• Bookmark

COBIT 5 を使用した電子商取引のためのガバナンスと管理体制の確立

著作: Chidi Henry Emeribe、CISA、COBIT 5 Foundation

ナイジェリア連邦共和国のラゴス市に本社を置き自社ブランドの靴を販売しているある会社は、ラゴス地域のアウトレットショップを通じて商品を流通していました。事業拡大のためアウトレット利用による流通エリアを広げ、またナイジェリア市場で強い競争力を示すために同社はそのニーズを満たす選択としてインターネットの導入を決定しました。


インターネット・プラットフォームを採用するにあたり、取締役会と経営陣はその「夢」を実現するために社外のコンサルタントに相談し以下の事項が委託されました。:

  • 自社ブランドの靴を販売する電子店舗としてのウェブサイトを構築すること
  • インターネットビジネスに伴う新たなリスク要因の管理を確認するために、電子商取引プラットフォームのガバナンスと管理構造を確立しまた、管理すること。更に、そのプラットフォームが最適なコストで維持できることを保証すること
  • プロジェクト期間が延長した場合も含めて本ビジネスの技術担当として長期にわたるサポートを提供すること。

ウェブサイトの主要機能:

  • 製品(ブランドシューズ)を紹介する店舗
  • 製品ショーケースのブラウジング。ブランドの選択、靴のカート投入、クレジット/デビットカードでの支払い
  • 取引開始前の、Webサイト上で収集されたユーザ情報に基づくアカウント登録の要請
  • PCI-DSSに準拠し、信頼できる国のサードパーティのプロバイダを介した支払処理
  • 電子商取引エンジン:
    • 在庫管理
    • 製品管理
    • 発注管理
    • 出荷

言いかえれば実店舗での商品提示や購買とは別に、ウェブサイトでも普段、小規模な小売店や卸店で見られる全ての機能が提供されるのです。


Webサイトプロジェクトの予算は限定されています。そのため会社は、コンサルタントが過去10年間の係わりを持ち信頼できるベンダートとともに共有ホスティングプラットフォームを採用しました。 DrupalのUbercartが電子商取引のエンジン、またDrupalのオープンソースソフトウェア(OSS)がWeb開発プラットフォームとして選ばれました。これらのプラットフォームは、故障や悪意のある攻撃のリスクを予防できるなど合理的保証が提供され且つコスト面からも最適でした。


この小規模電子商取引サイトに内包されたプロセスの重要性は、コンサルタントに多数の課題をもたらしました。


主要な課題:

  • ウェブサイト上で行われる全トランザクションの機密性、完全性、可用性の確保
  • ウェブサイトに保存され個人を特定できる全ての情報(PII)のプライバシーの確保
  • ウェブサイトのダウンの回避
  • 重要プロセスがサードパーティであるサービスプロバイダのコントロール下にあることを考慮した彼らの管理。

効果的にこれらの課題(リスクファクター)を管理しながら、コストを最適化し、利害関係者への利益を熟考した上で、コンサルタントはCOBIT 5フレームワークをガイダンスとして利用することにしました。


COBIT 5 の達成目標カスケードを利用して課題を管理する

COBIT 5 には、固有のIT関連ゴールに強くサポートされる企業固有のゴールとともに多くの企業またはプロジェクトの利害関係者間のニーズを結びつけるために用いられる目標カスケードがあります。これらのIT関連の目標は、全体的な目標や利害関係者の要求を達成するために、さらなる目標が取り込まれています。1


このプロジェクトの利害関係者として、会社のニーズは最適なリソースを使用して電子商取引のウェブサイトを管理し利益を生むこととネット上でサイトのホスティングに関するすべてのリスクが管理されていることです。


これらのニーズはCOBIT 5企業目標カスケードの以下の企業目標と調整されたものです:2

  1. ビジネスリスク管理
  2. ビジネスサービスの継続性と可用性
  3. サービスコストの最適化

これらの企業目標は、次のIT関連目標によりサポートされています:3

  1. IT関連ビジネスリスクの管理
  2. ITのコスト、効果及びリスクの透明性
  3. 情報、処理インフラストラクチャ及びアプリケーションのセキュリティ
  4. IT資産、リソース及び能力の最適化
  5. 意思決定のための信頼できる有用な情報の可用性
  6. 有能で意欲のある業務担当者とIT担当者

IT関連の目標はCOBIT 5イネーブラーの下記のプロセスにマッピングされました:4

  1. EDM02 効果提供の保証
  2. EDM03 リスク最適化の保証
  3. EDM04 資源最適化の保証
  4. EDM05 ステークホルダーからみた透明性の保証
  5. APO01 ITマネジメントフレームワークの管理
  6. APO03 エンタープライズアーキテクチャ管理
  7. APO04 イノベーション管理
  8. APO06 予算とコストの管理
  9. APO07 人的資源の管理
  10. APO09 サービスアグリーメントの管理
  11. APO12 リスク管理
  12. APO13 セキュリティ管理
  13. BAI01 プログラムとプロジェクトの管理
  14. BAI04 可用性とキャパシティの管理
  15. BAI06 変更管理
  16. BAI09 資産管理
  17. BAI10 構成管理
  18. DSS01 オペレーション管理
  19. DSS02 サービス要求とインシデントの管理
  20. DSS03 問題管理
  21. DSS04 継続性管理
  22. DSS05 セキュリティサービスの管理
  23. DSS06 ビジネス·プロセス·コントロールの管理
  24. MEA01 成果と適合性のモニタリング、評価およびアセスメント
  25. MEA02 内部統制のシステムのモニタリング、評価およびアセスメント
  26. MEA03 外部要件への準拠性のモニタリング、評価およびアセスメント

