コンポネント記述例-マネジメントガイドライン

セクション3はコントロール目標展開の詳細記述の参照例です。
ITガバナンスの実践において、ITプロセスのコントロール目標を定義していく上で、実践における規定事項と全体像を体系図として整理したマネジメントガイドラインがあります。

ITプロセス毎に3つの定義領域を示しています。

3つの定義領域とは、「インプット情報とアウトプット情報」、「RACIチャート」、「達成目標と評価指標」の定義例です。

★「インプット情報とアウトプット情報」定義
当該 ITプロセスへの入力情報と出力情報(成果物)の例です。入力
情報を受けるITプロセスと出力情報として発信する相手先のITプロ
セスが定義されています。
例えば、「PO2情報アーキテクチャの定義」のインプットの一つに、
PO1からの「IT戦略/実行計画」があり、アウトプットの例では「データ
分類体系」があり、調達と導入ドメインのITプロセスAI2へ受け渡さ
れるという記述表になっています。
34のITプロセスの関連を捉えることも出来ます。

★「RACIチャート」定義: ITプロセスのアクティビティに対する関係者の
役割りを記した表です。
「インプット情報とアウトプット情報」定義に必要なアクティビティ
(実施事項)を定義していきます。このアクティビティは、ITプロセスの
インプット情報をもとにアウトプット情報を作成するアクティビティと
なります。
このアクティビティは、“コントロール-詳細-”でのアクティビティが
参考例となります。この定義されたアクティビティに対する関係者の
責任(役割)を定義します。
この役割をRACIとして分類しているのです。RACIとは、実行責任者
(R:Responsible)、説明責任者 (A:Accountable)、協調先(C:
Consulted)、報告先(I:Informed)のそれぞれの頭文字をとったものです。

例えば、このアクティビティの中に「企業情報モデルの構築と保守」が
あります。ここでのRACI定義は、実行責任者は“設計責任者”、説明責任者
は“CIO”、協調先は“CFO、ビジネスプロセスオーナー、開発責任者、
IT管理責任者、コンプライアンス”、報告先は“企業幹部”が例として
設定されています。

★「達成目標と評価指標」定義:達成目標を上位から3段階で定義して
います。「ITの達成目標」、「プロセスの達成目標」、「アクティビティの
達成目標」とその目標の成果測定としての評価指標です。
「ITの達成目標」は、ITプロセスの定義である「PO2 情報アーキ
テクチャの定義」が達成する目標を策定します。
この目標の策定には、「情報要請規準」を参考にして策定することに
なります。このITプロセスは企業情報モデルの構築・維持ですから、
目標表現は成果の表現になります。
情報要請規準の効率性の観点で捉えると、“情報利用の最適化”、
有効性の観点で捉えると“アプリケーションのビジネスプロセスへの
シームレスな統合の実現”や“ビジネス戦略と合致するビジネス要件へ
の対応”と定義されています。

「プロセスの達成目標」は、RACIチャートで定義されていたアクティビ
ティを「プロセスの達成目標」に置き換えて記述します。
「アクティビティの達成目標」は、プロセスの達成目標に対する活動目標
記述です。
達成目標の展開が整合性をもって展開されますと、各達成目標に
対する評価指標を設定していきます。

例えば、「プロセス達成目標」の“企業データモデルの構築”に対する
KPIには、“企業データモデルに含まれないデータ要素の割合”を
重要目標達成指標として定義しています。

今回は、COBIT4.0の最終回です。次回よりIT内部統制 追加付録を
取り上げます。