナンスとマネジメントの分離 COBIT 5のフレームワークではガバナンスとマネジメントの間に明確な区別を行っている。 この2つの分野は、 異なるタイプのアクティビティを包含する 異なる組織構造を必要とする 異なる目的を持つ ガバナンス—ほとんどの事業体において、ガバナンスは取締役会の責任であり、その取締役会議長のリーダーシップのもとにある。 マネジメント—ほとんどの事業体において、マネジメントは経営幹部の責任であり、最高経営責任者(CEO)のリーダーシップのもとにある。
5. ガバナンスとマネジメントの分離(続き) 原則5.ガバナンスとマネジメントの分離 ガバナンスとは、バランスが取れ合意された達成すべき事業体の目標を決定するために、ステークホルダーのニーズや、条件、選択肢を評価し、優先順位の設定と意思決定によって方向性を定め、合意した方向性と目標に沿って成果や準拠性をモニターすることを確実にする。(EDM) マネジメントとは、事業体の目標の達成に向けてガバナンス主体が定めた方向性と整合するようにアクティビティを計画、構築、実行し、モニターすることである。(PBRM)
出典: COBIT® 5 日本語版, 図表15. © 2012 ISACA® All rights reserved. 5. ガバナンスとマネジメントの分離(続き) 原則5.ガバナンスと マネジメントの分離 COBIT 5 は規範ではないが、組織がガバナンスとマネジメントのプロセスを導入し、主要な分野をカバーすることを推奨するものである。 ガバナンス マネジメント 計画 (APO) 評価 構築 (BAI) 実行 (DSS) モニター (MEA) 方向付け マネジメントフィードバック ビジネスニーズ 出典: COBIT® 5 日本語版, 図表15. © 2012 ISACA® All rights reserved.
5. ガバナンスとマネジメントの分離(続き) 原則5.マネジメントとガバナンスの分離 COBIT 5のフレームワークではイネーブラーの7つのカテゴリー(原則4)が記述されている。プロセスは一つのカテゴリーである。 必要とされるガバナンスとマネジメント目標がすべてカバーされる限り、事業体はそのプロセスが自組織に合うように組み立てることができる。同じ目標をすべてカバーするために、より小さな事業体は、より少ないプロセスとなるであろうし、より大きな、より複雑な事業体は多くのプロセスを実現することになるであろう。 COBIT 5には、詳細に多くのガバナンスとマネジメントのプロセスが定義され、記述されたプロセス参照モデル(PRM) が含まれている。この具体的なイネーブラーのモデルの詳細はCOBIT 5: Enabling Processの資料に収められている。
COBIT 5: Enabling Processes
COBIT 5: Enabling Processes COBIT 5: Enabling Processesは、COBIT 5を補完し、COBIT 5プロセス参照モデルに定義されているプロセスに関する詳細な参照ガイドである。 第2章では、COBIT 5 の達成目標のカスケード(展開)について要約され、事業体の達成目標とITに関連する達成目標に対する、ひと揃いの指標例で補完されている。 第3章では、COBIT 5 のプロセスモデルが説明され、その構成要素が定義されている。 第4章では、このプロセス参照モデルが図解されている。 第5章では、 プロセス参照モデルにおけるCOBIT 5 の全37プロセスについての詳細プロセス情報が記述されている。
COBIT 5: Enabling Processes (続き) ステークホルダーのニーズに対応しているか? 達成目標の達成度に関する測定指標 (遅行指標) ステークホルダー 内部のステークホルダー 外部のステークホルダー 実践手法の適用に関する測定指標 (先行指標) イネーブラーの達成目標が達成されているか? ライフサイクルが管理されているか? 優れた実践手法が適用されているか? パフォーマンス管理 イネーブラーの 目的 本質的な品質 状況に応じた品質(適切性、有効性) アクセシビリティとセキュリティ ライフサイクル 計画 設計 構築/調達/作成/導入 使用/運用 評価/モニター 更新/廃棄 優れた実践手法 プロセスの手法、アクティビティ、詳細なアクティビティ 作業成果物 (インプット/アウトプット) イネーブラーの特質 プロセスのための 一般的な実践手法 出典: COBIT® 5 日本語版, 図表29.© 2012 ISACA® All rights reserved.
