...

IT マネジメントのための フレームワーク - Van Haren Publishing

by user

on
Category: Documents
22

views

Report

Comments

Transcript

IT マネジメントのための フレームワーク - Van Haren Publishing
IT マネジメントのための
フレームワーク
日本語版 第 1 版
13 COBIT - Control Objectives for
Information and related Technology
「COBI T 4.0」(Control Objectives for Information and related Technologies)は、幅広
いITアクティビティを34個のプロセスにまとめた高位のプロセス・モデルです。優れ
た実践基準の単一の情報源として、ビジネス要件を満たすことを主な達成目標に、IT
の能力、成果、およびリスクについて理解、導入、および評価するための統一された構
造を提供します。COBITは、ITマネジメントを背景として説明されている、一連の一般
的な管理ツールと技術で構成されています。特定のIT領域が達成するべきITアクティ
ビティの適用範囲と定義を設定しており、同じ主題領域を相互参照する他の一般的なフ
レームワークと大部分で一致しています。
著作権者:
情報システムコントロール協会(Information Systems
Audit and Control Association:ISACA, www.isaca.org)
所属のITガバナンス協会(IT Governance Institute:
ITGI、www.itgi.org)
普及状況:
世 界 中 の 数 多 く の 組 織 が 現 在C O B I Tを 使 用 し て い る。
これにはおそらく、サーベンス・オクスリー法の要件
に対応する必要のある、あらゆる組織およびそのサー
ビス・プロバイダが含まれている。
起源/歴史:
EDP監査人協会(EDP Auditors Association:EDPAA、現
在はISACAとして知られている)の数人のメンバが1990年
代に「COBITコントロールフレームワーク」を開発した。
これは、COSO(Committee of Sponsoring Organizations
of the Treadway Commission:トレッドウェイ委員会
組織委員会)発行の『Internal Controls - An Integrated
Framework(内部統制の統合的枠組み)
』にITの内部統制
が含まれていなかったことに応えたものである。
時期:
1994年に最初のバージョンを発行
開発の参加者:
審査登録機関の有無:
主な立役者はアントワープ大学マネジメント・スクール
(University of Antwerp Management School:UAMS)
のErik Guldentops主任教授である。COBI T出版物は現在、
ISACAの提携法人であるITガバナンス協会内のC OBIT運
営委員会(COBIT Steering Committee)の責任下にある。
な し。 た だ し、C OBI Tフ レ ー ム ワ ー ク の 知 識 を 向 上 す
ることを希望する個人を対象に、オンラインのC OBI T
Foundation(ファンデーション)のコースおよび試験が
ISACAから提供されている。C OBI T文書セットの内容に
関する基本的な知識を得て、それをテストしたい個人は、
これを利用することができる。
Peter Hill著
13.1 起源/歴史
1980年代に発生したコーポレート・ガバナンスにおけるスキャンダルの結果、同様の問題
の再発を防ぐべく、ビジネス・プロセスに不可欠な内部統制を識別することを狙いとした作
135
ITマネジメント・フレームワーク
業部会が設立されました。その結果、1992年にトレッドウェイ委員会組織委員会によって『内
部統制の統合的枠組み』が発行されました。これらの内部統制は主にビジネス・プロセス
指向で、ITが関与する領域での手引きはあまり示されていませんでした。
EDP監査人協会(現在は情報システムコントロール協会(ISACA)として知られている)
には『コントロール目標』という出版物があり、当時のメンバに広く使用されていました。
欧州の少数のEDPAAメンバがそれより優れたものの必要性を認識し、監査人の作業実施を
支援することを当初の目的として、より改善され調和の取れたITのコントロールフレーム
ワークの開発に取りかかりました。C OBI Tはこの時点から、より優れたITマネジメントの
ためのフレームワークへと飛躍的に成長してきました。
C OBITの開発は、アントワープ大学マネジメント・スクールのErik Guldentops主任教授の
ビジョンと推進力に牽引されてきました。1994年の初版からCOBITイニシアチブが発展して
いくにつれて、様々な段階で数多くの貢献者が関与し、調査、開発、レビュー、品質保証
を含む幅広い役割を担ってきました。
C OBI T出版物は現在、ISACAの提携法人であるITガバナンス協会内のC OBI T運営委員会
