「COBIT5ガバナンス応用」コース 「テキスト」 1 ISM-Research Co.LTD All Rights Reserved コースの目標 『COBIT5による最新のグローバルスタンダード のITガバナンスの考え方と導入ライフサイクル の活用知識を修得する。』 ◆COBIT5の基本原則とITガバナンスの基本要素を理解する。 ◆GEIT(governance of enterprise IT)の構築手法を習得する。 ◆国際標準にもとづくITガバナンスのプロセス成熟度管理を理解する。 ◆GEITによる投資対効果のフレームを理解する。 2 ISM-Research Co.LTD All Rights Reserved カリキュラム構成と単元テーマ 章と目的 単元 研修項目 第1章 ITガバナンスに向けたCOBIT5構成要件 1.COBIT5の鳥瞰 目的:COBIT5の全体像を把握する。 2.事業体全体の包含 目的:COBIT5の原則2の意味を理解する 目的: COBIT5の原則を もとにITガバナンスの 考え方と構成要件を 理解する 3.一つに統合されたフレームワークの適用 目的:COBIT5の原則3の意味を理解する 4.ステークホルダーのニーズを充足 目的:COBIT5の原則1の意味を理解する 5.包括的アプローチの実現 目的:COBIT5の原則4の意味を理解する (1)ITガバナンスの概念 (2)COBIT5の原則と全体構造 (1)事業体のガバナンス統合とは (2)事業体のガバナンスの定義要素 (1)一つに統合されたフレームワークの適用とは (2)統合された各標準の概要 (1)COBIT5達成目標のカスケードとは (2)達成目標カスケードの参照資料 (1)包括的アプローチの実現とは (2)イネーブラーの定義要素 (1)ガバナンスとマネジメントの分離とは (2)プロセス参照モデル 6.ガバナンスとマネジメントの分離 目的:COBIT5の原則5の意味を理解する (3)プロセス参照モデルの定義構造 (4)プロセス参照モデルの記述要領 (5)プロセス参照モデルの記述例 Copyright ISM-research Co.ltd. 3 カリキュラム構成と単元テーマ 章と目的 単元 研修項目 第2章 事業体のITガバナンス導入 1.事業体のITガバナンス導入のしくみ 目的:COBIT5を用いたGEIT導入 の概念を理解する (1)事業体のITガバナンス導入手法 (2)COBIT5 Inplementationの位置づけ (1)導入ライフサイクル構造 目的: COBIT5の導入ライフ サイクルに従って事業体 のITガバナンス導入ステ ップを理解する Copyright ISM-research Co.ltd. 4 2.GEIT導入ライフサイクル 目的:GEIT導入手順と作業内容を 理解する (2)導入ライフサイクルの導入手順 (3)3つのコンポネントのタスク定義 (4)導入ライフサイクル定義の記述事項 CASE1 3. GEIT導入ライフサイクル の定義事例(2例) 目的:GEIT導入事例を COBIT5から引用し、 重要2フェーズで イメージを具体化する (1)「フェーズ1の役割と責任」の例 (2)「フェーズ1の目標、内容、タスク」の例 フェーズ -1 (3)「フェーズ1のRACIチャート」の例 CASE2 (1)「フェーズ4の役割と責任」の例 フェーズ -4 (2)「フェーズ4の目標、内容、タスク」の例 (3)「フェーズ4のRACIチャート」の例 カリキュラム構成と単元テーマ 章と目的 単元 研修項目 第3章 ITガバナンス活動の成熟度管理 目的: COBIT5採用のISO/IEC 15504に基づいた ITガバナンス活動の 成熟度を理解する 1.