COBIT 5: Enabling Processes (続き) 評価、方向付けおよびモニタリング EDM01 ガバナンスフレームワークの設定と維持の確保 EDM02 効果提供の確保 EDM03 リスク最適化の確保 EDM04 資源最適化の確保 EDM01 ステークホルダーからみた透明性の確保 整合、計画および組織化 構築、調達および導入 提供、サービスおよびサポート モニタリング、評価およびアセスメント APO01 ITマネジメント フレームワークの管理 APO02 戦略管理 APO03 エンタープライズアーキテクチャ管理 APO04 イノベーション管理 APO05 ポートフォリオ管理 APO06 予算とコストの管理 APO07 人的資源の管理 APO08 関係管理 APO09 サービス契約の管理 APO10 サプライヤーの管理 APO11 品質管理 APO12 リスク 管理 APO13 セキュリティ管理 BAI01 プログラムと プロジェクトの BAI02 要件定義の BAI03 ソリューションの特定と構築の BAI04 可用性とキャパシティの管理 BAI05 組織の変革実現の管理 BAI06 変更管理 BAI07 変更受入と 移行の管理 BAI08 知識管理 BAI09 資産管理 BAI10 構成管理 DSS01 オペレーション管理 DSS02 サービス要求と インシデントの DSS03 問題管理 DSS04 継続性 DSS05 セキュリティ サービスの管理 DSS06 ビジネスプロセスコントロール の管理 MEA01 成果と整合性の モニタリング、評価 およびアセスメント MEA02 内部統制システムのモニタリング、評価およびアセスメント MEA03 外部要件への 準拠性の 事業体のITマネジメントのためのプロセス 出典: COBIT® 5 日本語版, 図表16. © 2012 ISACA® All rights reserved.
COBIT 5: Enabling Processes (続き) COBIT 5 プロセス参照モデルは、事業体におけるIT関連の実践とアクティビティを2つの主要領域に分割する。ガバナンスとマネジメントである。マネジメントは複数プロセスのドメインにさらに分割される。 ガバナンスドメインは5つのガバナンスプロセスで構成される。各プロセスの中に、評価、方向付け、モニタリング(EDM)の実践が定義されている。 4つのマネジメントドメインは、計画、構築、実行およびモニター(PBRM)の責任領域に対応している。
COBIT 5 Implementation
COBIT 5 Implementation 事業体のITガバナンス(GEIT)の改善は、事業体のガバナンスの必須の部分であると、トップマネジメントに広く認識されている。 情報と広く普及した情報技術は、ビジネスと社会生活の全ての局面でますます拡大している要素である。 IT投資からより多くの価値を生み出すことと、増大する多数のIT関連リスクをマネジメントする必要性は、これまでになく大きなものとなっている。 情報をビジネスで利用することにかかわる規制と法律の増大にもより、うまくガバナンスされマネジメントされたIT環境の重要性についての認識を高めることを余儀なくさせている。
COBIT 5 Implementation (続き) ISACAは、事業体が健全なガバナンスを可能とするものを導入することを支援するために、 COBIT 5フレームワークを開発した。事実、効果的なガバナンスフレームワークを使用せずに、良いGEITを導入することはほとんど不可能である。COBIT 5を補強するために、ベストプラクティスと標準も利用可能である。 しかしながら、フレームワーク、ベストプラクティス、および標準は、それらが効果的に選択され、適応された時に限って、役に立つものである。GEITを成功裏に導入するためには、乗り越える必要のあるチャレンジと取り組む必要のある課題が存在する。 COBIT 5 Implementationでは、これらをどのようにするのかについてのガイダンスが提供されている。
COBIT 5 Implementation (続き) 事業体内におけるGEITの位置付け GEIT の改善に向けての第一歩を踏み出すこと 改善への挑戦と成功要因 GEITに関連する組織および行動の変革の実現 変革実現とプログラム管理が含まれる継続的改善の導入 COBIT 5 とその構成要素の利用
COBIT 5 Implementation (続き) Source: COBIT® 5日本語版 図表17. © 2012 ISACA® All rights reserved.
COBIT 5 今後登場するプロダクト
COBIT 5 プロダクトファミリー COBIT 5 プロダクトファミリー COBIT® 5 COBIT® 5: Enabling Processes COBIT® 5: Enabling Information その他のイネーブラー ガイド COBIT 5プロフェッショナルガイド COBIT® 5 Implementation COBIT® 5 for Information Security COBIT® 5 for Assurance COBIT® 5 for Risk その他の プロフェッショナル ガイド COBIT 5 オンライン コラボレーション環境 出典: COBIT® 5 日本語版, 図表11.© 2012 ISACA® All rights reserved.
COBIT 5 今後の支援プロダクト 今後登場する支援プロダクト プロフェッショナルガイド イネーブラーガイド COBIT オンラインの後継 COBIT 5 for Information Security COBIT 5 for Assurance COBIT 5 for Risk イネーブラーガイド COBIT 5: Enabling Information COBIT オンラインの後継 COBIT アセスメントプログラム Process Assessment Model (PAM): Using COBIT 5 Assessor Guide: Using COBIT 5 Self-assessment Guide: Using COBIT 5 (脚注)2013年11月現在、上記プロダクトはすべてリリース済みである。