Home / Resources / News and Trends / Industry News / 2019 / Transitioning an Enterprise From COBIT 5 to COBIT 2019

事業体のCOBIT 5からCOBIT 2019への移行

Author: Govind Kulkarni, COBIT5, CSQA, ITIL Expert, PMP
Date Published: 6 July 2020
English
Untitled Document

COBIT®5 は 2012年にリリースされ、6年後の2018年11月に、COBIT®2019 フレームワークが更新されて最初のタイトルが登場した。実践した者は、実際には事業体が更新されたフレームワークに慣れ、新しいガイダンスと基準を採用するのに数年かかることが多いことに気づかされる。重要なことは、フレームワークが変更されるペースと、事業体全体(さらには業界全体)が更新されたフレームワークを採用、実施、およびその価値を獲得するペースとの間にギャップがある。

これは何を意味するのか? 権限(者)は更新されたフレームワークをリリースする頻度を減らすべきか?いいえ否、事業体や業界にとって、最新のフレームワークを採用し実施するペースを維持するために無駄のない、迅速で、効果的なアプローチを見つけることは、より理にかなっている。そうでなければ、それらは取り残される。

事業体がフレームワークの採用と実装に時間がかかる場合、フレームワークのバージョンが新しくなる前に、特定のバージョンの価値を経営トップに示すポイントに到達することはめったにない。

トップマネジメントは、あらゆるフレームワークからの価値、迅速な勝利、投資収益率(ROI)に関心がある。上級幹部と取締役会メンバーの間で、主要な指標の典型的なダッシュボードには、売上高、利益、コンプライアンスベンチマーク、従業員の離職率、顧客の増加、IT支出対価値の提供などの飛躍が示される。トップマネジメントにとって、これらの指標が制御下にある限りは、どれも優れたフレームワークである。

ITは、COBIT 2019の存在をトップマネジメントに伝える必要がある。ITチームは、COBIT 5からCOBIT 2019に移行するための現況とタイムラインを提供する必要があり、さらに重要なのは、関連する資源への投資と期待されるROIを見積る必要がある。この状況で、事業体がCOBIT 5からCOBIT 2019にできるだけ効率的かつ迅速に移行する方法を理解することが非常に重要である。

事業体のCOBIT導入状況を確認する

COBIT® 導入に関しては、事業体は通常、いくつかのカテゴリーの 1つに分類される。:

  • 事業体は COBITや他のフレームワークについて聞いたことはなく、導入についても考慮していない。このような事業体は、ガバナンスのフレームワークがなくても比較的適切に機能するには、プロセスの監視が最小限、またはまったく不要であると考えている。
  • 事業体はまだ COBIT 4.1 を実施している。はい。リアクティブなガバナンス文化を示し、必要な場合、または、指示された場合にのみ行動する、動きの遅い事業体がいくつかある。
  • 事業体はまだ COBIT 5 リソースをトレーニングしその導入の準備をしている。
  • COBIT 5 の導入を開始している。
  • COBIT 5 の導入を完了し、COBIT 2019 への移行を計画している。
  • 事業体はさまざまな基準またはフレームワークの要素を実装するが、完全または一貫したものはない。

実践した者 にとって、急いで COBIT 2019 を実装する、またはさらに言えばそれに移行する前に、事業体がこの時点でどこに立っているかを知ることは非常に重要である。

COBIT 5 から COBIT 2019 への変更点を理解する

COBIT 5と比較してCOBIT 2019 の新機能を高いレベルで理解することが重要である。(1)

図1COBIT 5とCOBIT 2019の間の相違点

COBIT 5 COBIT 2019
イネーブラー コンポーネントと呼ばれる
ガバナンスプロセスは「確保」で始まる ガバナンス目標は「確保された」で始まる
管理プロセスは「管理」で始まる 管理目標は「管理された」で始まる
評価、方向付、監視(edm)により、透明性プロセスが確保される edm により、ステークホルダーの業務目標が確保される 調整、計画、および組織(APO)は、管理されたデータを新しい目標として持つ
APO はサプライヤー管理プロセスを持つ APO は管理されたベンダー目標を持つ
構築、取得、実装(BAI)には、プログラムとプロジェクトの管理が 1つのプロセスとなる 管理されたプログラムと管理されたプロジェクトは、2 つの異なる目標である