(COBIT Steering Committee)の責任下にあります。COBIT運営委員会は、全ての関連出版
物に対して品質管理を実施しています。1994年の初版から、COBIT本体は1996年と2000年に
新しいリリースが発行され、最近では2005年にC OBI T 4.0が発行されました。その間、次の
ような補完的出版物がISACAによって数多く発行されました。
1998 - COBIT導入ツールセット(COBIT Implementation Toolset)
2003 - ITガバナンス導入ガイド(IT Governance Implementation Guide)
2003 - COBITクイックスタート(COBIT Quickstart)
2003 - COBITオンライン(COBIT Online)
ISACA発行のその他の関連出版物には、数多くの委員会報告と、ITガバナンスに該当する
様々なテーマを扱った専門文書があります。
所有権と著作権はISACAのITガバナンス協会に帰属します。資料の商用目的での使用は、
ISACAによってライセンスを供与された組織に限定されています。ISACAから最初に提供
を受けた法人以外が資料を配布することは違反行為です。ただし、出版物の価格は安価で
入手も容易です。会員の場合、大抵は無料で、非会員の場合もわずかな費用で入手できます。
13.2 COBITの利用領域
ITプロセスの領域とアクティビティの包括的な説明を含む高位のフレームワークとして、
COBITは次のような幅広い読者に有用な手引きを提供します。
自社のIT組織またはサービス・プロバイダをより深く理解するためのダッシュボードま
たはバランス・スコアカードを求めている事業経営者
達成した成果を伝達し、また部下のアクティビティをビジネス・ニーズに一致するよう
に方向付けたいITマネジメント
136
COBIT - Control Objectives for Information and related Technology
ビジネス上の期待に応じられるような適切な方法で日々の作業を行う能力を開発しよう
としているITスタッフ
C OBI Tフレームワークはまた、財務報告、サーベンス・オクスリー法、バーゼルII、その他
多くを含む、ますます増え続ける法令上、規制上、契約上の要件を満たすために不可欠な
ITおよびコントロールをより深く理解することを望む、外部および内部の監査コミュニティ
に広く採用されてきました、
第4版となったこのITのオープン・フレームワークは、今や、ITにおける優れた実践基準の
包括的な優良プロセス・モデルとして世界的に受け入れられています。事実上の標準という
地位は、提供された内容の詳細についてバランスを取ってきたことによる結果です。このバ
ランスというのは、役に立つ手引きを提供するのに十分な情報と、アクティビティそのも
のを行う方法ではなく、必要とされる事柄に重点を置くのに足りるだけの簡潔な情報との
間におけるものです。C OBI TフレームワークはITに対するビジネス要件を理解することに
かなり重点を置き、ITのベストプラクティスの参照にはあまり依存していません。そのため、
このフレームワークは、企業の経営者、ビジネス・リーダ、および上級ITマネジメントにとっ
て特に魅力的ですが、特定の手引きを示す作業指示に、より関心のあるITの初心者にとっ
てはあまり魅力的ではありません。
結果的に、現在では世界中の数多くの組織がC OBI Tを使用しています。これにはおそらく、
サーベンス・オクスリー法の要件に対応する必要のある全ての組織が含まれています。そ
れらの組織には、法人自体だけでなく、多くの場合そのサービス・プロバイダも含まれて
います。
13.3 説明と主な図表
C OBI Tフレームワークでは、ITアクティビティを34個のプロセスに整理し、それらのプロ
セスをデミングのPDCAの構造に従う4つのドメインに分割しています。関連するITアク
ティビティは個別のプロセスに集約されて相互に参照され、ビジネスの期待に沿ってITを
管理するための、統合されたITプロセス・セットとなります。
プロセスレベルでは、期待される結果(プロセス達成目標)の説明が、それぞれのプロセス
特有のリスクに対抗するために考慮しなければならない最低限のコントロール(詳細なコン
トロール目標)とともに記載されています。また、組織のビジネス・アクティビティをサポー
トする現在の能力を評価するためのモデル(成熟度モデル)も、要員、技術、およびプロ
セスの詳細と関連付けて記述されています。COBIT 4.0には、プロセスレベルでの役割と責任、
およびプロセス間の関係に関する追加の情報が含まれています。
フレームワークでは、アプリケーション・システム、情報、インフラストラクチャ、およ
び要員を含むITのプロセスや資源を使用して、品質、信用、およびセキュリティの要件を
満たす価値のある重要な特徴を持つ情報をビジネスに提供する方法を示しています。
個々のプロセスをIT達成目標に対応付け、そのIT達成目標をビジネス達成目標に対応付け
る手引きが提供されます。これによって、ITプロセスとビジネス目標との整合性が図れま
