ITプロセス統制の要件-その1
今回は、「ITプロセス統制の要件」の中で、「プロセスコントロールの要件」について、述べてみようと思います。
ITプロセスに対する要求を確実に成し遂げるためには、プロセスコントロールのための実施手続を導入し、その手続が確実に実施されなければなりません。
ITプロセスの要件を実施目標や実施手続に展開する必要があります。
COBITでは、その要件を「プロセスコントロール要件」、統制のレベルを「ビジネスコントロールとITコントロール」、具体的な統制事項を内部統制の観点で「IT全般統制と業務処理統制」、「業務処理統制でなすべきこと」に整理しています。
(1) 「プロセスコントロール要件」では、プロセスコントロール実施の要件として、6つの要件を提示しています。
その内容は以下の通りです。
★プロセスオーナー:各ITプロセス毎に、オーナーを割当、責任の所在を明確にすること。
ITプロセスとは、4つのドメインとその下位にあるITプロセスを表現しています。
★繰り返し使えること:COBITプロセスは繰り返し使えるように定義すること。
継続的に維持管理していくシステムとして計画・構築されていることです。
当たり前のようですが、ビジネス目標をもとに体系的に設計されていないと、すぐにツギハギシステムになってしまいます。
★目標および結果なしえるもの:各ITプロセスについて明確な最終目標とその実現のための達成目標を設定し、効果的な実行を目指すこと。
整合性を持ったKGIとKPIを設定し、PDCAの管理プロセスを確立することです。
★役割と責任:各ITプロセスについて明確な役割、アクティビティ、および責任を定義し、効率的な実行を目指すこと。
★プロセスの成果:達成目標に対する各ITプロセスの成果を測定すること。
ビジネス目標、ITプロセス目標、ITに関するエンタープライズアーキテクチャの目標が段階的に測定できることが必要となります。プロセスの成熟度を常に測定し、改善を行うために字必要です。
現在のはやり用語で言えば、“見える化”です。
★ポリシー、計画、および手続:ITプロセスの柱となる各ポリシー、計画、手続について、文書化、レビュー、更新、承認を行い、全ての関係者に周知することです。
以上の6点です。
COBITでは、このコントロール要件を第4章で「コアコンポネントの記述例」として整理しています。
4章の時点で詳述しますが、以下の4つのカテゴリーで例示しています。
★4つのドメインの各ITプロセスごとに、各ITプロセスの必要インプット項目とアウトプット項目を整理。
★アクティビティと役割、責任の指針はRACIチャートを作成。
ITプロセスの各アクティビティ(機能)ごとに、RACIを設定した体系図を例示しています。
RACIとは、「実行責任者(R:Resposibility)」、「説明責任者(A:Accountability)」、「協業先(C:Consulted)」、「報告先(I:
Informed)」の各役割を言います。
★アクティビティの主要目標例を例示。
各ITプロセスごとに、IT達成目標、プロセス達成目標、アクティビティ達成目標を記述しています。
★測定指標としてIT達成目標のKPI ,KGIの設定。
主要目標に対するKPIの設定、またKGIとKPIの関係付けを例示しています。
これらの内容が、4つのドメインのもとに、ITプロセスごとの統制フレームワークとして参考例として記述され、ガイドラインとなっています。
この例示で、プロセスコントロール要件の定義内容をわかり易くしています。
今回はここで終わります。
次回は、「ITプロセス統制の要件-その2」について解説します。