レースクイーン情報
レースクイーンを各種ブログ(Blog)から一括検索します。
トップ > 内部統制 > 内部統制 - 人気ブログ(Blog)検索結果詳細 (2008年11月21日 11時)
ITガバナンスと測定指標の関連
今まで述べてきたIT ガバナンスの達成目標をCOBITフレームワークの達成目標と関連付けて整理した図があります。
ITガバナンスの要件に対する達成目標の位置づけを表した図です。
ITガバナンスの要件には、「戦略への統合」、「価値の提供」、「リスクの管理」、「資源の管理」、「成果の測定」があり、これらのそれぞれの要件を達成するためにCOBITのフレームワークがありました。
このフレームワークにおいて、ビジネス目標を達成するための4つのコントロール基準を提供しています。
それは、成果としての「達成目標」、達成目標の達成度を測定する「測定指標」、成熟度対応の選定の基準となる「実践基準」、成熟度レベルを定義した「成熟度モデル」です。
これらの基準はITガバナンスの要件を満たすために絞り込まれたものです。
ITガバナンスの要件はCOBITフレームワークの各基準が関係付けられて、始めて統治が出来るというわけです。
ITガバナンス要件はどのような目標基準を持てば良いかのガイドラインとなっているものです。
それぞれの要件ごとに、COBITフレームワークの基準との関係を「ITガバナンスと測定指標の関連」として表し、整理しています。関係の強さ度合いを、P(Primary:主要関連領域)、S(Secondary:副次的関連領域)として区分し、考慮点としています。
(1)「戦略との整合」とは、経営戦略とIT戦略が整合性を持って展開されていることでした。
COBITフレームワーク基準との関係では、各戦略の「達成目標」間の整合性とその達成目標の進捗度を測定する「測定指標」によって、戦略との整合が確保されることになります。
(2)「価値の提供」では、投資対効果が最大になるIT戦略であることが焦点でした。
戦略との整合で設定された達成目標の達成の進捗度を表す「測定指標」とその進捗を補完する「成熟度モデル」が両輪として価値提供の統治が可能に成ります。
(3)「リスクの管理」は、ITガバナンスに内部統制が組み込まれていることが経営リスク管理として求められていました。
具体的にはIT資源のリスクに対するITプロセスによる内部統制です。内部統制の統制目標は当該企業の体力に応じた「実践基準」による統制が実施されることになります。
ITプロセスの「成熟度モデル」とその進捗度測定のための「測定指標」でリスクの管理を定義していくこととなります。
(4)「資源の管理」は、IT資源である「アプリケーション」、「情報」、「インフラストラクチャ」、「人」に対するITプロセスによる管理を求めていました。
ITプロセスの「成熟度モデル」による成熟度レベルと求められる成熟度レベルを設定する「実践基準」が主要に関連する要因となります。
副次的に「測定指標」による達成度の進捗測定が必要となってきます。
(5)「成果の測定」は、各戦略の実践状況をモニタリングすることを求めたものでした。
ITガバナンスの最終目標はビジネス目標ですので、ビジネスおよびITプロセスの「達成目標」を「測定指標」によって、達成度の進捗測定を行うことで統治が可能となります。
ITプロセスに対する「成熟度モデル」は副次的な要因として関係してきます。
ここで述べていることは、最終的なITガバナンスの要因の達成を測定するためのCOBITフレームワークの基準を関連付けて、各基準の設定分野とその整合性を明確にすることにあります。
次回は、「COBIT4.0のコンポーネット構成」を取り上げます。
作者:admin
更新日:2008年11月15日 9時0分
ビジネス達成目標展開スキーム-その2
COBITとは、Control OBjectives for Information and related Technologyの頭文字をとったもので、「米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が策定し、提唱するITガバナンスのITプロセス成熟度を統制するフレームワーク」であり、システム管理・ガイドラインと言われています。
COBIT4.0は、米国の内部統制とバランススコアカードを組み込んだ内容で再構成されました。
COBIT第3版と比べ、内容も大きく変わりました。
COBITは、これからのシステムデザインにも大きく影響してくると思っています。