す。その結果、C OBI Tフレームワークを使って、IT組織がいかに価値をもたらすかをビジ
ネスに伝えるバランス・スコアカードを作成できます。バランス・スコアカードの概念を初
めて取り入れるか、または自社で最初のバージョンを開発しようとしている企業にとって、
137
ITマネジメント・フレームワーク
ビジネス目標
ガバナンス目標
COBIT
ME1 IT成果のモニタリングと
評価
ME2 内部統制のモニタリング
と評価
ME3 規制に対するコンプライ
アンスの保証
ME4 ITガバナンスの提供
情報
モニタリングと評価
・有効性
・効率性
・機密性
・インテグリティ
・可用性
・コンプライアンス
・信頼性
PO1 IT戦略計画の策定
PO2 情報アーキテクチャの定義
PO3 IT技術指針の決定
PO4 ITプロセスと組織およびその関わりの
定義
PO5 IT投資の管理
PO6 マネジメントの意図と指針の周知
PO7 IT人材の管理
PO8 品質管理
PO9 ITリスクの評価と管理
PO10 プロジェクト管理
計画と組織
IT資源
・アプリケーション
・情報
・インフラストラクチャ
・要員
サービス提供とサポート
DS1 サービスレベルの定義と管理
DS2 サードパーティのサービスの管理
DS3 性能とキャパシティの管理
DS4 継続的なサービスの保証
DS5 システムセキュリティの保証
DS6 コストの捕捉と配賦
DS7 利用者の教育と研修
DS8 サービスデスクとインシデントの管理
DS9 構成管理
DS10 問題管理
DS11 データ管理
DS12 物理的環境の管理
DS13 オペレーション管理
調達と導入
AI1
AI2
AI3
AI4
AI5
AI6
AI7
コンピュータ化対応策の明確化
アプリケーションソフトウェアの調達と保守
技術インフラストラクチャの調達と保守
運用と利用の促進
IT資源の調達
変更管理
ソリューションおよびその変更の導入と認定
図13.1 4つのドメインとして定義されたCOBITのITプロセス(出展:COBIT 4.0、ISACA)
COBIT文書は、何ヶ月または何年もかからずに、数日で開始するのに十分なバランス・スコ
アカードを提供してくれます。
ビジネス達成目標と、ビジネス要件に関する情報の作成を支援するITプロセスがわかって
いれば、このフレームワークから、ITプロセスのコントロールの方法および不可欠なコン
トロールプラクティス(コントロールの実践基準)と、レビュー実施の際に使用される監
査のガイドラインが分かります。
138
COBIT - Control Objectives for Information and related Technology
ビジネス
情報
要件
ITプロセス
コント
ロール
監査
ガイドライン
コントロール
プラクティス
場
合
結果の場合
査
導入
効率化
および
の
重要目標
達成指標
(KGI)
度
重要成果
達成指標
(KPI)
実施事項の
達成目標
熟
成
合
成
果
場
の
監
換
測
コントロール
目標
変
有効化
定
成熟度モデル
図13.2 COBITの詳細なコントロール目標(出展:COBIT 4.0、ISACA)
プロセスごとの詳細なコントロール目標によって、プロセスおよび不可欠なコントロール
内のフローをある程度理解できます。これを、基本的なプロセスとそのコントロールを理
解するのに使用できます。プロセスに関する追加の詳細は、プロセス固有の成熟度モデ
ルと、C OBI Tの主要な文書セットとは別の出版物である、より詳細な『Control Practice
Statements』(コントロールプラクティス)から取得できます。ITコントロールプラクティ
スは、マネジメント、サービス・プロバイダ、エンド・ユーザ、およびコントロールの専
門家にとってコントロールがどのように必要とされ、またなぜ必要とされるのかをさらに
詳しく実務者に説明することによって、COBITフレームワークの能力を拡張しています。
アクティビティのレベルでは、プロセスを効果的にすることを目的としたアクティビティ
の達成目標、ビジネスの期待に焦点を合わせた重要目標達成指標、日々のアクティビティ
を管理するための重要成果達成指標が記載されています。
マネジメントおよびスタッフが主に関心を持つものは次のとおりです。
「フレームワーク」: ITの4つのドメインと、それぞれビジネス要件に関連付けられた
34個のプロセスによるCOBITの編成について説明する
「コントロール目標」: 管理ITアクティビティに対する優れた実践基準の一般的なガイド
ラインを提供する
「コントロールプラクティス」: コントロールを導入する意義および導入方法のガイドラ
インを提供する
「IT保証ガイド」: COBITの全てのITプロセス監査について、一般的な監査アプローチお
よび対応するガイドラインを提供する
139
ITマネジメント・フレームワーク
実践基準
責務
Board Briefing on
IT Governance, 2 nd Edition
経営者および取締役会
・成果の測定基準
・アクティビティの達成目標
・成熟度モデル
マネジメントガイドライン*
ビジネス部門およびIT部門の管理責任者
ITコントロール
フレームワークとは?
