• Bookmark

COBIT 5でITガバナンスを実施するためのヒント

By Zachy Olorunojowon, CISA, CGEIT, COBIT 5 Foundation, Implementation and Assessor, CSXF, PMP

COBIT Focus | 2018年9月4日 English

ビッグデータ、分析、情報の中抜き、セキュリティ、個人情報、法令遵守、それらの品質情報に基づく質の高い意思決定を促す必要性などの情報ガバナンスと情報管理に関する問題が、多くのGEIT(事業体ITガバナンス) 導入の取り組みの基礎をなしている。

しかし、事業体ITガバナンス導入の多くの取り組みは、COBITであっても事業体ITガバナンスの枠組みであっても、「I」(情報)は「T」(技術)よりも前に来るということを忘れて、情報よりも技術に焦点を当てる傾向がある。 事業体ITガバナンスの導入に対する情報の視点を取ることは、ステークホルダーの関心を増加させ、事業体ITガバナンス導入の取り組みが成功することを支援する。ここにいくつかのヒントがある。


情報要件を決定する

技術的な解決策や技術を深く探る前に、組織の情報ニーズ/要件の決定を終える。 COBIT 5 の第1原則である「ステークホルダーニーズに合致する」を適用すると、それは簡単に聞こえるが、非常に基礎的な事柄である。: 1

  • 情報の必要性、情報の重要性、および法律、規制、政策上の制約の追加に基づいて、情報を適切に管理し、統治する必要がある理由とその方法を理解する。
  • 事業体が必要な品質目標を満たしたときに、情報が事業体に利益をもたらす資産、または資源であるという認識を考慮すると、組織の異なったレベルでの情報品質目標の理解は重要である。

情報に従う

事業体ITガバナンスのプロフェッショナルとして、キャッチフレーズ「Follow the money」を適合するめに、組織のあらゆるレベル(運用、マネジメント、ガバナンス、業務執行管理レベル)で情報が使用されるため、組織全体の情報に従わなければならないことに留意する。情報リソースの依存性を分析し図示するカスケード目標を使用することは事業体の目標達成にどのように貢献するかを示す。ステークホルダーはこのような対応を好み、事業体ITガバナンス導入の取り組みを支持する。たとえば、人的資源(HR)、マーケティング、財務、ITなどの機能領域にわたる事業体のバリューチェーン目標を支援する情報フローの情報項目を示す(図1)。2 事業体ITガバナンスの導入の原動力に法的保持要件の遵守が含まれている組織は、組織全体で情報を末端まで見ることができる。


図1 – 事業体バリューチェーン目標を支援する情報フローの情報項目の例

出典:ISACA, COBIT 5: Enabling Information, 米国、2013.許可を得て転載。


ステークホルダーの役割を決定する

情報のライフサイクル全体を通してさまざまな役割と責任を特定するために、内部および外部のステークホルダーグループと広範に協議する(図2)。組織内に情報モデルが存在し、情報ライフサイクルのあらゆる段階でどのような役割を果たしているかを判断する。 COBITで提案されている役割の一部は次のとおりである:

  • 情報作成者
  • 情報消費者
  • 情報所有者
  • 情報取得者
  • 情報企画者
  • 情報ユーザー
  • 情報管理者

図2 - 顧客データ情報ステークホルダー

出典:ISACA、 COBIT 5: Enabling Information, 米国、2013.許可を得て転載。


カナダのブリティッシュコロンビアにある米国の銀行および組織で機能することが観察された1つのアプローチは、COBIT 5プロセス参照モデルに基づいて組織プロセスに所有者を割り当てることである。3 プロセス所有者は、コアプロセスの情報要件を決定することができる。


IT目標を推進する価値とその情報項目を特定する

価値を推進するために必要とされるIT目標(COBIT 5における一般的な17のIT関連目標に基づく4)の認識とそれを支援する情報項目は重要である。図3は、特定の(IT関連の)情報項目と、情報品質を評価するために使用できる潜在的な指標によって、各IT関連の目標をどのように支援できるかを示している。


図3 - IT関連の目標を支援する情報項目

出典:ISACA、 COBIT 5: Enabling Information, 米国、2013.許可を得て転載。


情報ニーズの観点からステークホルダーと計画を立て関与させることは、事業体ITガバナンス導入を成功させるための確実な基礎を提供する。


Zachy Olorunojowon, CISA, CGEIT, COBIT 5 Foundation, Implementation and Assessor, CSXF, PMP

システム開発、ネットワークおよびデータベース管理、事業体情報システムの導入、戦略計画およびプロジェクト管理、事業体ITのガバナンスおよび管理に15年以上の経験を持っている。現在、カナダのブリティッシュコロンビア州保健省プロジェクトディレクターを務めており、ナイジェリアの金融機関のIT担当責任者を務めている。COBIT 5認定インストラクターであり、ISACA研修週間ではナイジェリアでリスクITコースを、カナダでCOBIT 5コースを担当した。彼は北米においてCOBIT 5の実践研修を行った。以前、ISACAビクトリア支部会長(ブリティッシュコロンビア、カナダ) であり、2004年以来ISACA会員である。


脚注

1 ISACA, COBIT 5, USA, 2012
2 ISACA, COBIT 5: Enabling Information, USA, 2013
3 Ibid., p. 24
4 Op cit ISACA, COBIT 5, p. 19