第3版と比べ、内容も大きく変わりました。このブログで、ご紹介していこうと思います。
今日はCOBIT4.0の第27回です。
(2)「達成度の測定」では、達成目標の展開が出来ると、この目標の達成度を測定する管理指標が必要です。
目標に対するKPI(Key Goal Indicator)の設定が第2ステップです。
記述例を参照してみましょう。
記述例は、引き続いて、デリバリーと支援のITプロセス「DS05 システムセキュリティの保証」を対象に記述しています。
★「ビジネス達成目標」の“企業の評判とリーダシップの維持”に対するKPIは、“企業の社会的評判を傷つけるインシデント件数”です。
次に、
★「ITの達成目標」として、ビジネス達成目標に対する下位目標の“攻撃に対する、ITサービスの抵抗力・回復力の確保”にKPIは“ビジネスに影響を及ぼすITインシデントの実数”を設定しています。
★「プロセスの達成目標」の“情報、アプリケーション、およびインフラストラクチャへの不正アクセスの検知、解決”に対するKPIは、“アクセス違反の回数”を設定しています。
★「アクティビティ達成目標」では、プロセスの達成目標に対する“セキュリティ要件、脆弱性、および脅威の理解”のKPIに、“監視すべきセキュリティイベントのタイプの確認とタイプごとの発生頻度”を設定しています。
KPIの設定が出来ますと、「成果の促進」が第3番目のステップとなります。
(3)「成果の促進」では、第2ステップで設定したKPIは上位のKPIと整合性を持って関連付けられているかの検証と調整です。上位にあるKPI をKGI(Key Goal Indicator)といいます。
ビジネス達成目標の展開スキームでは、KPI と KGI の関係を整理しています。
その関係を3つの基準に整理しています。
「プロセス測定基準」、「I T測定基準」、「ビジネス測定基準」に対するKGIとKPIの基準の関係です。
★「プロセス測定基準」ではアクティビティとプロセスのKPI とKGの関係を表します。
アクティビティの達成目標のKPI を達成することが、上位のプロセスの達成目標であるKGIを達成する要因となる訳です。
つまり、アクティビティの達成目標のKPI “監視すべきセキュリティイベントのタイプの確認とタイプごとの発生頻度”の目標を達成することで、上位のプロセスの“情報、アプリケーション、およびインフラストラクチャへの不正アクセスの検知、解決”を達成できるか乃因果関係の整合性を検証します。
同様に、「IT測定基準」はプロセスとITの達成目標との関係ですし、「ビジネス測定基準」は、ITのKPIとビジネスのKGIの関係です。
KPIからKGIへの関係の整合性または従属性が段階的にビジネス目標を達成する誘導要因となっていきます。
(4)「改善と再調整」は最後の視点です。改善目標としてのKPIの目標達成が未達成であったり、達成し過ぎた状態は、達成目標に対する調整を図らざるを得ません。
IT成熟度に比して、達成目標が高すぎたり、低すぎたりする状況があるからです。
さて、この「ビジネス達成目標の展開スキーム」で申し上げたいことは、ビジネス目標を達成するための実践の仕組みづくりです。
ビジネス目標を4段階の達成目標へ展開し、その目標の測定するKPI を設定し、KPIとKGI の整合性を設定し、KPIと達成目標の調整をするPDCAを形成することです。
今日はここで終わります。
次回は、「ITガバナンスと測定指標の関連」を取り上げます。
作者:admin
更新日:2008年11月15日 8時55分
ビジネス達成目標展開スキーム
COBITでは、ビジネス目標達成のための目標の展開と管理指標の関係を4つの観点で手順化しています。
その手順とは、「(1)達成目標の定義」、「(2)達成度の測定」、「(3)成果促進」、「(4)改善と再調整」の4つのステップです。
各ステップでの記述例を、デリバリーと支援のITプロセス「DS05 システムセキュリティの保証」を取り上げて解説しています。
(1)「達成目標の定義」では、ビジネス目標達成から始めて4段階の目標を設定しています。
最上位を「ビジネス目標」として、下位目標を「ITの達成目標」、「プロセスの達成目標」、「アクティビティの達成目標」の順に上位目標と下位目標の整合性をとって展開します。
各達成目標の記述要件の例を上げていますので、以下にその記述例を整理しました。
★「ビジネス達成目標」では、“企業の評判とリーダシップの維持”ができるための達成目標として例示しています。