ITコントロール
企業への導入方法は?
フレームワークの評価方法は?
ガバナンス、保証、コントロール、およびセキュリティの専門家
COBITフレームワーク*
IT保証ガイド
ITガバナンス導入ガイド
コントロール目標*
SOX法対応の
ITコントロール目標
COBITクイックスタート
コントロールプラクティス
COBITセキュリティベースライン
* 現在はCOBIT 4.0に統合
図13.3 COBIT出版物のリスト(出展:COBIT 4.0、ISACA)
「サーベンス・オクスリー法(企業改革法)遵守のためのIT統制目標」
: COBITコントロー
ル目標を基にIT環境のコンプライアンスを確保するためのガイドラインを提供する
「ITガバナンス導入ガイド」: 専任のプロジェクト・チームを使ってITガバナンスを導入
するための一般的なロードマップ
「C OBI Tクイックスタート」: 小規模組織向けおよび大企業の導入初期向けのコントロー
ル基準
「C OBI Tセキュリティベースライン」: 企業内で情報セキュリティを導入するための必須
手続
COBITは、広範な業界の様々な成熟度の大企業と小規模組織の両方に向けたガイドとして設
計されたフレームワークですが、最も大切なことは、そこには異なるビジネス達成目標を
持ち、そのためIT管理に対する期待も異なる利害関係者が存在するということです。
幅広い読者に対応するため、COBITフレームワークの内容は一般的であり、そのため標準と
いうよりガイドラインとして最も効果を発揮します。
認証制度を導入する意図はありません。COBITは、ITILやその他のプロセス・フレームワー
クと同様に、優れた実践基準の情報源として役立つガイドラインです。ベストプラクティス
は組織にとって内部的なもので、ITに対するビジネス・ニーズによって推進されます。例
えば、現在ERPソリューションを導入している組織のビジネスは、IT機能、そのコンサル
タント、およびベンダに対し、関連するITプロセスにおいて適切ではあるがそれぞれ異な
140
COBIT - Control Objectives for Information and related Technology
るレベルの能力を期待する場合があります。COBITはそれぞれの能力を理解するのに役立つ
ツールですが、その能力は、普遍的なベストプラクティスの一部の概念ではなく、組織の
ニーズに照らして測定するべきです。ビジネスの期待においては何よりもまずコンプライ
アンスが求められます。従って、バランス・スコアカードや重要目標達成指標といったツー
ルを使用することによって成果を理解するべきです。
ベストプラクティスは究極の達成目標ではありません。COBITフレームワークは、組織がビ
ジネスの成功に必要な事柄を理解するのを促進し、組織およびスタッフがビジネスの成功
にとって必要なアクティビティを整理し実行する最善の方法を判断できるようにします。
COBITフレームワークの知識を向上することを希望する個人を対象に、オンラインのCOBIT
ファンデーションのコースおよび試験がISACAから提供されています。
13.4 アプローチ/方法
COBITを導入する単一のアプローチというものはありません。フレームワークの適用方法は
複数あり、最も一般的には、年次財務諸表の準備に関する評価として適用されています。
サーベンス・オクスリー法に対するもの等のコーポレート・ガバナンスのコンプライアン
ス要件によって、IT部門内の運用レベルで財務報告に対する適切なコントロールの導入が
必要となり、COBITの人気がますます高まっています。将来的にも、コンプライアンス要件
によってIT部門の適切な運用リスク管理アクティビティが引き続き必要とされるでしょう。
そのため、コントロールは維持可能な方法で実施する必要があります。
IT組織の提供能力を理解することへの関心は高まってきています。C OBI TはIT能力の改善、
成果の測定、およびバランス・スコアカードの開発において、ますます重要な役割を担い
始めています。特定のITプロセスを分析することによって、大規模なERP環境をアウトソー
シングするか、またはうまく管理できるかどうか、組織の能力について判断を下すことが
できます。デスクトップ管理、ソフトウェア・ライセンスの最適化、契約等の領域におけ
る独自の改善は、COBITを使用して必要なプロセスと達成した成果の両方に重点を置くこと
によって、計画および方向付けできます。
C OBI Tに基づいたITガバナンスの導入は、大抵の場合、2つの方法のいずれかで実施されま
す。1つ目の方法では通常、既に実施されている状況と、期待する状況(結果の対象)の青
写真とを比較した測定値を使ったギャップ分析によって実施します。
