~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。
177回からは、このメルマガで「COBIT4.0」を取り上げています。
COBITとは、Control OBjectives for Information and related Technologyの頭文字をとった
もので、「米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が策定し、提唱するITガバナンスのITプロセス成熟度を統制するフレームワーク」であり、システム管理・ガイドラインと言われています。
COBIT4.0は、米国の内部統制とバランススコアカードを組み込んだ内容で再構成されました。COBIT第3版と比べ、内容も大きく変わりました。
COBITは、これからのシステムデザインにも大きく影響してくると思っています。
第3版と比べ、内容も大きく変わりました。このメルマガで、ご紹介していこうと思います。
今日はCOBIT4.0メルマガの第20回です。
今回は、「IT成熟度モデル-その4」で、内部統制成熟度モデルの成熟度属性記述を取り上げて
みようと思います。
内部統制成熟度レベル4を例として引用し、「内部統制環境の状況」と「内部統制の確立」の記述を「6つの成熟度属性の観点」で検証してみましょう。
「内部統制環境の状況」とは、ポリシー、標準および手続が整備され、実行責任が認識されている状況で、日本版内部統制での「内部統制の整備」に当たります。
「内部統制の確立」とは、重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されていることで、日本版内部統制での「内部統制の評価」に当たります。
(1)「内部統制環境の状況」からその記述のレベルをその中のキーメッセージからみてみましょう。
★“効果的な内部統制およびリスク管理環境がある。” の表現は、重要性の「認知および周知」
レベルの有無を表しています。
★“文書化された正式なコントロール評価が煩雑に実施されている。”の表現では、「標準および 手続の存在」の有無を表現し、
★“多くのコントロールは自動化されており、定期的なレビューの対象になっている。”の記述と
“コントロールの自動化に、限定的ではあるが戦術的に技術が使用されている。”の記述があり、「ツー ルと自動化」の視点を述べています。
★“マネジメント層は、コントロールに関する問題をほとんど発見できるが、全ての問題が特定されるわけではない。”においては「スキルと専門知識」のレベルを表現しています。
★“特定されたコントロール上の不備に対応するため、一貫したフォローアップが行われている。”の表現は、実行責任を記述しています。
(2)「内部統制の確立」では、
★“関連するビジネスプロセスオーナーの全面的な協力と同意を得て、ITプロセスの重要性が
定期的に定義されている。”とあり、評価のための「認知および周知」レベルを記述しています。
★“主要な利害関係者が関与する詳細且つ正確な分析の実施後に、これらのプロセスの実際の成熟 度はポリシーに基づいて、コントロール要件の評価が実施されている。”は、「評価の標準手続」のレベルを表します。
★“評価の説明責任が明確に定められ、割り当てられている。改善戦略が投資対効果検討書に よって裏付けられている。”では、「説明責任の存在とオーナーとしての説明合理性」を明確化しています。
★“期待される結果を達成する過程における成果が、一貫してモニタリングされている。コントロールの社外レビューが時折行われている。”は、「達成目標の設定および測定結果」に対するモニタリングレベルを表現しています。
内部統制の場合は、内部統制の構築と評価といった2つのプロセスが必要ですので成熟度の観点も別々の要求となっていきます。
COBITのフレームワークとしての構成要件については述べてきました。
COBITの構成要件を再整理して全体像を捉えます。その後、IT達成目標に向けてビジネス目標の展開プロセスと関係要素を整理します。
今回はここで終わります。
次回は、「COBITフレームワークの全体像」を取り上げます。
(雑感)先日、BSCのマネージャ教育をして欲しいとご依頼があり、お客様にお邪魔しました。
経営企画室の方のお話をお聞きする内に、企画室で作られている戦略マップにいくつかの問題
点があることが分かりました。KGIとKPIの指標化の観点と事業サイクルとして戦略目標です。
“整合性のある指標体系化が出来ているか”、“戦略目標が事業サイクルとしての妥当性を有して
いるか”の2点でした。
結局、企画室で納得行く戦略マップの形に改訂してから、幹部研修に進もうと言う話になり、短期間
のコンサル提案をすることになりました。
このまま、研修をやっていくと、企画室の作成した戦略マップが非難の的になりかねないというのが
一致した意見でした。こういった、ケースは多々見受けます。TQCの失敗をまた繰り返すことに
なりそうな気がしています。皆さん方のところは如何ですか?
提案している研修コースはこちらです。⇒ http://www.ism-research.com/course-2.htm
(注1)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注2)「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
で実施します。
詳細は次のURLのご参照をお願いいたします。
◆IT経営研修コース:http://www.ism-research.com/course-1.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付き
コースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4) 「IT内部統制実践知識修得コース」を実施しています。
詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発・実施しています。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎
知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「IT経営のための経営研修コース」のオンサイト研修を実施しています。
適正な価格(市価の半値以下)で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/ksb.html
http://www.gtc.co.jp/index.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html