成熟度アセスメントモデル 目的:ITガバナンス活動の分野と ITガバナンスのプロセス成熟度 の考え方を理解する (2)SPAアセスメント 2.COBIT5プロセス能力アセスメント (1)プロセス能力アセスメントモデル モデル 目的:COBIT5のプロセス能力アセス メントモデルの定義を理解する (1)ITガバナンスの領域 (2)演習:能力アセスメント演習 第4章 ITガバナンスの投資対効果分析 目的: 事業戦略にもとづいた ITガバナンスの目標展開 と投資対効果基準作りを 理解する 1.IT戦略の目標設定 目的:IT戦略目標への絞り込みと ITガバナンス分野と目標定義 (1) IT戦略目標への絞り込みと定義 (2)IT戦略目標のKPI化 (1)投資対効果の基準 2.投資対効果の定量的把握 目的:事業戦略目標に対する財務的 な投資対効果の算定基準を 理解する (2)投資量と効果の把握 (3)演習:投資対効果算定 理解度テスト Copyright ISM-research Co.ltd. 5 第1章 ITガバナンスに向けたCOBIT5構成要件 章の概要 1.COBIT5の鳥瞰 2.事業体全体の包含(原則2) 3.一つに統合されたフレームワークの適用(原則3) 4.ステークホルダーのニーズを充足(原則1) 5.包括的アプローチの実現(原則4) 6.ガバナンスとマネジメントの分離(原則5) 6 ISM-Research Co.LTD All Rights Reserved 1.1 COBIT5の鳥瞰 1.1.1 ITガバナンスの概念 1.1.2 COBIT5の原則と全体構造 出典: A Business Framework for the Governance and Management of Enterprise IT 発表:2012年4月 in ISACA(2013年2月から翻訳版 (以降、「出典:COBIT5 Framework」と表示する) 7 ISM-Research Co.LTD All Rights Reserved 1.1.1 ITガバナンスの概念 ◆COBITによるITガバナンスの進化 内部統制の IT[ガバナンス 企業体のITガバナンス ITガバナンスに係 るすべての標準を 取り込む ITガバナンス Val IT2.0 (2008) マネジメント ITによる会計監査 コントロール Risk IT2.0 (2009) 監査 COBIT1 1996 COBIT2 COBIT3 1998 2000 COBIT4.0/4.1 2005/6 COBIT5 2012 出典:ISACA ポイント:COBIT5はITガバナンスを企業体(事業体)のIT ガバナンスに統合し拡張した。 8 Copyrights ISM-Research CO.LTD 1.1.1 ITガバナンスの概念 ◆COBITによるITガバナンスの定義 COBIT5のITガバナンス定義 事業体のITガバナンスとは、 「効果の実現と、リスクレベルやリソース活用の最適化とのバランスを保つことによって、 事業体が IT から最適な価値を生み出すこと。」 COBIT5フレームワーク特性 ◆COBIT 5 は、IT ガバナンスと IT マネジメントに関わる目標を事業体が達成できるよう支援 する包括的なフレームワークを提供する。 ◆ COBIT 5のフレームワーク は、5つの原則 にもとづいて要件を整理する。 出典:COBIT5 Framework ポイント:COBIT5は事業体の目標が達成できることを目的としたITガバナンスのフレームワークとして設計された。 9 Copyrights ISM-Research CO.LTD 1.1.2 COBIT5の原則と全体構造 ◆COBIT5の原則 1.ステークホルダー のニーズを充足 5.ガバナンスと マネジメントの 分離 ガバナンスとマネジメントの間に 明確な区別を設けている。 4.包括的 アプローチの実現 事業体の IT ガバナンスと IT マネジメントを 効率的かつ効果的なものとするために 7 つのカテゴリーのイネーブラーの定義例を提供 IT を使った事業価値の創出をサポート するために、達成目標のカスケード(展 開)と必要なすべてのプロセスと、その 他の イネーブラーサンプルを提供 2.事業体全体の 包含 COBIT5の 原則 ITガバナンスを事業体のガバナンスに統合 に統合し、ガバナンスの要件と関係性を定義 3.