ITとは「覚える」のではなく「学ぶ」もの：今日から学ぶCOBIT（3/6 ページ）

[谷誠之，ITmedia]

　最後に成熟度モデルを示す。

• 0 不在

実行責任および説明責任が定義されていない。サードパーティとの契約締結に関する正式なポリシーおよび手続が規定されていない。マネジメント層は、サードパーティからのサービスについて、承認もレビューも実施していない。成果測定が実施されておらず、サードパーティによる報告もない。契約上、報告義務が定められていないため、マネジメント層は、提供されるサービスの質を認識していない。

• 1 初期／その場対応

マネジメント層は、契約の締結を含め、サードパーティ管理に関するポリシーと手続きを文書化する必要性を認識している。サービスプロバイダとの契約に盛り込むべき標準的な契約条項は定められていない。提供サービスの成果測定は非公式かつ事後的に実施されている。実施方法は、各担当者およびサービスプロバイダの経験に依存しており、例えば要求された場合などに限り実施されている。

• 2 再現性はあるが直感的

サービスプロバイダ(サードパーティ)についての関連リスク、およびサービス提供状況の監督プロセスは非公式なものである。標準的なベンダーとの契約条項(提供されるべきサービスについての記述など)が規定された出来合いの契約書が締結され、使用されている。提供サービスに関する報告は実施されているが、ビジネス目標の達成に役立っていない。

• 3 定められたプロセスがある

ベンダーの審査およびベンダーとの交渉に関する明確なプロセスを含む、サードパーティのサービスを管理するための手続が適切に文書化され、整備されている。提供サービスに関する合意が存在する場合、サードパーティとの関係は純粋に契約に基づくものである。契約には提供されるサービスの性質が詳述されている。これには、法的要件、運用上の要件、およびコントロール要件が含まれている。サードパーティのサービスの監督実行責任が割り当てられている。契約条項は、契約の標準テンプレートに基づいている。サードパーティのサービスに関連するビジネスリスクについて評価および報告されている。

• 4 管理され、測定可能である

契約条項の定義に関する正式かつ標準化された基準が確立されている。この契約条項には、作業範囲、提供されるべきサービス／成果物、前提条件、スケジュール、費用、請求処理、および実行責任が含まれる。契約およびベンダーの管理の実行責任が割り当てられている。ベンダーの適格性、リスク、および能力が継続的に確認されている。サービス要件が定義され、ビジネス目標と関連付けられている。サービスの成果を契約条項に照らし合わせてレビューするプロセスが確立されている。これは、現行および将来のサードパーティのサービスの評価へのインプットとなる。調達プロセスにおいて、振替価格設定モデルが利用されている。関係者全員がサービス、費用、および各工程で期待される成果について認識している。サービスプロバイダの監督におけるKPIおよびKGIについて合意が得られている。

• 5 最適化

サードパーティとの間で締結された契約が、事前に定義されている間隔で定期的にレビューされている。サービスプロバイダ管理と提供サービスの品質管理の実行責任が割り当てられている。運用、法律、コントロールに関する契約条項が順守されているかどうかが、常にモニタリングされており、必要な場合に是正措置が講じられている。サードパーティに対する独立した定期レビューが実施されており、成果に関するフィードバックが提供され、サービス提供の改善に役立てられている。ビジネス状況の変化に対応する形で測定方法も変動する。成果測定により、サードパーティのサービスにおける潜在的問題を早期に発見できる。サービスレベル達成状況の包括的かつ明確な報告は、サードパーティに対する支払いに関連付けられている。マネジメント層は、KPIおよびKGIの結果に基づきサードパーティからのサービスの調達とモニタリングのプロセスを調整している。

　あなたの組織は、どれに当たるだろうか。