■COBITのIT管理測定
COBITではIT管理とそのプロセス評価は、3つのレベルで定義されている。
1.IT達成目標と測定指標 : ITに関するビジネス部門の期待事項の定義
2.プロセス達成目標と測定指標 : IT目標に対するITプロセスの要求事項の定義
3.プロセス成果測定指標 : IT達成目標に対するプロセス実行状況の測定
この測定の評価は、大別すると性質の異なる2つの指標によって行われる。
1つは目標達成指標であり、もう1つは成果達成指標である。目標達成指標は「IT達成目標と測定指標」「プロセス達成目標と測定指標」に、成果達成指標は「プロセス成果測定指標」にそれぞれ対応している。
重要目標達成指標(KGI)は、ITプロセスにおけるビジネス要件の達成度を、事後的に判断する測定指標である。ここで表記されるビジネス要件は、以下4点の情報管理基準をもつ。
1.ビジネス上必要な情報の可用性
2.情報の完全性・機密性欠如のリスク
3.プロセス運用の費用効率
4.信頼性・有効性・コンプライアンスの確保
重要成果達成指標(KPI)は、達成目標実現に対応するITプロセスの実施状況を判断する測定指標である。これは能力・実践・スキルに関する指標であると同時に、目標達成に対する見込みを判断する上で大切な指標である。この指標は、プロセス管理者がITプロセスの実行にむけ効果的な指標として活用するものである。
この2つの効果的な測定指標(KGI・KPI)に共通する特性は以下の通りである。
1.目標に対する努力と成果に関する幅広い見識から導かれたもの
2.基準に対する長期的な測定数値の内部比較ができるもの
3.他企業、他業種との比較(外部比較)ができるもの
4.さまざまな手段に対応できるほど精度が高いこと
5.目標と測定数値が混同されることなく、簡易に測定できること
重要目標達成指標(KGI)と重要成果達成指標(KPI)は、この5つの特性を備えているのである。
■DS5 システムセキュリティ保証
COBITにおけるセキュリティプロセスは、ITプログラムとデータベースを核とする情報システムへの不正アクセスを防止する役割がある。DS5・システムセキュリティの保証(第3版)では、このセキュリティプロセスをビジネス達成目標の第1段階に位置付けている。それは以下4段階に区分されている。
1.アクティビティの達成目標 : セキュリティ要件・脆弱性・脅威の理解
測定指標 : セキュリティイベントのタイプ確認、タイプごとの発生頻度
2.プロセスの達成目標 : 情報・アプリケーション・インフラストラクチャーへの不正アクセスの検知・解決
測定指標 : アクセス違反回数
3.IT達成目標 : 攻撃に対するITサービスの抵抗力・回復力確保
測定指標 : ビジネスに影響あるITインシデント実数
4.ビジネス達成目標 : 企業の評判とリーダーシップの維持
測定指標 : 企業の社会的評判を傷つけるインシデント件数
この4段階は、それぞれ1・2段階にはプロセス測定基準、2・3段階にはIT測定基準、3・4段階にはビジネス測定基準が適用され、各段階の測定指標が次の各「達成目標」を規定している。しかし逆に達成目標そのものは、ビジネス達成目標から複数のIT達成目標が導かれ、そのIT達成目標から様々なプロセス達成目標が導かれ、最後に各プロセス達成目標からアクティビティ達成目標が決定されるというプロセスを経る。
いわば達成目標は、成果測定指標(KGI)によって測定され、より高位の達成目標の達成度を規定する。例えば、アクティビティ達成目標を測定する成果測定指標(KGI)は、プロセス達成目標の成果達成要因(KPI)になるのである。
