ITガバナンスとは、企業のIT化およびその成果を引き出すために欠かせない考え方です。
DX(デジタルトランスフォーメーション)をはじめとした企業のIT化推進に合わせて、その内容を監視したり統制したりするためのルールづくりが重要視されています。
こちらではITガバナンスの基本と、役立つフレームワークなどの情報を紹介します。
いま注目のITガバナンスとは?
ITガバナンスは、企業のIT化や関連技術および環境の構築・導入を、正しくコントロールする仕組みや考え方を意味します。
IT化やDX化は多くの企業の課題として取り上げられていますが、その効果を最大限に引き出すにはITガバナンスのような仕組みや規律が必要です。
ITのシステムを効率的・効果的に利用する環境を組織内に構築し、成果を生み出すのが役割となるでしょう。
ITガバナンスには上記のような意味があると考えられていますが、まだ新しい概念であるため明確な定義はありません。
さまざまな意見や考え方がありますが、「コーポレートガバナンス」が言葉の元になっていると言われています。
コーポレートガバナンスとは、企業の経営状態が正常であるようにチェックすることです。
そこから派生した結果、企業の「IT活用」を具体的な方法で確認することが、基本的な意味と捉えられることが多くなっています。
ITガバナンスが重要視される理由
ITガバナンスが重要視されるようになった理由はいくつかありますが、そのひとつが2002年4月に起きたみずほ銀行による大規模なシステム障害の事例です。
3つの銀行のシステムを「みずほ銀行」に統合するプロジェクトを進めていましたが、方針の決定や作業の進捗が上手く進まず、稼働テストにも遅れが発生してしました。
それでもみずほ銀行は予定通りに実行してしまい、結果的に初日からATMの停止、口座振替の遅延、二重引き落としなどの致命的な問題をいくつも起きてしまいます。
そのトラブル件数は250万件以上とも言われ、みずほ銀行にとって大きな痛手となったのです。
上記の事例がきっかけになり、IT化はメリットだけでなく、手法を誤れば大きな損失につながることが認知されました。
そこでIT化を正しく管理して運用するための仕組みであるITガバナンスが、多くの企業で重要視されるようになったのです。
ITガバナンスにおける8つの構成要素
ITガバナンスにおいては、重要な構成要素があります。
それぞれの要素の詳細を把握し、自社に取り入れていくことが基本となるでしょう。
以下からは、自社の構成につながるそれぞれの要素について解説します。
組織
企業のIT戦略の全体をコントロールするには、情報システムに関する組織の確立および最適化が必要です。
CIO(最高情報責任者)やIT担当役員を決定し、責任部門を設立して組織全体で取り組んでいきます。
業務
自社の業務を正確に把握、どのような情報システムが求められるのかを確認します。
選定した情報システムの活用方法や応用方法も考え、ITによる業務の改善を目指すのが基本です。
戦略の方向性と情報システムの整合性
事業戦略の方向性と導入する情報システムの整合性を合わせて、最適な環境を作るのもITガバナンスの基本です。
事業戦略にマッチするITシステムを決定したら、組織全体に共有して具体的に使用できる仕組みを構築します。
運用
企業内で情報システムを活用するための運用体制が整っているのかを確認し、問題がある場合には改善や変更を行います。
IT技術の運用にはネットワークシステムが欠かせないため、インフラ設備が体制として整っているかも重要です。
また、運用が正しく行われていることを監視・審査するチェック人員を配置し、情報システムの運用にトラブルがないことを確認することもポイントになります。
コスト
IT化に必要なコストを算出し、費用対効果のある投資ができているか確認します。
適正なコスト配分を確認するための指標や測定方法を導入して、定期的なチェックを行うのがおすすめです。
リスク管理
ITガバナンスの活用時には、セキュリティリスクの管理も重要です。
社員に重要機密の取扱方法を周知させる物理的なセキュリティ対策と、ウィルスソフト導入などのサイバー的なセキュリティ対策の2種類があります。
セキュリティリスク対策の状況を可視化して、社内全体に注意喚起とルールの統制を行いましょう。
ルール遵守
ITシステムの理解度や重要性の認識を高めるためにも、社内ルールやガイドライン・マニュアルの設定は不可欠です。
ITツールの活用や情報の持ち出しに関するルールを設定して、遵守させることが求められます。
調達
情報システムおよびIT環境の調達を実現するために、仕様書や調達方法の選定基準と評価方法を決定します。
調達は実際の情報システムの導入につながるプロセスになるため、時間をかけて選定と評価を行うのがおすすめです。
ITガバナンスのフレームワーク「COBIT」とは
ITガバナンスを実施する際には、フレームワークの「COBIT」を使って企業内の熟練度を測るのが基本となっています。
COBITとは「control objectives for information and related technology」を略したもので、IT関連の投資に対するリスク評価やコントロールの判断、システム監査における基準などに使用されるのが特徴です。
COBITはアメリカの情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)が提唱しており、内容は以下の4つの領域(ドメイン)で構成されています。
- 計画と組織:IT戦略を成功させるためのプロセス
- 調達と導入:導入するIT技術の選定や開発、および実際のビジネスへの統合
- デリバリとサポート:セキュリティの完備や教育・訓練などのオペレーション
- モニタリングと評価:継続した導入評価と正しい統制ができていることの確認
上記の領域を基準にITシステムの導入や組織改編を行い、最適な環境を社内に作り上げます。
また、COBITはその熟練度を測る指標として0〜5までのモデルを用意し、数値を上げていくことで最適化できていると客観的に判断することが可能です。
COBITは1996年以降何度か改編を行っていますが、2019年にも最新情報を取り入れた「COBIT2019」が発表されました。
具体的な変更点としては、これまでITのみを対象とした部分に「企業のDX」も含むようになっています。
また、マネジメント目標にデータの管理を追加して、既存の項目を細分化してより細かく設定できるように環境を整備し直しているのが特徴です。
今後もCOBITは時代に合わせた改善が行われると予想されるので、詳細を確認していくことが重要となるでしょう。
まとめ
ITガバナンスは、これからの企業が適切にIT技術やシステムを使うために欠かせない仕組みです。
ただIT機能を導入して満足するのではなく、その後の目標達成や業務改善などを実現するために、基本となる仕組みの把握は必要となります。
IT関連のシステムの導入や環境改善を考えているのなら、この機会に基本をチェックしてみてはいかがでしょうか。