• Bookmark

COBIT 5 は Al Rajhi 銀行におけるコンプライアンスと規制要求への適合を如何にサポートしたか

Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE, Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

COBIT Focus | 2015年8月10 日 アラブ語 | 英語 | フランス語 | ポルトガル語 | スペイン語

Al Rajhi 銀行は1957年に創立され、SR 2,88兆(US $768兆)の総資産、払込資産US$430兆を保有し、8,400名以上の従業員を持つ世界最大のイスラム系銀行のひとつである。銀行業務と各種商品取引に50年以上の経験を持ち、1978年にはAl Rajhiの名の下にある多数の独立した機関をAl Rajhiトレーディング&エクスチェンジ会社の傘下に統合した。1988年には、銀行部門がサウジ持株会社として創設された。


サウジアラビア王国のリアド市に設立されたAl Rajhi銀行は500以上の支店、100以上の女性向けの支店、4,030台以上のATM、商店に設置した36,000台のPOSターミナル、同国内のあらゆる銀行の主要顧客とのネットワークを持ち、更に130の送金センターを国内に持っている。


サウジアラビア中央銀行が制定した規制及びコンプライアンス要求を遵守するため、2014年には銀行内に新たにITガバナンス機能(体制)が設立された。 加えて、監査による発見事項はITリスク管理のフレームワークと内部統制の改善の必要性を示していた。同行は、ITのガバナンスと管理のためにITIL、プロジェクトマネジメントオフィス(PMO)、ISO/IEC 27001を含む複数のフレームワークと基準を活用していた。


フレームワークの選択

同行は、制定された規制に基づく多様なニーズ、特にコンプライアンスと監査要求に適合させるためには統合的モデルが必要であると認識した。併せて、ITパフォーマンスを適切に測定可能にするためにはリスク管理の共通用語をもたらす統合モデルの採用を認めることが不可欠であると考えた。そこで、このニーズへ適合させるにはCOBIT®が最適であると考え、参照することとした。そして、認識された全ての要求はCOBITプロセスと実践手法にマッピングすることができた。更に、COBITをより成功裡に導入するために必要とされる銀行内のステークホルダーのCOBIT関連知識は、COBIT5が持つ幅広いガイド、ツール、トレーニングを通じて改善された。


マネージメント層のサポート

シニアマネージメントのサポートを得るため、同行のペインポイント(痛点)と経営目的が明確にされた。ペインポイントにはITの管理、ガバナンスのために複数のフレームワークとガバナンス基準が使用されていることに加えて内部及び外部の監査機関からの監査不適合事項が含まれていた。


経営目的には、コンプライアンスと規制要求への適合、監査ギャップの解消、ITガバナンスのコーポレートガバナンスへの統合が含まれていた。


ペインポイントと経営目的は「達成目標のカスケード」メカニズムを利用してCOBIT の実践手法にマッピングされた (図1)。 COBITプロセスは同行のIT運営モデルにマッピングされた。


図1—COBIT 5 達成目標カスケード

原典: ISACA, COBIT 5 から適用, U.S.A 2012年


同行のマネージメント層は、COBIT 5 の7つのイネーブラーを利用しつつ持続性のあるITガバナンスとリスク管理のためのモデル構築に向けて包括的アプローチをとることの重要性を説明した。


図2—COBITイネーブラー

原典: ISACA, COBIT 5, U.S.A 2012 年


目標達成

3フェーズプロジェクト(図3)で定義されたガバナンスとコンプライアンス要求に適合させるためのロードマップ .


図3—ITガバナンスの構成要素

原典:Ibrahim Al-Rashid, Vaseem Nasiruddeen, Sreechith Radhakrishnan, の許可を得て掲載


同行は、既存プロセスの「強み」と「弱み」を認識するため COBIT 5 とISO15504に基づきプロセス能力アセスメントを実施した。また、最も改善を必要とするプロセスを優先付けするために、アセスメント結果に基づいたリスクアセスメントを実施した。 改善のための最重要プロセスをチームが判断、フォーカスしてコンプライアンス要求に優先順が付けられた後、短期、長期プロジェクトを含むプロセス改善のロードマップが開発された。


更なる前進

同行は、COBIT を活用して行内のITパフォーマンス、監査、コンプライアンス要求に適合させるためのモデルを作成した。このようなモデルの生成により、銀行は過去に実施された業務を反復活用したり、将来のITパフォーマンス、監査、コンプライアンス要求のニーズ発生に応じてそれに容易に適応することができるようになった。


併せて、リスクマネジメントモデルも2フェーズプロジェクト(図4)として作成された。


図 4—リスクマネジメントモデル

原典:Ibrahim Al-Rashid, Vaseem Nasiruddeen, Sreechith Radhakrishnan,の許可を得て掲載


結論

COBIT は、パフォーマンスを改善し、規制・コンプライアンス要求への適合を検討している組織で利用すべきである。それは、マネージメントの賛同を得て改善または導入すべきプロセス及びプロセス実践手法の優位付けをすることから始まる。 COBIT 5 Implementation で明示されているように「達成目標のカスケード」は COBIT プロセスに対するペインポイントとトリガーイベントのマッピングに有用な素晴らしい道具である。


忘れてはならない重要事項:

  • 全ての事に一度に取組まないこと。貴方の進みに合せて細かいステップを踏みつつ改善を持続させ継続的に実践すること。
  • RACIモデルを用いて役割と責任を明確に定義しそれをアサインすること。
  • 人々の行動を変えることにフォーカスすること。それらの導入が持つ文化的側面を過小評価しないこと。


Ibrahim Al-Rashid

中東で最大規模の銀行のIT部署をリードしているCIO。


Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE

Al Rajhi銀行でのITガバナンスとITサービスマネジメントプログラムのプログラムマネージャー。ITコンサルタントとITILエキスパートであり関連分野において20年以上の経験を持っている。また、銀行業界でのIT戦略、ガバナンス、サービスデリバリに関して海外での幅広い経験を持っている。


Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

アラブ首長国連邦にあるグローバルサクセスシステム FZ LLCでのリードトレーナー、主席コンサルタントであり、組織のITパフォーマンスの改善を行い、IT投資からの最高の利益を得られるよう支援している。COBIT, ITIL, PMP そしてITセキュリティを含めた数多くの分野の認定トレーナーである。ネットワークインフラマネージメント、プロジェクトマネージメント、IT運営マネージメント、そしてサービスマネージメントを含めた19年以上のダイナミックなITマネージメント経験を持っている。