一つに統合 されたフレームワーク の適用 他の関連する標準やフレームワークと 高レベルで整合をとっているため、 事業体の IT ガバナンスと IT マネジメントに関わる 包括的なフレームワーク 出典:COBIT5 Framework ポイント:事業のITガバナンスに向けて、5つの原則によって体系化した。 10 Copyrights ISM-Research CO.LTD ★ 1.1.2 COBIT5の原則と全体構造 ◆COBIT5のITガバナンスの構造 事業目標 ガバナンス目標 IT資源 情報要請規準 からITBSC に改訂 事業体の達成目標 IT達成目標 IT BSC の視点 経営戦略(策定 )フェーズ COBIT5 プロセス能力モデル ガバナンス(EDM) ①評価 ②方向づけ および ③モニタリング マネジメント ①整合、計画及び組織化(APO) ②構築、調達及び導入(BAI) ③提供、サービスおよび サポート(DSS) ④モニタリング、評価および アセスメント(MEA) ITガバナンス・ITマネジメント領域 プ ロ セ ス 達 成 目 標 ( シ ス テ ム KPI) 統治プロセス 5.情報 6.サービス、 インフラストラクチャ および アプリケーション 7.人材、スキル および遂行能力 1.原則、ポリシー およびフレームワーク 2.プロセス 3.組織構造 4.文化、倫理 および行動 IT ・財務 ・顧客 ・内部 ・学習 ・財務 ・顧客 ・内部 ・学習 事業体リソース 事業体直接的影響 先 行 指 標 、 遅 行 指 標 ( KPI) BSC の視点 イネーブラー 注:ITシステムとは、コンピュータを用いて、 (ITによる)情報を高度に取り扱うため、(システムに)構築された仕組みである。 ポイント:COBIT5は事業体目標へのITガバナンスを体系的に整理した。 Copyrights ISM-Research CO.LTD 11 1.1 COBIT5の鳥瞰のまとめ 1.COBIT5のITガバナンスは、「効果の実現と、リスクレベルやリソース活用の最適化 とのバランスを保つことによって、事業体が IT から 最適な価値を生み出す ことを支援するものである。」と定義した。 2.COBIT5は事業体の目標が達成できることを目的としたITガバナンスの フレームワークとして設計された。 3.事業のITガバナンスに向けて、5つの原則によって体系化した。 12 ISM-Research Co.LTD All Rights Reserved 1.2 事業体全体の包含(原則2) 1.2.1 事業体のガバナンス統合とは 1.2.2 事業体のガバナンスの定義要素 13 ISM-Research Co.LTD All Rights Reserved 1.2.1 事業体のガバナンス統合とは 原則2 ◆「原則2:事業体全体の包含」の定義 ◆COBIT 5 は、事業体全体にわたる包括的な視点で、情報とそれに関わる技術のガバナンスおよび マネジメントを扱う。 すなわち、COBIT 5 は以下の特徴を持つ。 ① 事業体の IT ガバナンスを事業体のガバナンスに統合する。 すなわち、COBIT 5 が提案する事業体の IT ガバナンスシステムは、いかなるガバナンスシステムにもシームレス に統合される。 ② 事業体の情報を処理する上で、その情報と関連技術を統制し、管理するために必要となる、すべての機能とプロセスを カバーしている。このように事業体の活動領域を広くとらえ、COBIT 5 では、事業体の内部および外部のビジネスプロセス と同様に、関連するすべての内部と外部の IT サービスを扱う。 ◆COBIT 5 は、事業体の IT ガバナンスと IT マネジメントに関して、多くのイネーブラーに基づいた全体的 かつ包括的な見方を提供する。イネーブラーは、事業体の全体に関わるものである。 すなわち、事業体の情報と IT のガバナンスおよびマネジメントに関わる、組織内および組織外のあらゆるものと 人を含むまた、IT 部門と IT 以外の部門の両方の活動や責任を含む。 出典:COBIT5 Framework ポイント:事業体の機能とプロセスに関わるすべての情報およびその関連技術を含めた統合ITガバナンス。 