続いて、COBITプロセスを構成する要素について説明する。
COBITの各プロセスに対しては、以下の要素が定義されている。
独立したツールとして、個々のITプロセスを管理するための成熟度モデルが定義されている。この成熟度モデルは、ソフトウェア工学研究所のCMMに基づいており、以下の項目に関して6レベルでスコアリングすることができる。
情報要請規準 |
定義 |
IT資源 | 定義 |
有効性 |
該当するビジネスプロセスに関係する適切な情報であること。またそれらの情報がタイムリーで正確かつ矛盾がなく、使用可能な状態で提供されること。 |
アプリケーション | |
効率性 |
情報の提供が資源の最適な(最も生産的かつ経済的な)利用により行われること。 |
情報 | ビジネスで使用される、任意の形式で情報システムに入力、処理、出力されるデータのこと。 |
機密性 |
機密情報を不正な開示から保護すること。 |
インフラストラクチャ | アプリケーションによる処理を可能にする技術および設備のこと。 |
インテグリティ |
情報の正確性と網羅性、およびビジネスの価値と期待に基づく情報の妥当性のこと。 |
要員 | 情報システムとサービスの計画、編成、調達、導入、提供、サポート、モニタリング、および評価に必要な要員のこと。
|
可用性 | 現在および将来においてビジネスプロセスで必要な情報が利用可能であること。また、そのために必要な資源および関連する能力の保全を考慮すること。 |
||
コンプライアンス | ビジネスプロセスが従うべき法律、規制、および契約条項の順守、すなわち外部から課せられるビジネス基準と社内ポリシーを順守すること。 |
||
信頼性 | マネジメント層が企業を運営し、受託者としての責任とガバナンス責任を果たせるように、適切な情報を提供すること。 |
成熟度レベル | 定義 |
---|---|
0 不在 | 識別可能なプロセスが完全に欠落している。企業は、対応すべき問題が存在することすら認識していない。 |
1 初期/その場対応 | 企業は、対応が必要な問題の存在について認識している。ただし、標準化されたプロセスは存在せず、対応は、個人的に、または場合に応じて場当たり的に行われている。総合的な管理方法は体系化されていない。 |
2 再現性はあるが直感的 | 同じ仕事に携わる複数の要員において同等の手続が行われる段階にまで、プロセスが進歩している。標準的な手続に関する正式な研修や周知は行われておらず、実行責任は個人に委ねられている。個人の知識への依存度が高く、そのため、誤りが発生しやすい。 |
3 定められたプロセスがある | 手続は標準化および文書化されており、研修により周知されている。ただし、このプロセスに従うかどうかの判断は個人に委ねられ、プロセスからの逸脱はほとんど発見されない。手続自体は、既存の実践基準を正式化しただけのものであり最適化されてはいない。 |
4 管理され、測定が可能である | 手続の順守状況をモニタリング、測定でき、プロセスが効果的に機能していないと判断された場合に対処が可能である。プロセスの改善が常時図られており、優れた実践基準を提供している。自動化やツールの活用は、限定的または断片的に行われている。 |
5 最適化 | 継続的改善、および他社との比較による成熟モデルの結果、プロセスがベストプラクティスのレベルにまで最適化されている。ITは統合され、ワークフローが自動化されている。これにより品質と有効性を改善するツールが提供され、企業の迅速な環境適応に貢献している。 |
表4 一般成熟度モデル(COBIT4.0日本語版を基に作成) |
ここでは、COBIT4とCOBIT3の内容が混在していることをお断りしておく。これからCOBITを勉強される方はもちろん最新版であるCOBIT4を読んで頂きたいのだが、CSF、KGI、KPIについてはCOBIT4の記述がやや難解になっていると筆者は感じている。そのため、COBIT3にも目を通すことをお奨めする。
なお、COBIT4.0日本語版、COBIT第3版マネジメントガイドライン日本語版とも、ITガバナンス協会のホームページから無償でダウンロードできるようになっている。米国SOX法対応におけるIT統制の整備にCOBITフレームワークが標準的に使用されたことを受けて、日本国内でもCOBITの認知度は高まりつつある。今後、ITにかかわる要員は、ITILに加えてCOBITもある程度理解しておくことが必要な時代になっていくだろう。
今回のテーマである成熟度モデルは、表4で示したようにレベル0からレベル5までの6段階で定義されている。ITILを活用してITサービスマネジメントにかかわるプロセスが定義された状態はレベル3(定められたプロセスがある)に相当すると考えられ、さらに、ISO20000を取得して、プロセスのマネジメントサイクルが確立した状態は、レベル4(管理され、測定が可能である)だといえる。
また、図2で示したように、COBITはITプロセスをどのように導入すれば良いのかを説明しているのではなく、導入されたITプロセスをどのようにコントロールすれば良いのか、どんな指標で評価すれば良いのか、あるいはどのようなレベルにあるのか、などについてのガイドを提供している。筆者はITILとCOBITについて、以下のような利用方法を提唱している。
Copyright © ITmedia, Inc. All Rights Reserved.