★「ITの達成目標」では、このビジネス達成目標に対する下位目標として“攻撃に対する、ITサービスの抵抗力・回復力の確保”といった情報要請規準を目標として設定しています。
★「プロセスの達成目標」は、ITの達成目標に対して“情報、アプリケーション、およびインフラストラクチャへの不正アクセスの検知、解決”といったエンタープライズアーキテクチャの視点で捉えた目標を設定しています。
★「アクティビティ達成目標」では、プロセスの達成目標に対する“セキュリティ要件、脆弱性、および脅威の理解”というITプロセスの作業目標を設定しています。
このように、ビジネス達成目標展開の第1ステップは、達成目標を上位整合性を持って下位展開していきます。
この後、「(2)達成度の測定」、「(3)成果促進」、「(4)改善と再調整」の3つのステップを踏んで整合性のある達成目標へと展開していきます。
次回は、「ビジネス達成目標展開-その2」でこのテーマの続きを取り上げます。
作者:admin
更新日:2008年11月7日 4時59分
アクティビティ目標と成熟度
「情報アーキテクチャの定義プロセス」の「ITプロセスのコントロール目標が「企業の情報のアーキテクチャモデル」、「企業のデータディクショナリーおよびデータ構文ルール」、「データ分類体系」、「インテグリティの管理」の観点を取り入れてみましょう。
コントロール目標の一方の目標である成熟度を向上策を捉えますと、2段階の観点で考える必要があることが分かります。
その意味は、前述しました一般成熟度モデルの「成熟度属性」の観点と「ITプロセスのコントロール目標」の観点です。
まず最初は、成熟度属性の観点での成熟度とITコントロール目標の観点でみる成熟度です。
成熟度属性は、この属性に、「認識および周知」、「ポリシー、標準、および手順」、「スキルと専門知識」、「実行責 任および説明責任」、「達成目標の設定および成果測定」の6属性の観点がありました。
この視点はITプロセス「情報アーキテクチャの定義プロセス」のPDCAの成熟度測定の観点になっています。
つまり、ITプロセスの成熟度向上のプロセスの規準定義です。
もう1つのITコントロール目標の観点は、上位のITプロセスの下位機能要件を定義しているわけですから、ITプロセスの整備要件です。目標の成熟度を達成するための整備すべき対象物を明確にしているのです。
成熟度属性はこの対象物をPDCAでプロセス管理することになります。
整理しますと、成熟度属性はITプロセスを如何に作るかの「How To」の見方であり、コントロール目標は何を作るかの「What Is]の成熟度の見方を表しています。
両面で同時に成熟度定義をするのは困難ですので、成熟度属性の観点でプロセスの観点での成熟度を捉え、コントロール目標項目で具体化していくのが、正攻法であろうと思います。
COBIT4.0では、ビジネス達成目標を達成するために、ビジネス達成目標をITプロセスの施策およびアクティビティ目標への展開スキームとその参考例を提供しています。
ここからは、ビジネス達成目標展開の具体的手順と参考例の記述になります。
記述内容は、以下の通りです。
★「ビジネス達成目標の展開」として、ITコントロール目標展開のための基本手順を述べ、
★「ITガバナンスと測定指標の関係」で、ITコントロール目標の整理をしています。
さらに、付録1と付録2が提供されています。
★付録1において、ビジネス達成目標とIT達成目標、ITプロセスの関係を参考例として紹介し、
★付録2においてITプロセスとCOSO等、他の標準との関係を例示しています。
今回はここで終わります。
次回は、「ビジネス達成目標展開スキーム-その1」を取り上げます。
作者:admin
更新日:2008年10月29日 1時21分
アクティビティコントロール目標例
今回は、「アクティビティコントロール目標」です。ITプロセスの構造とその目標について整理しておきます。
COBIT4.0では、34個のITプロセスは、さらに215個のアクティビティに展開されています。
アクティビティは34個の各ITプロセスの機能を達成する役割を表します。
この役割を達成することが、ITプロセスの機能を達成することになります。
例えば、「PO2 情報アーキテクチャの定義」プロセスを取り上げてみましょう。
アクティビティとして、「企業のアーキテクチャモデル」、「企業データディクショナリとデータ構文規則」、「データ分類体系」、「インテグリティ管理」の4つの役割を定義しています。