14 Copyrights ISM-Research CO.LTD 1.2.1 事業体のガバナンス統合とは 原則2 ◆事業体のガバナンス統合 「IT 機能」のみに焦点を合わせるのではなく事業体の IT ガバナンスを、事業体のガバナンスに統合 ◆事業体ガバナンスのガバナンス目標(価値創出) *効果の実現 ̶ IT が実現する価値は、事業が重点を置く価値と直接的に連携していなければならず、事業体の 価値創造プロセスにおけるIT 対応投資の影響と貢献が明確に示される方法で測定されなければならない。 ⇒事業価値と直結する重要性 *リスクの最適化 ̶ リスク管理は価値の保全に注目している。IT 関連リスクの管理は事業体がIT に確実に注目 するように事業体のリスク管理アプローチに統合されなければならず、管理状況は価値の保全におけるIT 関連 事業リスクの最適化の影響と貢献が明確に示される方法で測定されなければならない。 ⇒ERMの観点をもつ *資源の最適化 ̶ 戦略計画を実行するために適切な能力を備えること、および十分かつ適切で有効な資源を提 供することの確保。資源の最適化は、統合された経済的なITインフラストラクチャが提供され、ビジネスが必要 とする新技術が導入され、旧式のシステムが更新または交換されることを確保する。 ⇒最適なIT資源(イネーブラー)の確保 注:ERMとはEnterprise Risk Managementの略称 出典:COBIT5 Framework ポイント:事業体へのガバナンス統合とはIT部門とIT 以外の部門の両方に責任を持つことになる。 15 Copyrights ISM-Research CO.LTD 原則2 1.2.1 事業体のガバナンス統合とは ◆ERMにおけるリスク統合と視点 事業戦略を阻害するリスクを識別 リスクから生じる結 果を明らかにしたい リ ス ク 分 類 軸 リ ス ク 分 類 の 例 発生経営リスク 内 部 リ ス ク 外 部 リ ス ク 戦略リスク 発生要因別にリスク を管理したい 発生要因 リスクが潜在する企業 活動を明らかにしたい バリューチェーン 政治・経済 経営企画 社会 業務リスク 自然環境 経営環境 リスク 災害 災害リスク ・・・・ 注:ERMとはEnterprise Risk Managementの略称 ・・・ 総務 購 買 生 物 産 流 ・ ・ ・ 法務 製造 ・・・・ 出典:「ERMで経営を変える」 あずさ監査法人 日経BP ポイント:リスクガバナンスはERMの観点でのITガバナンスが必要になる。 Copyrights ISM-Research CO.LTD 対応部門 経営者 財務リスク 法務リスク 各リスクの対応部門 を明確にしたい 16 原則2 1.2.2 事業体のガバナンスの定義要素 ガバナンス目標:価値創出 効果の実現 リスクの最適化 資源最適化 ガバナンスイネーブラー ガバナンススコープ ガバナンスを実現するための組織的 なリソースであり、フレームワーク、 原則、構造、プロセス、実践手法と いったものを含む。 事業体リソースであるサービス能力 (ITインフャストラクチャ、アプリケーション等) 、人材、情報も含む。 ガバナンス イ ネーブラー ガバナンス スコープ ガバナンスは事業体の全体、 一要素(エンティティ)、有形無形の 資産などに適用できる。 ガバナンスシステムのスコープを 適切に定義することが必要である。 役割、アクティビティ、関係性 役割、アクティビティ、関係性 これらは、ガバナンスシステムのスコープ内で、誰がどのようにガバナンスに関係し、 何を行い、どう連携するかといったことを定義する。(RACIチャートなど) 出典:COBIT5 Framework ポイント:事業体のガバナンス目標を達成するには、 「ガバナンススコープ」、 「ガバナンスイネーブラー」、 「役割、アクティビティ、関係性」を明確にする必要がある。 17 Copyrights ISM-Research CO.LTD
© Copyright 2024 Paperzz
