コンプライアンス保証の計算
保証とは、貴組織が要件を満たしていることの確信を表す計算です。保証は、具体的な基準または規制を遵守する上でどの程度の作業が必要かを示すために、コンプライアンス マップにおいて貴重な計算です。
機能の仕組み
統制を要件にマッピングし、各統制に統制の重みを指定したら、保証スコアが、コンプライアンス マップに自動的に表示されます。
保証スコアが表示される仕組みは?
コンプライアンス マップでは、要件レベルと基準/規制レベルの両方で、保証スコアが表示されます。各保証スコアは、0~100 のパーセントで表示されます。
保証スコアの例
単一の平均的な保証スコアは、基準の横に表示されます(COBIT 5 フレームワーク)。
集約された保証スコアは計算された要件の横に表示されます(APO と APO01)。
個別の保証スコアは作業要件の横に表示されます(APO01.01 - APO01.08)。
要件 APO01.04 は、100% の保証スコアです。これは、組織が、現在設定されている統制によって要件 APO01.04 が効果的に満たされていることを確信していることを示しています。
COBIT 5 フレームワークは、保証スコアが 81.25% です。これは、基準を十分に遵守している点で組織が良好な進捗を示していることになります。
保証スコアの計算方法は?
保証スコアは次に基づいて計算されます。
- 作業要件と計算された要件
- 期待される保証
- 統制スコアと実際の保証
メモ
期待される保証、統制スコア、および実際の保証は、コンプライアンス マップには表示されません。
| 計算 | 式 |
|---|---|
| 作業要件の保証 | 実際の保証/期待される保証 |
| 計算された要件の保証と、基準または規制レベルでの保証 | SUM(子孫の作業要件の実際の保証)/ SUM(子孫の作業要件の期待される保証) |
作業要件と計算された要件の対比
コンプライアンス マップは、作業要件と計算された要件から構成されています。作業要件は、コンプライアンス マップにアイコン 
付きで記載されています。
- 作業要件 統制に直接マッピングされた要件
- 計算された要件 作業要件の先祖または子孫
例
シナリオ
次のマッピングを作成します。
- 統制 A への要件 1.1.1
- 統制 B への要件 1.1.2
結果
| 要件 | 要件の種類 | マッピングされた統制 |
|---|---|---|
| 要件 1 | 計算された | 関連する統制(A、B) |
|
計算された | 関連する統制(A、B) |
|
作業 | A |
|
作業 | B |
期待される保証
期待される保証は、要件を満たしている組織の期待値から導かれる計算です。
| 要件の種類 | 期待される保証の計算 |
|---|---|
| 作業 |
期待される保証 = 1 メモ
これは、統制がテストされる前の保証を表す基準スコアです。 |
| 計算された | SUM(子孫の作業要件の期待される保証) |
例
要件 1.1.1 と 1.1.2 は、作業要件であり、それぞれに、1 の期待される保証があります。
要件 1 と 1.1 は計算された要件です。期待される保証は、要件ツリーに集約されます。
- 要件 1.1 の期待される保証 = 2 (1 + 1)
- 要件 1 の期待される保証は、要件 1.1 (2) と同じです。
| 要件 | 要件の種類 | 期待される保証 |
|---|---|---|
| 要件 1 | 計算された | 2 |
| 要件 1.1 | 計算された | 2 |
|
作業 | 1 |
|
作業 | 1 |
統制スコアと実際の保証
統制スコア
統制スコアは、統制テストに合格、不合格、あるいはテスト未実施の状態から導かれる計算です。
統制と要件間での各マッピングの統制スコアは次のように計算されます。
- その他がテストされていない場合でも、すべての統制テストが合格する OR 適用可能な統制テストの 1 つ以上が合格する場合に、統制スコア = 1 になります。
- いずれかの統制テストに不合格の場合は、統制スコア = 0 になります。
実際の保証
実際の保証は、統制テストの合格、または不合格の状態と、統制が対象とする要件のパーセントから導かれる計算です。
- 統制と要件間での各マッピングの実際の保証は、次の式を使用して計算されます:
統制の重み x 統制スコア
- 要件の実際の保証は、次の式を使用して計算されます。
SUM(すべての統制-要件マッピングの実際の保証)
例
シナリオ
要件 1.1.1 を統制 A に、統制 1.1.2 を統制 B にマッピングします。
統制 A と統制 B に統制の重みを 50% に指定します。統制 A はすべてのテストに合格しましたが、統制 B は 1 つのテストに不合格となりました。
結果
| 要件 | 要件の種類 | マッピングされた統制 | 期待される保証 | 統制の重み | すべてのテストに合格? | 統制スコア | 実際の保証 |
|---|---|---|---|---|---|---|---|
| 要件 1 | 計算された | 関連する統制(A、B) | 2 | -- | -- | -- | 0.5 |
|
計算された | 関連する統制(A、B) | 2 | -- | -- | -- | 0.5 |
|
作業 | A | 1 | 50% | Y | 1 | 0.5 |
|
作業 | B | 1 | 50% | N | 0 | 0 |
保証の操作例