ITプロセスは、業務プロセスとしての構造展開を表していますが、アクティビティはIT実施作業要件を表すと考えて良いでしょう。
「情報アーキテクチャの定義」プロセスには、4つのアクティビティが定義されています。
このアクティビティは、当該ITプロセスの達成作業要件であることから、COBITではコントロール目標と呼びます。
このコントロール目標とは、「企業の情報アーキテクチャモデル」、「企業データディクショナリーおよびデータ構文ルール」、「データ分類体系」、「インテグリティの管理」です。
これらの4つの目標を達成することで「情報アーキテクチャの定義」プロセスの機能が全うできるということです。
それぞれのコントロール目標は、
★「企業の情報アーキテクチャモデル」とは、
企業の情報体系を構築することです。ビジネス目標達成に有効な情報を発する人や
アプリケーションが定義され、同様にデータを利用する人やアプリケーションが
目標とする情報との関連付けが為されていなければなりません。
内部統制でも、重要勘定科目に係るアプリケーションを押えていきますね。
内部統制の情報アーキテクチャモデルです。この体系を作ることで、情報要請規準
に対する漏れや、構築すべきアプリケーションが見えてきます。
つまり、“必要情報とその項目の入手体系”を決める必要があります。
★ 「企業データディクショナリーおよびデータ構文ルール」とは、
アプリケーションとシステムの関係が分かりますと、必要なデータ要素がシステム
上で共有できるルール付けが必要です。データディクショナリーの下に互換性の
あるデータ共有ルールが維持されることが必要です。
“運用ルールとデータ様式の統一化” が必要です。
★ 「データ分類体系」とは、
内部統制でいう「アクセス権限」です。データを分類し、オーナーとユーザーを
明確にすることです。 必要な人に必要な情報が提供できるようにセキュリティ
が必要となります。
“アクセス権限とセキュリティ”の整備です。
★ 「インテグリティの管理」とは、
データベース間のデータの整合性が保てることです。受注ファイルと発注ファ
イル、在庫ファイルの整合性が保たれることはこの管理に該当します。
さて、 「情報アーキテクチャの定義」プロセスにおける4つのコントロール目標は
理解できましたが、この定義をIT業務プロセスの成熟度向上に対して、いかに適用
するかをみて行きましょう。
今回はここで終わります。次回は、「コントロール目標と成熟度の視点」を取り上げます。
作者:admin
更新日:2008年10月27日 13時51分
アクティビティコントロール目標
「アクティビティコントロール目標」で、ITプロセスの構造とその目標について整理しておきます。
COBITのもつITガバナンスの考え方は3つの側面を持って統治されることは前述しました。
おさらいを兼ねてみていきましょう。
3つの側面とは、
★IT資源;これはITガバナンス対象としての側面です。
IT資源を用いて、業務プロセスは実行されます。この資源として、「アプリケー
ション」、「情報」、「インフラストラクチャ」、「人」を定義しました。ビジ
ネス達成目標から「情報要請規準」によりIT分野に変換された目標の対象基盤
です。
★ ITプロセス:これはITガバナンスの方法としての側面になります。
IT資源を4つのドメインである「計画と組織」、「調達と導入」、「サービス提供と
サポート」、「モニタリングと評価」で統治していくプロセスです。
4つのドメインは、34のITプロセスに細分化され、さらに各ITプロセスは215のアク
ティビティ(活動)として役割が定義されます。
ここでのコントロール目標は、IT達成目標の会目標として、ITプロセス目標、アク
ティビティ達成目標として設定することになります。
これらのITプロセスの最終の目標を設定する規準に情報要請規準があります。
★情報要請規準:これはITガバナンスの水準要因としての側面を持ちます。
情報要請規準は、ビジネス達成目標をIT領域の目標に変換する規準でした。
IT達成目標によって、ITプロセスの最終目標が設定されます。
このCOBITのフレームワークの3大要素を立方体に図解したCOBITキュービック図があります。COBITの基本原則とも言われているものです。
キュービックですから、3つの辺の要素で構成されています。
一辺は、ITプロセスをドメイン、プロセス、アクティビティへ階層化した体系。