2つ目の方法(こちらの方が信頼性が高い)は、特定のビジネスのバリュー・チェーンのレ
ビュー等を含むビジネス・ニーズ分析をベースにしたもので、これをサービス提供を支え
るITサポート・プロセスと、ビジネス・プロセスの成果に関連付けます。
全面的なITガバナンスの導入にかかるコストは、IT資本支出および運用予算の2∼10%にお
よびます。これは、開始時のIT組織の成熟度、イニシアチブに設定された達成目標、内部
および外部の資源の可用性によって異なります。
141
ITマネジメント・フレームワーク
多くの組織では、全面的なITガバナンスよりも小規模のものを選択し、価値の提供、ITの
整合性、資源の最適化、リスク管理等の特定のテーマに対処する幾つかの中核的プロセス
に重点に置くことを好みます。
ITガバナンスの改善のイニシアチブを開始する前に、まず、成功とはどういったものであり、
その評価を誰が行うのかについて合意しておく必要があります。ITのシステムとプロセス
を単に改善するだけでは意味がなく、ビジネスがその達成目標を実現できるようにシステ
ムとプロセスを改善することに真の価値があります。COBITを利用したあらゆる改善のイニ
シアチブは、ビジネスにとっての結果に重点を置くものでなければなりません。
C OBI Tの認証はなく、適切でもありません。その主要な達成目標は、ITプロセスがビジネ
ス要件を満たすことだからです。
13.5 ITマネジメントとの関連
ITマネジメントはC OBI Tフレームワークを使用してより優れたガバナンスを導入すること
によって、能力の構築、特定のプロセスのアウトプットを達成することを視野に入れたIT
アクティビティの方向付け、およびビジネスの達成目標を実現した成果の測定という3つの
領域で、直接利益を得ることができます。
リスクの管理、戦略との整合、価値の提供、資源の管理、および成果の測定が、COBITフレー
ムワークの使用によって改善されます。COBITはまた、情報セキュリティ管理の基礎の確立、
またはコストの最適化等の実施や、デスクトップ管理といったプロジェクトの実行にも使
用できます。大規模なERPソリューションをアウトソーシングまたは導入する前に、ITマ
ネジメントはCOBITフレームワークを利用して、導入に際しての自社の準備体制と、関連す
る特定プロセスの能力についてより深く理解しておくことができます。これによって、組
織の準備の方向性が決まります。このことは成功に不可欠です。ITマネジメントと企業幹
部がサードパーティのソリューションとサービス・プロバイダの真の能力をより深く理解
していれば、多くのERPおよびアウトソーシングの失敗は回避できていたでしょう。マネ
ジメントはサードパーティとの業務提携についてもっとうまく計画を立て、起こり得る惨事
を回避するための契約やサービスレベル・アグリーメントを十分に準備するために、COBIT
を活用するべきです。
13.6 強みと弱み
COBITの簡潔で理解しやすいという強みに反して、プロセスを導入するべき方法についての
詳細を求める人に対して、限られた手引きしか提供されていないという批判があります。そ
のため、COBITは導入のツールというより評価のツールに適しています。内容は広範ですが、
詳細は包括的ではありません。C OBI TをベースにしてITガバナンスを導入するには、詳細
なコントロール目標と成熟度モデルから引き出された一連のアクティビティ間のギャップ
を埋めるために、プロセスに関する十分な経験または他の優れた実践基準の情報源を利用
できる必要があります。
COBIT 4.0では、実行責任(Responsible)/説明責任(Accountable)/協議(Consulted)/報告
(Informed)を示すRACIチャートを紹介して各プロセスでの役割と責任を挙げていますが、
責任を十分に定義してプロセス全体に割り当てる方法は説明していません。KPIとアクティ
ビティ、プロセス、IT達成目標、およびビジネス達成目標を関連付ける成果の指標は表面
142
COBIT - Control Objectives for Information and related Technology
的に扱われ、複雑なITプロセスの場合でも3つか4つの指標しか示していません。多くの重
要プロセス領域は現在の指標の範囲外になっています。
ただしC OBI Tは、プロセス成熟度、一般的なプロセス達成目標、詳細なコントロール目標、
コントロールプラクティスといった他ではあまり使用されない概念を提供しています。世
界中のほとんどの組織が次のような成熟度レベルが1の状態であるため、これらの概念はか
なり役に立ちます。
全てのプロセス領域で、効果的なパフォーマンスに必要なプロセスオーナがほとんど定