 
は変更管理プロセスがある BAI は管理された IT 変更目標がある 監視、評価、アセスメント(MEA)は管理された保証目標を持っている
プロセス参照モデル COBIT コアモデル
5 つの原則 ガバナンスシステムには6つの原則がある ガバナンスフレームワークには3つの原則がある
17の事業体目標 13の事業体目標
17 のT 目標 13 の IT目標
11のデザインファクターが紹介されている。 ISACA Excel ベースのデザインツール を作成した
  1. Excelベースのツールをダウンロードする
  2. デザインファクターワークブックを選択する (例:デザインファクター3-リスクプロファイル)
  3. 「重要度」セルに値を入力する。
  4. 出力セクションを参照し、入力の選択に基づいて40の目標とすべての相対的な重要性がどのように評価されるかを見る
  5. 11個すべてのデザインファクターに対して繰り返す。
  6. 相対的に重要な目標に注意を払う。これは、デザインファクターに基づき、導入の目標に優先順位を付けるのに役立つ
COBIT 2019とデザインファクターを初めて使用する場合は、Excelツールを使用する前に各デザインファクターを詳細に検討することを強く勧める。
プロセスアセスメントモデル(COBIT® Process Assessment Model (PAM): Using COBIT® 5」)であった PAMは、引き続きプロセス能力の測定に使用できる。
国際標準化機構(ISO)国際電気委員会(IECISO/IEC 15504 情報技術に基づく能力評価 プロセスアセスメント CMMI V2.0に基づくプロセスアセスメント
基本プラクティスは、各ガバナンスおよびマネジメント目標のプロセスプラクティスと同等である。
作業成果物は情報フローと同じである
7つのコンポーネント(以前はイネーブラー)に対するすべてのパフォーマンス管理

事業体を COBIT 2019 に移行する方法

COBIT 2019 の導入は、 COBIT® 5: 導入ガイドにある同じライフサイクル導入フェーズに従う。また、COBT 2019 に移行するには、ライフサイクルフェーズを採用して適応させる必要がある。 2は、移行の概要を示すフェーズごとの概要を示している。COBIT 4.1をまだ実装し、COBIT 2019 に切り替えたい事業体の場合、次の点に注意する必要がある。

  • COBIT 4.1にはリスクITとVal ITが別々のフレームワークとしてあり、COBIT 5ではこれらが統合され、信頼できるガバナンスと管理のフレームワークが作成される。
  • COBIT 2019は一部COBIT 5に基づいており、継続性を維持しながら柔軟性を高めるために以前のフレームワークに基づいている。
  • 事業体がまだ COBIT 4.1を使用していて、COBIT 2019に切り替えたい場合、十分な数の実践者がCOBIT 5、COBIT 2019とCMMI V2.0に固有の導入方法の能力アセスメントとパフォーマンス管理の概念をトレーニングされていない限り、COBIT 5を迂回することは難しいかもしれない。

図2–COBIT 2019導入ガイダンス

 

COBIT導入のライフサイクルのフェーズ

事業体は何をすべきか?

備考

典型的な活動と成果物

フェーズ1 —ドライバーは何か?

事業体がCOBIT 4.1またはCOBIT 5を実装し始めた理由は何か?

または、

COBIT 2019に切り替える必要があるのは何か?

典型的なドライバーは、事業体がCOBIT 5以前のバージョンをまだ使用している間に、競合他社がすでにCOBIT 2019の実装を開始していることである。

 

COBIT 5は、問題点やトリガー、あるいはその両方に対処するために実装されたか?

これまでの結果はどうであったか?トップマネジメントに語る時である。

議論:

  • ガバナンス、リスク、コンプライアンス(GRC)チーム
  • 最高情報責任者(CIO)
  • 最高情報セキュリティ責任者(CISO)
  • 最高リスク責任者(CRO)
  • 最高財務責任者(CFO)
  • 最高技術責任者(CTO)

首脳部は、COBIT 2019への切り替えの根拠と正当性を提供する。

ビジネスケースを作成するか、COBIT 5ビジネスケースの更新を完了する必要がある。

前提条件として、ステークホルダーはCOBIT 5およびCOBIT 2019を使用して業務とITがどれほど適合しているかを判断する必要がある。

フェーズ2-私たちは今どこにいるか?