もう一辺は情報要請規準の7つの基準の記載。最後の一辺は、IT資源の4つの要素の記載図です。
要約して解説しておきます。
「情報要請規準」はビジネス目標をITプロセスへ橋渡しする規準とし、ビジネス達成目標の仲介役として配置しています。
この「情報要請基準」がIT達成目標の基盤となり、この目標のためにガバナンス(統治する)対象がIT資源です。このIT資源をITプロセスで統治してITの達成目標を実現することになります。
統治する実態であるITプロセスは、4つの組織機能(ドメインという)のITプロセスで構成されます。
IT資源を4つのドメインが順次統治する流れとして構成されています。
4つのドメイン流れは、「計画と組織(PO:Plan and Organization)」し、「調達と導入(AI:Acquisition and Implementation)」によりIT環境を整備し、「サービス提供とサポート(DS:Delivery and Support)」によって運用をし、「モニタリングと評価(ME:Monitoring and Evaluation)」によってIT資源のレビューと改善を施すITプロセスです。
COBITでは、この4つのドメインをより具体的な34個のITプロセスに展開し、これらのITプロセスを215個のコントロール目標(アクティビティと言います)に分解します。
コントロール目標とは、ITプロセスを遂行する上での活動目標です。
今回はここで終わります。
次回は、「アクティビティコントロール目標例」を取り上げます。
作者:admin
更新日:2008年10月15日 14時50分
COBITのコントロール目標
今回は、「COBITのコントロール目標」で、COBITフレームワークとITのコントロール目標について整理しておきます。
コントロール目標には、ビジネス達成目標、IT達成目標、ITプロセスコントロール目標、アクティビティコントロール目標等、いろんなコントロール目標が出てきます。
まず、ビジネス達成目標とCOBITフレームワークの関係を整理しておきましょう。
(1)ビジネス達成目標は、
ビジネス成果とそのビジネス成果を統治するためのガバナンス要因を考慮して設定
されました。
ビジネス成果とは、売上高や利益といったビジネス上の成果目標です。
ガバナンス要因とは、ビジネス達成目標を達成するためのビジネスプロセスの統治
要因です。
つまり、このガバナンス要因を設定するには順序があります。
まず、成果目標が最初に決める必要があります。次に、ビジネス達成目標として、
ビジネス成果を成し遂げるために実施すべきビジネス上の方策が決まります。
この方策を実現に導く要因がガバナンス要因となります。導く要因ですから、
原書では“Gervanance Driver”と読んでいます。
この要因にはITに関係しない要因も数多くあると思われますが、この要因をITの
達成目標橋渡しするのが「情報要請規準」になります。
(2)IT達成目標とは、
ビジネス達成目標を情報要請規準に基づいてITのコントロール事項に展開した方策に
なります。この方策としてのIT達成目標は、COBITのITプロセスで実践する
ことになります。
このITプロセスには、IT資源(アプリケーション、情報、インフラストラク
チャ、要因)に対するコントロール目標が必要になります。
このIT資源を最適に組み合わせることが求められるということです。
(3)ITのコントロール目標の達成のためには、
その達成度を測定する測定指標が必要になります。
COBITでは「重要目標達成指標」といい、上位の指標をKGI(Key Goal
Indicator)、下位の指標をKPI(Key Performance Indicator)といいます。
この項の言葉に置き換えますと、ITの達成目標の測定指標はKGI、ITプロセス
の指標はKPIです。ビジネス達成目標をKGIと捉えますと、ITの達成目標は
KPIになります。
IT達成目標のためには、34のITプロセスに対するITプロセスコントロール目標、
ITプロセスコントロール目標を達成するためのアクティビティのアクティビティ
コントロール目標達成がありました。
それぞれのKGI、KPIがIT達成目標に関係付けられた指標として定義される
ことが必要になります。
今回はここで終わります。
次回は、「アクティビティコントロール目標」を取り上げます。
作者:admin
更新日:2008年10月15日 14時47分
COBITフレームワーク全体像
