IT人材管理から学ぶ――「計画と組織」ドメインと10個のプロセス：今日から学ぶCOBIT（5/6 ページ）

[谷誠之，ITmedia]

　コントロール目標の詳細は、次のようになっている。

• PO7.1

要員の募集および保持IT要員の募集プロセスと、組織全体の人事ポリシーおよび手続（採用、望ましい職場環境、新人研修などの）を確実に整合させる。マネジメント層は、組織の目標達成に必要なスキルを有するIT人材が適材適所に確実に配置されるプロセスを導入する。

• PO7.2

要員の能力要員がそれぞれの役割を果たす上で必要な能力を有しているかどうか、学歴や研修内容、経験などを基に定期的に検証する。資格および認証プログラムを適宜取り入れて、中核となるIT能力要件を定義し、継続的に維持されているか検証する。

• PO7.3

役割に応じた人材配置要員の役割、責任と報酬のフレームワークを定義し、モニタリングおよび監督する。同時に、管理ポリシーと管理手続、倫理規定と専門家としての行動基準を遵守することを要求する。雇用契約条件においては、情報セキュリティ、内部統制、および法規制遵守に関する従業員の責任を強調する必要がある。監督の度合いは、職位に求められる機密性および付与される責任の範囲に応じて定める必要がある。

• PO7.4

要員の研修IT従業員の採用時に適切なオリエンテーションを行い、その後も継続的に研修を実施し、組織の目標達成に必要なレベルの知識、スキル、能力、内部統制とセキュリティへの意識を身に付けさせる。

• PO7.5

個人に対する依存知識の記録（文書化）、知識の共有、後任者育成、および予備要員の確保により、主要な要員に対する極度の依存を最小限に抑える。

• PO7.6

要員の人事認可手続IT人材の募集プロセスには、経歴調査を含める。身元調査は、従業員、契約社員、およびベンダーに対して実施し、そのレビューの範囲および頻度は担当業務の機密性や重要性に応じて決定する。

• PO7.7

従業員の業績評価組織の達成目標に向けた各従業員の目標、確立された標準、各職務固有の責任、これらに関連する成果については、タイムリーな評価を定期的に実施する。また、従業員に対して、成果および勤務態度に関する指導を適宜行う。

• PO7.8

職務の変更および解雇職務の変更、特に解雇に際しては、臨機応変な対応を行う。知識の引継ぎ、責任の再割り当て、およびアクセス権の取り消しにより、リスクを最小限に抑え、当該職務が確実に継続されるようにする。

　これらが確実にできている組織は、そうないだろう。特に適材適所は難しい。また、優秀な人材に負荷が偏ってしまうのも、避けられない現実だ。COBITでは、具体的にどうすればいいか、は書かれていない。しかし何が重要なのか、ということはこれで明らかになるだろう。例えば「要員の研修」をおろそかにしていないだろうか。釣った（雇用した）魚（従業員）にエサ（新しい知識や技術）を与えない、などということはないだろうか。

　「マネジメントガイドライン」は、図2〜図4の通りである。前回にも書いた通り、ここはあくまでも例として見ていただきたい。ただインプットとアウトプットに関しては、「PO4ITプロセスと組織及びそのかかわりの定義」と共に導入すると効果的だ、と読めるだろう。

図2：インプットとアウトプット

図3：RACIチャート

図4：達成目標とその評価指標