この時点までに何が達成されたかを調べる。

COBIT 5が実施されているか、まだ導入の場合は、展開されて通常どおりビジネス(BAU)モードになっているプロセスの数と、それらの能力レベルを確認する。

COBIT 4.1が実装されている場合、新しいバージョンへの移行を妨げているものは何か?

COBIT 2019の用語は既知で理解されているか?ステークホルダーはその解釈にどの程度適合しているか?

COBIT 5およびCOBIT 2019トレーニングを受けたITおよび業務スタッフは何人か?

COBIT 2019の新しい原則はユーザーにどのように影響するか?

現在の状況のステータスを明瞭に表現する。

経営陣は、遅延、妨げるもの、達成された値または達成されなかった値、および計画された結果と実際の結果に関する情報を求める。

以前のプロジェクトが遅れて価値が低かった場合、経営者はCOBIT 2019実装の価値の提示を理解する必要がある。

すべての詳細を準備する。

プロセスとその能力レベルのアセスメントを実施する。実装されたプロセスに対してのみこれを行う。

 

ビジネスケースを再検討し、COBIT 2019導入後に現在のメリットと予想される新しいメリットで更新する。

ITは、ガバナンス主体との会議を開催して、これまでに得られた利益とCOBIT 2019以降の期待される利益を提供する必要がある。

この段階での成果物は次のとおりである。
  • アセスメント計画、アセスメント実施者の選択
  • アセスメント報告
  • ガバナンス主体との調査結果に関する会議および議論

フェーズ3-どこにいたいか?

組織の規模に基づき、COBIT 2019コアモデルを参照ポイントに使用して、ガバナンスと万時メント構造を設計する。

注:COBIT 2019では、次の2つの目標が新たに追加された。

  • 管理されたデータ
  • 管理された保証

BAIの特定のCOBIT 5プロセスは分離されている。

  • 管理されたプログラム
  • 管理されたプロジェクト

COBIT 2019の原則を使用して導入を計画する。

.

ガバナンスから管理プロセスまで、トップダウンのアプローチを使用する。

ドメインからの1つまたは別のプロセスの無計画な実装は、最少の価値を得ることである。

管理されたデータプロセスと管理された保証を導入することにより、データ侵害のコンプライアンス非遵守をゼロにすることが目標である。

COBIT 2019のデザインファクターをそれぞれ検討する。

  1. 事業体の戦略
  2. 事業体の目標
  3. リスクプロファイル
  4. I&T関連の問題
  5. 脅威の状況
  6. コンプライアンス要件
  7. ITの役割
  8. ソーシングモデル
  9. ITの導入方法
  10. 技術の採用
  11. 事業体の規模

デザインファクターが客観的な優先順位付けにどのように影響するかを決定する。注:各デザインファクターには異なる入力がある。たとえば、デザインファクター9の導入方法には3つの入力がある。

  • アジャイル
  • DevOps
  • 既存

各デザインファクターとその入力を調査することは、目標に相対的な重要度を与えるアプローチの開発に役立つ。

最も重要なガバナンスと管理の目標を特定する。

管理されたデータと管理された保証は、事業体をデータ侵害から保護し、規制へのコンプライアンスを確保するための必須の目標と見なす。したがって、これら2つの目標を後の段階で取り上げることはできない。むしろ、最初に実装する必要がある。

フェーズ4 —何をする必要があるか?

COBIT 2019を実装するには、以下の条件が必要である:

  • 管理されたデータの目標を実装する- データのプライバシーとコンプライアンスは事業体によって維持され、トップマネジメントから業務およびITに至るまで理解される必要がある
  • 保証と監査プロセスを実装する
  • プログラム管理とプロジェクト管理を実装する

目標を再検討して、合理化する。

  • 管理されたITの変更
  • 管理されたベンダー
  • 確保されたステークホルダーの関与

COBIT 5 の37プロセスがすべて実装されている場合、COBIT 2019に切り替えるには、管理されたデータ、管理されたプロジェクト、管理された保証などの追加のプロセスが必要である。