今回は、「COBITフレームワーク全体像」で、今までのCOBITフレームワーク記述の整理項目を述べます。
ここでの記述は、前章までの内容の体系化です。この体系化に基づいて、ITプロセスのコアコンポネントの記述の枠組みが出来上がっています。
COBITフレームワークの全体像では、2章までで述べてきたことを以下の手順で全体観を持って整理しています。
(1)COBITのコントロール目標
達成目標は、コントロール目標とも表現されています。ビジネス達成目標から、IT
達成目標設定までのコントロール目標の関係の整理です。ビジネス目標を達成する
ためにIT資源の最適選定、そのコントロールのためのITプロセスが設定され、IT
達成目標が方針目標として設定されることになります。図解として全体像を示し、
解説しています。
この観点は重要ですので、掘り下げていくことになります。
(2)COBITキュービック
ITに関するエンタープライズアーキテクチャに沿って、COBITのフレームワークを
形作る構成要素を図解したものです。COBITの構成要素は3つの側面を有しており、
その3つの要素とは、「情報要請規準」、「IT資源」、「ITプロセス」で構成され、
相互の関係を持っていることをあらわした基本図です。
IT達成目標設定のための「情報要請規準」、その規準を達成するための「IT資
源」、業務遂行要件のための「ITプロセス」が密接に関係付ける3大要因としてキュ
ービック図として表しています。
(3)ITプロセス全体像
4つのドメインである 「計画と組織」、「調達と導入」、「サービス提供とサポー
ト」、「モニタリングと評価」のITプロセスを中心にした、IT 達成目標を達成する
ためのCOBITフレームワークの要素の関係図です。COBITキュービックの動的な図解
になります。COBITフレームワークではビジネス目標と直結する「情報要請規準」が
中核にありますが、その達成は「IT資源」を対象として、「ITプロセス」でIT資源
を統治していくことを表現する構図をあらわしています。
(4)4つのドメインと34のITプロセス
ITプロセスの3階層のプロセスの定義と関係を捉えます。ITプロセスは、最上位の
4つの「ドメイン」、34の「ITプロセス」、254の「アクティビティ」へと展開され
ます。ITプロセスは、IT業務の機能を捉えていますが、アクティビティはITプロセ
スのオブジェクティブズといわれます。
つまり、ITプロセスの「目標」や「実体」を表すわけです。ITプロセスの実施目標
や役割と捉えると良いでしょう。
(5)IT成熟度測定の視点
成熟度属性とアクティビティのコントロール目標に対する成熟度の関係を捉え
ます。
ITプロセスの達成目標の評価は、成熟度属性という視点での成熟度評価とアクティ
ビティの達成という2面から評価されます。その関係を解説していきます。
今回はここで終わります。
次回は、「COBITのコントロール目標」を取り上げます。
作者:admin
更新日:2008年10月13日 12時7分
IT成熟度モデル-その4
今回は、「IT成熟度モデル-その4」で、内部統制成熟度モデルの成熟度属性記述を取り上げてみようと思います。
内部統制成熟度レベル4を例として引用し、「内部統制環境の状況」と「内部統制の確立」の記述を「6つの成熟度属性の観点」で検証してみましょう。
「内部統制環境の状況」とは、ポリシー、標準および手続が整備され、実行責任が認識されている状況で、日本版内部統制での「内部統制の整備」に当たります。
「内部統制の確立」とは、重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されていることで、日本版内部統制での「内部統制の評価」に当たります。
(1)「内部統制環境の状況」からその記述のレベルをその中のキーメッセージからみてみましょう。
★“効果的な内部統制およびリスク管理環境がある。” の表現は、重要性の「認知
および周知」レベルの有無を表しています。
★“文書化された正式なコントロール評価が煩雑に実施されている。”の表現では、
「標準および 手続の存在」の有無を表現し、
★“多くのコントロールは自動化されており、定期的なレビューの対象になって
いる。”の記述と“コントロールの自動化に、限定的ではあるが戦術的に技術が
使用されている。”の記述があり、「ツー ルと自動化」の視点を述べています。
★“マネジメント層は、コントロールに関する問題をほとんど発見できるが、全ての