義されていない
プロセスの全ての参加者に対して責任が正式に割り当てられていない
十分適切に定義されたプロセスがない
ビジネスを満足させるプロセスの達成目標と成果が実現されていない
ポリシー、計画、および手続が、個々のプロセス領域に責任のある要員をサポートする
のに適していない
COBITでは、プロセスPO4でプロセスのオーナシップについて記述していますが、導入時の
課題の克服については扱っていません。導入期の課題とは、ビジネスをサポートするITの「縦
割り」、プロセス間の関係とプロセス間に必要な緩やかな結合、詳細すぎるのを避けながら
も意義を持たせるようにプロセスを定義するべき度合い、スタッフに必要なことを実行さ
せるための権限委譲、階層的なマネジメント・スタイルとプロセスベースのアプローチと
の間の衝突等です。また、COBITでは、将来も長期的に持続可能な改善の課題も扱っていま
せん。その結果、実務者の観点が欠けており、実際の導入についての手引きが弱く、既存
のプロセスと、それらを実行しているスタッフについては完全に無視されています。
COBITを使ったプロセス改善の計画立案と方向付けを適切に行うと、人、プロセス、および
技術といった資源に対する投資のバランスが適切に維持されるようになります。多くの場
合、最大限のビジネス上の価値を獲得しようとするうえで、人的資源が軽視され、技術資
源が過剰に重視される傾向にあります。COBITの成熟度モデル、コントロールフレームワー
ク、および成果の測定は一連の望ましいアクティビティを設定しますが、これらのアクティ
ビティは、特定の組織のプロセスを理解し、そのプロセスを定義し、競争上の優位性を模
索しながら効率性を促進してプロセス品質を改善するための自動化についての決定を行う
人がいてこそ始まります。
COBIT導入でよくある落とし穴に、改善のイニシアチブのベースをビジネス・ニーズではな
くベストプラクティスにするということがあります。現在、ビジネスをサポートする適切
に定義されたプロセスがなく、改善されたプロセスを実行するのに十分なスキルを持った
人材がいない場合、現在雇用されているスタッフ(プロセス改善と歩調を合わせて成長さ
せていかなければならない人的資源)を見落とし、欠点を克服するのに技術だけに頼ろう
としがちです。
13.7 相互参照/関係
ISACA発行の出版物は、ISO/IEC 17799:2000、ITIL、ISO/IEC TR 13335、ISO/IEC
15408:1999、Common Criteria/ITSEC、TickIT、NIST 800-14、COSOを含んだ『COBIT
Mapping』、および『Mapping between COBIT, ITIL and ISO 17799』の2つです。
143
ITマネジメント・フレームワーク
ほとんどの場合、プロセス・モデルは補完的です。C OBI Tは、全てのIT領域にわたって必
要な事柄に対する高位の包括的なフレームワークを提供しています。一方、ITIL等の個々
のプロセス・モデルは、特定のプロセス領域でのプロセスに関連するアクティビティを実
行する方法について詳細に記述しています。
C OBI Tフレームワークでは、ITアクティビティを34個のプロセスにグループ化しています。
COBITのプロセスは全て類似した構造と内容を持ち、主要な管理アクティビティ、内在する
リスクを管理するコントロール、および成果の測定を扱っています。COBITはフレームワー
クとして、非常に広範囲のITアクティビティを網羅しています。各プロセスを一貫して扱
う必要があるため、C OBI Tはかなり汎用でなければなりません。ITILフレームワークは、
主にサービスマネジメントに焦点を当てており、サービスサポートとサービスデリバリの
領域を扱う、より詳しいプロセス定義と手引きを提供しています。このため、これら2つの
フレームワークは大いに補完し合っており、読者の関心領域によってどちらかが他方より
役に立ちます。例えば、C OBI TはITアクティビティの全ての領域にわたる成果への単一の
アプローチを提供していますが、ITILはそうではありません。ただし、ITILはサービスサポー
トとサービスデリバリの成果の測定にとって役立つ、より専門的な情報を提供しています。
ITバランス・スコアカードはC OBI T 4.0フレームワークに統合された中核概念の1つです。
詳細については、第11章の「ITバランス・スコアカード」を参照してください。
13.8 リンクと文献
13.8.1 COBITに関する書籍と論文
(2005). Brand, K., & H. Boonen,
Zaltbommel: Van Haren Publishing.
