ビジネス達成目標展開スキーム-その2

COBITとは、Control OBjectives for Information and related Technologyの頭文字をとったもので、「米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が策定し、提唱するITガバナンスのITプロセス成熟度を統制するフレームワーク」であり、システム管理・ガイドラインと言われています。
COBIT4.0は、米国の内部統制とバランススコアカードを組み込んだ内容で再構成されました。
COBIT第3版と比べ、内容も大きく変わりました。
COBITは、これからのシステムデザインにも大きく影響してくると思っています。
第3版と比べ、内容も大きく変わりました。このブログで、ご紹介していこうと思います。
今日はCOBIT4.0の第27回です。

(2)「達成度の測定」では、達成目標の展開が出来ると、この目標の達成度を測定する管理指標が必要です。
目標に対するKPI(Key Goal Indicator)の設定が第2ステップです。

記述例を参照してみましょう。
記述例は、引き続いて、デリバリーと支援のITプロセス「DS05 システムセキュリティの保証」を対象に記述しています。

★「ビジネス達成目標」の“企業の評判とリーダシップの維持”に対するKPIは、“企業の社会的評判を傷つけるインシデント件数”です。

次に、
★「ITの達成目標」として、ビジネス達成目標に対する下位目標の“攻撃に対する、ITサービスの抵抗力・回復力の確保”にKPIは“ビジネスに影響を及ぼすITインシデントの実数”を設定しています。

★「プロセスの達成目標」の“情報、アプリケーション、およびインフラストラクチャへの不正アクセスの検知、解決”に対するKPIは、“アクセス違反の回数”を設定しています。

★「アクティビティ達成目標」では、プロセスの達成目標に対する“セキュリティ要件、脆弱性、および脅威の理解”のKPIに、“監視すべきセキュリティイベントのタイプの確認とタイプごとの発生頻度”を設定しています。

KPIの設定が出来ますと、「成果の促進」が第3番目のステップとなります。

(3)「成果の促進」では、第2ステップで設定したKPIは上位のKPIと整合性を持って関連付けられているかの検証と調整です。上位にあるKPI をKGI(Key Goal Indicator)といいます。

ビジネス達成目標の展開スキームでは、KPI と KGI の関係を整理しています。
その関係を3つの基準に整理しています。
「プロセス測定基準」、「I T測定基準」、「ビジネス測定基準」に対するKGIとKPIの基準の関係です。

★「プロセス測定基準」ではアクティビティとプロセスのKPI とKGの関係を表します。
アクティビティの達成目標のKPI を達成することが、上位のプロセスの達成目標であるKGIを達成する要因となる訳です。
つまり、アクティビティの達成目標のKPI “監視すべきセキュリティイベントのタイプの確認とタイプごとの発生頻度”の目標を達成することで、上位のプロセスの“情報、アプリケーション、およびインフラストラクチャへの不正アクセスの検知、解決”を達成できるか乃因果関係の整合性を検証します。

同様に、「IT測定基準」はプロセスとITの達成目標との関係ですし、「ビジネス測定基準」は、ITのKPIとビジネスのKGIの関係です。
KPIからKGIへの関係の整合性または従属性が段階的にビジネス目標を達成する誘導要因となっていきます。

(4)「改善と再調整」は最後の視点です。改善目標としてのKPIの目標達成が未達成であったり、達成し過ぎた状態は、達成目標に対する調整を図らざるを得ません。
IT成熟度に比して、達成目標が高すぎたり、低すぎたりする状況があるからです。
さて、この「ビジネス達成目標の展開スキーム」で申し上げたいことは、ビジネス目標を達成するための実践の仕組みづくりです。

ビジネス目標を4段階の達成目標へ展開し、その目標の測定するKPI を設定し、KPIとKGI の整合性を設定し、KPIと達成目標の調整をするPDCAを形成することです。

今日はここで終わります。
次回は、「ITガバナンスと測定指標の関連」を取り上げます。