組織は COBIT 5 フレームワークを遵守する必要があります。次の目的でコンプライアンス プログラムを始めます。
- ビジネスで直面している法律上の義務および検討事項に取り組む組織のコミットメントを示す
- デューデリジェンスを実証する
- 組織のスタッフに許容される行為の境界線を明確にする
- 非遵守のコストを軽減する可能性を提供する
例
手順 1: 統制を要件にマッピングする
COBIT 5 フレームワークを遵守するには、適用可能な要件を特定し、統制を要件にマッピングします。
| 要件 | マッピングされた統制 |
|---|---|
| 要件 1 | 関連する統制(A、B) |
|
A |
|
B |
| 要件 2 | 関連する統制(C、D) |
|
C |
|
D |
結果 要件 1.1、1.2、2.1 と 2.2 はすべて作業要件であり、それぞれの期待される保証スコアは 1 です。要件 1 と要件 2 のそれぞれの期待される保証スコアは 2 であり、この値は要件ツリーの集約 (1 + 1 = 2) に基づいています。
手順 2: 統制の重みを指定し、統制をテストする
統制をマッピングしたら、各要件を対象とする各統制のパーセントを指定し、統制をテストして、それが合格か不合格かを確認します。
| 要件 | マッピングされた統制 | 統制の重み | テストに合格 |
|---|---|---|---|
| 要件 1 | 関連する統制(A、B) | -- | -- |
|
A | 50% | はい |
|
B | 25% | はい |
| 要件 2 | 関連する統制(C、D) | -- | |
|
C | 25% | いいえ |
|
D | 25% | はい |
結果 統制 A、B、および D がテストに合格し、それぞれの統制スコアは 1 になります。統制 C はテストに不合格であったため、統制スコアは 0 になります。
手順 3: 保証スコアを表示する
統制の重みを指定し、統制をテストしたら、各要件の保証スコアと、COBIT 5 フレームワークの保証スコア合計を表示します。
統制と要件間の各マッピングの実際の保証は、次のように計算されます。
統制の重み x 統制スコア
作業要件の保証は次のように計算されます。
実際の保証/期待される保証
計算された要件の保証と、基準または規制レベルでの保証は次のように計算されます。
SUM(子孫の作業要件の実際の保証)/ SUM(子孫の作業要件の期待される保証)
| 要件 | 期待される保証 | 実際の保証 | 保証 |
|---|---|---|---|
| 要件 1 | 2 | 0.75 | 38% |
|
1 | 0.5 | 50% |
|
1 | 0.25 | 25% |
| 要件 2 | 2 | 0.25 | 13% |
|
1 | 0 | 0% |
|
1 | 0.25 | 25% |
集約された結果
- 期待される保証 = 4
(要件 1 と 2 の期待される保証 = 2 + 2)
- 実際の保証 = 1
(要件 1 と 2 の実際の保証 = 0.75 + 0.25)
- 保証 = 25%
(実際の保証を期待される保証で除算 = 1 / 4)
COBIT 5 フレームワークに準拠してビジネスを行う組織のコミットメントを示してください。ただし、COBIT 5 フレームワークを完全に遵守するためには、組織は非常に多くの作業をしなければなりません。
どのような変更が、保証が機能する方法に影響を与えますか?
保証が機能する方法に影響を与える変更はさまざまです。
| 変更 | 影響度 |
|---|---|
| 要件が適用可能でないことを指定してください。 | この要件と、そのグループのすべての子孫の要件にマッピングされたすべてのフレームワークの統制は、自動的にマッピングが解除され、保証スコアの一部として計算されません。 |
| 基準または規制の範囲を変更します。 | 範囲外である要件にマッピングされたすべてのフレームワークの統制は、自動的にマッピングが解除され、保証スコアの一部として計算されません。 |
| 要件から、フレームワークの統制のマッピングを解除します。 | フレームワークに関連付けられたプロジェクトからのすべてのテスト結果と問題は、コンプライアンス マップに集約されずに、保証スコアが更新されます。 |
| コンプライアンス マップ内のフレームワークの統制について統制の重みを定義します。 | 実際の保証スコア(コンプライアンス マップに表示されない)は再計算され、保証スコアが更新されます。 |
| 目標または統制をインポートし、フレームワークからプロジェクトに変更を同期してください。 | フレームワークの統制が要件にマッピングされる場合、プロジェクトのテスト結果と問題は、コンプライアンス マップに集約され、保証スコアが更新されます。 |
| プロジェクトをアーカイブするか、コンプライアンス マップで使用されているフレームワークの統制と以前に同期されたアーカイブ済みプロジェクトを、ロールフォワードしてください。 | アクティブなプロジェクトからのテスト結果と問題のみが、コンプライアンス マップに集約されます。保証スコアは、更新され、アーカイブ済みの、またはロールフォワード プロジェクトからテスト結果と問題を除外します。 |
| コンプライアンス マップで使用されているフレームワークの統制と同期されているプロジェクトを、アーカイブ解除してください。 | 保証スコアは更新され、アーカイブ解除されたプロジェクトからのテスト結果と問題はコンプライアンス マップに集約されます。 |