管理されたデータの目標については、業務、システム設計、CISOおよびCIOとのワークショップを立ち上げ、データのプライバシー、コンプライアンス、法律、規制、およびセキュリティのニーズを理解する。プライバシー規則を実施するための法律は、国ごとに異なる。まず、地域の規制を満たし、次に世界の規制を満たさなければならない。したがって、ITには、ローカルおよびグローバルな規制の遵守を監視するデータプライバシー担当者が必要である。

プロセスを形成するには、次の手順に従う。

  1. 業務から要件を収集する。
  2. プロセスワークフローを立案する。
  3. ワークフローを確認し、業務部門が承認する。
  4. ツールベンダーと協力してワークフローをカスタマイズする。
  5. ユーザー向けのトレーニングを実施する。
  6. プロセスを展開してベースライン化する。

フェーズ5 —どうやってそこに到達するのか?

COBIT 5で推奨されているように、ギャップに対処するためのロードマップを作成する。

理想的には、COBIT 2019の導入ライフサイクルの7つのフェーズすべてをカバーするために、3か月の反復期間を計画する必要がある。

プロジェクト計画を使用して導入を推進する。

計画、リソース、マイルストーン、成果物、迅速な成果を考え出す。その計画には次の項目を含める必要がある。

  • 計画に従って毎日タスクを実行する。
  • ステークホルダーに毎週更新情報を提供する。
  • 遅延を管理し、品質の問題を確認する。
  • スポンサーに対する超過時間、費用、資源の課題を強調する。

フェーズ6-そこに到達したか?

CMMI V2.0を使用して、プロセスの能力を評価する。

ほとんどの業界で設定されている機能の最小要件はレベル3である。各プロセスでレベル5に到達するには数年かかる。

証拠収集はサンプルに基づいている必要がある。

証拠収集の計画と評価の報告のガイダンスを含む、COBIT® 5による アセッサーガイド使用する。

CMMI V2.0の能力と成熟度モデルを使用する。

理想的には、40のCOBIT 2019の目標すべてをX軸のグリッドに、40の目標すべてをY軸にプロットする必要がある。5つのレベルと事後のアセスメントにより、どのプロセスがどの能力に対応するかが決まる。(図3。このグラフの目的は、すべてのプロセスの能力の状況をステークホルダーに知らせることである。また、特定のプロセスの能力が低すぎると考えられる場合には、改善の優先順位付けに役立つ。

フェーズ7 —推進力を保つにはどうすればよいか?

導入で学んだ教訓について話し合う。以下を含む。

  • 遅延
  • チームの問題
  • ツールの問題
  • 協力の問題
  • 費用
  • エスカレーションの問題
  • コミットメント
  • サプライヤーの関心

測定により、すべての成果、損失、またはほぼ実現した成果を証明する。

業務、IT、COBIT 5の実践者との会議で学んだ教訓を実践する。

COBIT 2019のスポンサーは、ガバナンス主体と共にメインの招待者である必要がある。

図 3 — 現在の状態のレベルとプロセスの見取り図

結論

ここで概説されている情報は、COBIT 2019実装の最良の方法を見つけるための指針である。多くの事業体はまだトレーニングモードにある可能性があり、これらのヒントは落とし穴を回避するのに役立つ。

Govind Kulkarni, COBIT 5 Foundation, CSQA, ISO 27001 LI, ITIL Expert, PMP

IT ソリューションの提供に 20 年の経験があります。彼はソフトウェア開発のライフサイクル全般で働いており、現在は COBIT 5、ITIL、情報、サイバーセキュリティに関するトレーニングを行っています。ギャップ分析、COBIT 5 / ITIL の実装、国際標準化機構(ISO)/ International Electrotechnical Commission(IEC)ISO / ISO/IEC15504 標準を使用した評価、および世界中のクライアント向けツールのカスタマイズに関するコンサルティング業務を完遂しています。の現在の関心には、事業継続性、IT 資産とコストの管理、Web アプリケーションのスケーラビリティとパフォーマンスの最適化、予測分析、OpenStackや DevOps などのテクノロジー分野が含まれます。 CRC プレスが発行した「ソフトウェアテストのコストを削減する方法」の編集者の 1 人でした。 連絡先は goodgovind1505@gmail.com