問題が特定されるわけではない。”においては「スキルと専門知識」のレベルを
表現しています。
★“特定されたコントロール上の不備に対応するため、一貫したフォローアップが
行われている。”の表現は、実行責任を記述しています。
(2)「内部統制の確立」では、
★“関連するビジネスプロセスオーナーの全面的な協力と同意を得て、ITプロセスの
重要性が定期的に定義されている。”とあり、評価のための「認知および周知」
レベルを記述しています。
★“主要な利害関係者が関与する詳細且つ正確な分析の実施後に、これらのプロセス
の実際の成熟 度はポリシーに基づいて、コントロール要件の評価が実施されて
いる。”は、「評価の標準手続」のレベルを表します。
★“評価の説明責任が明確に定められ、割り当てられている。改善戦略が投資対効果
検討書によって裏付けられている。”では、「説明責任の存在とオーナーとしての
説明合理性」を明確化しています。
★“期待される結果を達成する過程における成果が、一貫してモニタリングされて
いる。コントロールの社外レビューが時折行われている。”は、「達成目標の設定
および測定結果」に対するモニタリングレベルを表現しています。
内部統制の場合は、内部統制の構築と評価といった2つのプロセスが必要ですので
成熟度の観点も別々の要求となっていきます。
COBITのフレームワークとしての構成要件については述べてきました。
COBITの構成要件を再整理して全体像を捉えます。
その後、IT達成目標に向けてビジネス目標の展開プロセスと関係要素を整理し
ます。
今回はここで終わります。
次回は、「COBITフレームワークの全体像」を取り上げます。
作者:admin
更新日:2008年10月7日 13時36分
IT成熟度モデル-その3
今回は、「内部統制の成熟度モデル」を取り上げてみようと思います。
内部統制における統制環境の状況と「内部統制の確立」の状態を成熟度レベルごとに一般例(付録3)で記述しています。自
社の成熟度を判断する上で概略的な指針となります。
COBIT4.0で内部統制の成熟度モデルを定義していますのは、COSOモデルでIT統制のリファレンスフレームとして取り上げられたことに起因していると思います。
内部統制の成熟度モデルは、「内部統制環境の状況」と「内部統制の確立」の項目で成熟度レベルを記述しています。
「内部統制環境の状況」とは、内部統制の整備状況のことであり、「内部統制の確立」とは内部統制の評価体制に当ります。
COBITの4つのドメインで言いますと、「計画と組織」、「調達と導入」、「サービス提供とサポート」が内部統制環境の状況で捉え、「モニタリングと評価」を内部統制の確立で捉えています。
金融庁や経産省のガイドラインでは、それぞれ「内部統制の構築」と「内部統制の評価」と表現していますが、同じことです。
成熟度レベルの表記は、一般成熟度レベルの表記と同じで、レベル0から5までは、それぞれ「不在」、「初期/その場対応」、「再現性はあるが直感的」、「定められたプロセスがある」、「管理され、測定可能である」、「最適化」です。
成熟度の記述内容を成熟度内容は成熟度属性表の視点で見てみましょう。
成熟度レベル3の記述を取り上げますと、「内部統制環境の状況」においては、“ポリシー、標準および手続が整備され、実行責任が認識されているが、評価プロセスの文書化は未整備”というの がキー表現。
「内部統制の確立」では、“重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されている”がキー表現です。
成熟度レベル4になりますと、整備状況に“ツールと自動化” の要素が加わり、評価には“ビジネスプロセスオーナーの説明責任”が追加されてきます。
オーナーの説明責任とは、Accountabilityといわれ、意思決定行為に係らず、ある組織的な影響に対して合理的に説明をする責任を言います。
内部統制での説明責任は経営者が有することになります。
決算事項で不正が発生した場合、経営者は“知らなかった”とはいえないし、言ったとしても責任は取る必要が出てきます。
内部統制の成熟度では、内部統制の整備と評価でその属性の視点が異なってくることは想像できると思います。
内部統制の成熟度レベル4に焦点を当て、内部統制の成熟度属性記述を参考に見ておきましょう。
今回はここで終わります。
次回は、「IT成熟度モデル-その4」で、内部統制の成熟度属性記述を取り上げます。
作者:admin
更新日:2008年10月6日 12時46分