アクティビティコントロール目標例

今回は、「アクティビティコントロール目標」です。ITプロセスの構造とその目標について整理しておきます。

COBIT4.0では、34個のITプロセスは、さらに215個のアクティビティに展開されています。
アクティビティは34個の各ITプロセスの機能を達成する役割を表します。
この役割を達成することが、ITプロセスの機能を達成することになります。

例えば、「PO2 情報アーキテクチャの定義」プロセスを取り上げてみましょう。
アクティビティとして、「企業のアーキテクチャモデル」、「企業データディクショナリとデータ構文規則」、「データ分類体系」、「インテグリティ管理」の4つの役割を定義しています。

ITプロセスは、業務プロセスとしての構造展開を表していますが、アクティビティはIT実施作業要件を表すと考えて良いでしょう。

「情報アーキテクチャの定義」プロセスには、4つのアクティビティが定義されています。
このアクティビティは、当該ITプロセスの達成作業要件であることから、COBITではコントロール目標と呼びます。

このコントロール目標とは、「企業の情報アーキテクチャモデル」、「企業データディクショナリーおよびデータ構文ルール」、「データ分類体系」、「インテグリティの管理」です。

これらの4つの目標を達成することで「情報アーキテクチャの定義」プロセスの機能が全うできるということです。

それぞれのコントロール目標は、
★「企業の情報アーキテクチャモデル」とは、
企業の情報体系を構築することです。ビジネス目標達成に有効な情報を発する人や
アプリケーションが定義され、同様にデータを利用する人やアプリケーションが
目標とする情報との関連付けが為されていなければなりません。
内部統制でも、重要勘定科目に係るアプリケーションを押えていきますね。
内部統制の情報アーキテクチャモデルです。この体系を作ることで、情報要請規準
に対する漏れや、構築すべきアプリケーションが見えてきます。
つまり、“必要情報とその項目の入手体系”を決める必要があります。

★ 「企業データディクショナリーおよびデータ構文ルール」とは、
アプリケーションとシステムの関係が分かりますと、必要なデータ要素がシステム
上で共有できるルール付けが必要です。データディクショナリーの下に互換性の
あるデータ共有ルールが維持されることが必要です。
“運用ルールとデータ様式の統一化” が必要です。

★ 「データ分類体系」とは、
内部統制でいう「アクセス権限」です。データを分類し、オーナーとユーザーを
明確にすることです。 必要な人に必要な情報が提供できるようにセキュリティ
が必要となります。
“アクセス権限とセキュリティ”の整備です。

★ 「インテグリティの管理」とは、
データベース間のデータの整合性が保てることです。受注ファイルと発注ファ
イル、在庫ファイルの整合性が保たれることはこの管理に該当します。
さて、 「情報アーキテクチャの定義」プロセスにおける4つのコントロール目標は
理解できましたが、この定義をIT業務プロセスの成熟度向上に対して、いかに適用
するかをみて行きましょう。

今回はここで終わります。次回は、「コントロール目標と成熟度の視点」を取り上げます。