.(2003, 2nd edition). IT Governance Institute(ITGI).
オンラインで入手可能:www.itgi.org/Template_ITGI.cfm?Section=ITGI&Template=/
ContentManagement/ContentDisplay.cfm&ContentFileID=4667 2006年11月1日閲覧。
Illinois, USA: ISACA.
.(2003).IT Governance Institute(ITGI).Illinois, USA: ISACA.
CobiT Security Baseline .(2004).IT Governance Institute(ITGI).Illinois, USA:ISACA.
.(Latest edition based on Cobit 4.0 to be
published in 4th quarter 2006.)IT Governance Institute(ITGI).Illinois, USA:ISACA.
13.8.2 COBITに関するウェブサイト
www.itgi.org : ITガバナンス協会(IT Governance Institute)
www.isaca.org/cobit : ISACAホームページ
13.8.3 COBITのトレーニング
ISACA : 初心者用オンラインコース(www.isaca.orgを参照)
- COBIT Awarenessコース(2時間、個人のペースで進めるEラーニング)
- COBIT Foundationコース(8時間、個人のペースで進めるEラーニング)
144
COBIT - Control Objectives for Information and related Technology
- COBIT Foundation試験(1時間、オンラインでの40問)
- COBIT for Sarbanes Oxley(4時間、個人のペースで進めるEラーニング)
IT Governance Network Limited(www.itgovernance.com)では、コペンハーゲン、
ロンドン、ニューヨーク、シンガポール、およびチューリッヒの会場で、COBITに関する
標準的で高度なトレーニングを幅広く提供している
InfoGovernance(www.infogovernance.com)では、ISACA支部と連携したトレーニン
グを欧州、中東、およびアジアで提供している
ezcobit.com : オンラインのCOBITチュートリアル
145
奥付
題名:
ITマネジメントのためのフレームワーク
作成者:
itSMF-NL
編者/監修:
Jan van Bon(編集長)
Tieneke Verheijen(編集者)
翻訳:
株式会社 アビリティ・インタービジネス・ソリューションズ
発行者:
Van Haren Publishing(ザールトボンメル、www.vanharen.net)
ISBN(13):
978 90 87530 45 7
発行日:
2006年 9月 第1版、第1刷発行
2006年11月 第1版、第2刷発行
2007年 8月 日本語版 第1版、第1刷発行
デザイン/レイアウト:
CO2 Premedia, Amersfoort - NL
印刷:
Wilco, Amersfoort -NL
Van Haren Publishingへのお問合せは、次の電子メール・アドレス宛てにお送りください。
[email protected]
国際組織であるitSMFは、世界中のitSMF支部からのメンバによって構成される国際出版執
行委員会(IPECS)を通じて、本書に対してitSMFインターナショナルの正式な承認を与え
ました。
itSMF-NL 2006
無断転載を禁ず。本書のいかなる部分も、いかなる形式によっても、出版社の書面による許可なく印刷、写真、マイ
クロフィルムその他により複製することは禁じられています。
本書は細心の注意をもって作成しておりますが、本書の内容の誤りや記載漏れによって生じたいかなる損害に対して
も、著者、編集者、および発行者は一切の責任を負いかねます。
商標表示
PRINCE2TM、M_o_R ®、およびITIL ®は、英国、欧州連合、および米国における英国政府Office of Government
Commerceの登録商標であり、登録共同体商標です。
C OBI T ®は、情報システムコントロール協会(Information Systems Audit and Control Association:ISACA)/
ITガバナンス協会(IT Governance Institute:ITGI)の登録商標です。
PMBOK®は、プロジェクトマネジメント協会(Project Management Institute:PMI)の登録商標です。
eTOM®は、TeleManagement Forumの登録商標です。
IV
Fly UP