ITとは「覚える」のではなく「学ぶ」もの：今日から学ぶCOBIT（2/6 ページ）

[谷誠之，ITmedia]

　コントロール目標の詳細は、次のようになっている。

• DS2.1 すべてのサービスプロバイダとのリレーションシップの特定

すべてのサービスプロバイダのサービスを特定し、サービスプロバイダのタイプ、重要性、および依存度に従って分類する。技術的および組織的な関係を正式に文書化して管理する。この文書には、サービスプロバイダの役割および実行責任、目標、期待される成果物、および代表者の信用証明が含まれる。

• DS2.2 サービスプロバイダとのリレーションシップ管理

サービスプロバイダごとにサービスプロバイダとのリレーションシップ管理プロセスを正式なものとする。リレーションシップオーナは連携して顧客およびサービスプロバイダにかかわる問題に取り組み、サービスレベルアグリーメントなどにより信頼と透明性に基づく良質なリレーションシップの維持に努めなければならない。

• DS2.3 サービスプロバイダにかかわるリスクの管理

サービスプロバイダが安全かつ効率的な方法を使用し、継続的なサービスを提供する上で想定されるリスクを特定し、低減する。契約が、法令要件に従い一般的なビジネス標準に準拠していることを確認する。リスク管理ではさらに、秘密保持契約（NDA）、エスクロー契約(注:サードパーティ預託契約サービス提供者の破産等に備えて、ソースプログラムなどをサードパーティに預託し、事由の発生時に、委託者に提供する契約)、サービスプロバイダの存続能力、セキュリティ要件へのコンプライアンス、代替サービスプロバイダ、SLA未達と超過達成などについて検討すべきである。

• DS2.4 サービスプロバイダの成果のモニタリング

サービス提供状況のモニタリングプロセスを確立する。これにより、サービスプロバイダが現行のビジネス要件を満たすと同時に、継続的に契約合意とサービスレベルアグリーメントを厳守し、その成果が、市場の状況および他のサービスプロバイダと比較した場合の優位性があることを確認する。

---

COBITではいつも同じことが述べられているような気がするのだが、ここでもやはり次のようなことが挙げられている。

1. 役割、責任範囲、目標をしっかり決めましょう
2. きちんと契約し、文書化しましょう
3. PDCAをまわし、成果をモニタリングして改善に努めましょう

　サードパーティのコントロールも、例外ではない。

　「マネジメントガイドライン」は、図2〜図4の通りである。インプットには、やはり「サービスレベルアグリーメント」がある。そしてアウトプットに「サービスプロバイダ（サードパーティ）にかかわるリスク」があることに注意しよう。サードパーティを利用するということに関しては、必ずメリットとデメリットがある。リスクを最初の段階で正しく評価しないと、後でとんでもないことになりかねない。

図2：インプットとアウトプット

図3：RACIチャート

図4：達成目標とその評価指標