このマッピングにより、コンサルタントのプロジェクトがガバナンスと管理構造を有していることを保証するために求められたプロセスの構造図が可視化されました。


プロセスを堅牢にすることに力点が置かれたため、イネーブラ・ディメンションとイネーブラ・パフォーマンス管理が必要とされました。


上記のプロセスは、他のイネーブラと共に検討される必要があります:

  1. 原則、ポリシーおよびフレームワーク
  2. 組織の構造
  3. 文化、倫理および個人の行動
  4. 情報
  5. サービス、インフラストラクチャおよびアプリケーション
  6. 人材、スキルおよび遂行能力

またCOBIT 5イネーブラ・ディメンションとそのパフォーマンス管理に焦点を当てることが求められました。


これらにより、コンサルタントが電子商取引サイトに対する利害関係者のニーズに応えるべく最適なリソースの利用とプラットフォームの選択に関連するすべてのリスク対処を保証するためのガバナンスとマネジメントの構造を有していることがより確実になりました。


導入

COBIT 5 の導入にはいくつかの課題がありました:

  • どこからスタートするか最初に何を導入するか?
  • コンサルタント固有の、または要求される独特の環境に対するCOBIT 5ガイダンスの用語の調整
  • 小規模グループ内で責任を分担するための、COBIT 5の「責任、説明責任、相談および情報(RACI)チャート」の要約と共有
  • 多くのプロセスが重複して同様のIT関連の目標を有すること

以下は、導入の際の障害を克服するために実際に行われたものです

  • コンサルタントは、短期間で目標を達成できるプロセスとイネーブラーから導入し、その後より複雑なシナリオに移るという段階的なアプローチを取りました。優先順位は電子商取引プロジェクトの機密性、可用性、および完全性に寄与するガイダンスに従って設定されました。
  • コンサルタントは、COBIT 5の用語を会社が理解できるものに変換し、会社固有の目標関連用語として適用しました。
  • RACIチャートを使ってプロセスの目標達成のための組織の役割を可視化しました。これらは、コンサルティングの中で既存の役割とともにマッピングするため縮小され、また重複する箇所もありましたが、コンサルティングを通してプロセスのオーナーシップを根付かせるのに役立ちました。
  • IT関連目標が複数のプロセス目標にマッピングされた時は、どれが優先的に導入され電子商取引プロジェクトの目的として留意されるべきかの選択判断にプロセス目的ステートメントとアクティビティ記述書を用いました。

以下のものが COBIT 5 Implementationを利用する効果として最初に挙げられました。:

  • コンサルタントがカスタマイズしたRACIチャートによって会社全体にプロセスオーナーシップを浸透させることができました。
  • 目標達成のために、コンサルタントによりCOBIT 5プロセス活動のステップ•バイ•ステップのガイダンスが採用されそれが「To-Do」リストとして開発されました。
  • プロセスの目標と指標は、目標達成に必要なものに関する卓越した洞察力を提供しました。
  • 実務的な入力/出力(I / O)が、ガバナンスと管理目標を達成するためのツールへのリソースガイダンスとして豊富な情報を提供しました。

導入後フェイズでは、当初認識されていたガバナンス構造の導入により得られる効果が実現したこと以外にそれが電子商取引プロジェクトだけではなく全社の事業の日常的な処理を維持管理するためにコンサルタントの手助けになることも確認できました。


トリガイベント

電子商取引のウェブサイトプロジェクトは会社にとって大きなチャレンジであり同時にの会社のオペレーションに新たなリスクをもたらすものであり、故にコンサルタントに対してはそのプロセスのガバナンスと管理を受け入れるトリガ的なイベントとして作用しました。COBIT 5は、ガイダンスのフレームワークとして採用され、最終的には持続可能なガバナンスと管理構造が会社全体に確立されました。


組織の役割とプロセスのオーナーシップが強固に確立され、プロセスが生成且つ最適化され、当初の会社の目標であるビジネスリスクの管理、ビジネスサービスの継続性と可用性およびサービス提供コストの最適化などそのほとんどが達成されました。


Chidi Henry Emeribe, CISA, COBIT 5 Foundation

ナイジェリア連邦共和国をベースにしたITおよび環境コンサルタント会社「Greengate Consult Limited」のリードコンサルタント。IT業界で12年以上の経験を持ち、情報セキュリティ、監査、ガバナンスと保証を専門分野としている。情報システム•インフラストラクチャの導入、メンテナンス、サポートの分野でも幅広く活動している。また、ISとインフラのライフサイクル管理、監査、ITガバナンス、ITサービスの提供とサポート、情報資産の保護、クラウドコンピューティングおよびプロセス能力の評価の実務知識を豊富に備えている。


後注

1 ISACA, COBIT 5, 2012, p. 17
2 Ibid, app. D, p. 55
3 Ibid, app. B, p. 49
4 Ibid, app. C, p. 51

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.