layers consulting

ITガバナンス

ITガバナンスとは

経済産業省のシステム管理基準(骨子)では、ITガバナンスを「経営陣がステークホルダーのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力」と定義しています。つまりITガバナンスとは、経営戦略に基づいてIT戦略を策定し、またITマネジメントがIT戦略に整合しているかをチェックすること、またはその仕組みのことです。またシステム管理基準(骨子)では、ITガバナンスにおける経営陣の行動としてITマネジメントに対する評価、指示、モニタを挙げ、さらに採用すべき原則として以下の6つを挙げています。

項目 内容
責任 役割に責任を負う人は、その役割を遂行する権限を持つ
戦略 情報システム戦略は、情報システムの現在及び将来のニーズを満たす必要がある
取得 情報システムの導入は、短期・長期の両面で効果、リスク、資源のバランスが取れた意思決定に基づく必要がある
パフォーマンス 情報システムは、現在及び将来のニーズを満たすサービスを提供する必要がある
適合 情報システムは、関連する全ての法律及び規制に適合する必要がある
人間行動 情報システムのパフォーマンスの維持に関わる人間の行動を尊重する必要がある

ITガバナンスの構成

 システム管理基準(骨子)では、ITガバナンスを構成する要素として以下の10項目が挙げられています。

  1. 情報システム戦略の方針及び目標設定
  2. 情報システム戦略遂行のための組織体制
  3. 情報システム部門の役割と体制
  4. 情報システム戦略の策定の評価・指示・モニタ
  5. 情報システム投資の評価・指示・モニタ
  6. 情報システムの資源管理の評価・指示・モニタ
  7. コンプライアンスの評価・指示・モニタ
  8. 情報セキュリティの評価・指示・モニタ
  9. リスクマネジメントの評価・指示・モニタ
  10. 事業継続管理の評価・指示・モニタ

ITガバナンスとITマネジメント

 システム管理基準(骨子)では、ITマネジメントを「情報システムの企画、開発、保守、運用といったライフサイクルを管理するための、マネジメントプロセス」と定義しています。つまりITマネジメントとは、ITに関する活動を管理することです。
 ITガバナンスとITマネジメントによって、IT戦略の策定(ITガバナンス)、ITに関する活動の管理(ITマネジメント)、ITマネジメント活動のチェック(ITガバナンス)のサイクルが形成されます。

ITガバナンスと情報ガバナンス

 ITガバナンスと混同されがちな用語として、情報ガバナンスがあります。
 情報ガバナンスとは、企業内の情報資産を有効に利用し、また適切に管理すること、またはその仕組みのことです。
 ITガバナンスがITのみを対象とするのに対して、情報ガバナンスはIT以外のものも含め、企業内のあらゆる情報資産を対象とします。

ITガバナンスのフレームワーク

 ITガバナンスのためのフレームワークとして、ISACA(情報システムコントロール協会)とITGI(ITガバナンス協会)によるCOBIT(Control Objectives for Information and Related Technology)があります。
 COBIT 2019では、企業のガバナンス/マネジメント目標を5つの領域に分け、CSF(Critical Success Factor)、KGI(Key Goal Indicator)、KPI(Key Performance Indicators)により各領域(※末尾の表を参照)の成熟度を6段階で評価します。

ITガバナンスのまとめ

 ITガバナンスは、CIOによるIT戦略策定、IT基本計画策定が重点領域となりますが、ITマネジメント領域であるIT投資計画/システム化計画、開発、運用保守、更には人材リソース管理やコンプライアンスまで、IT戦略に適合しているかを定期的に検証し、経営に貢献するようにIT全体の活動とIT資源を最適化する対応が欠かせません。
 当社では、IT戦略策定をはじめ現行IT資産評価、更にはITガバナンスのアセスメントによる成熟度向上のご支援なども実施しておりますので、お気軽にご相談ください。

ご参考:ITガバナンスとデジタルガバナンス

 ITガバナンスはCIOが経営戦略に基づくIT戦略とIT基本計画を策定するものです。一方、デジタルガバナンスはCDO(Chief Digital Officer)が経営戦略と外部環境変化に基づくDX戦略とDX基本計画を策定するものです。何れも経営戦略に基づくITの整合性と事業貢献を意味するところは同じですが、その違いを少し乱暴に整理するとITガバナンスはSoR(System of Record)、デジタルガバナンスはSoE(System of Engagement)の領域を担うものと言えます。SoEはトライアンドエラーを必ずしも否定しませんが、SoRではIT投資額も大きくなり手戻りが許されないレガシーシステムを担当するため確実な推進が前提となり、両者のガバナンスのあり方は自ずと相違がでてきます。
 両者をつなぐうえで最も大切なのはITであるが故に情報=データとなります。データは内部のデータだけでなく、外部(顧客、取引先、マーケットなど)のビッグデータも対象となります。システムの目的はデータ処理(入出力・加工)とデータ活用を事業や経営の目標に合わせコントロールすることが究極的な役割であり、これを担うのがデータガバナンスです。CDOがデータ戦略とDX戦略を担い、これを支えるSoRとしてのIT戦略をCIOが担うことになり、IT、DX、データの3つのガバナンスを経営が最適化する舵取りが今後一層重視されて行きます。

※参考:ガバナンス/マネジメント目標の領域

領域 ガバナンス/マネジメント目標
評価、方向の指示及びモニター 保証されたガバナンスフレームワークの設定と維持
保証された便益の提供
保証されたリスク最適化
保証された資源最適化
保証されたステークホルダーとの約束
整合、計画及び組織化 マネジメントされたITマネジメントフレームワーク
マネジメントされた戦略
マネジメントされたエンタープライズアーキテクチャー
マネジメントされたイノベーション
マネジメントされたポートフォリオ
マネジメントされた予算とコスト
マネジメントされた人的資源
マネジメントされた関係
マネジメントされたサービスアグリーメント
マネジメントされたベンダー
マネジメントされた品質
マネジメントされたリスク
マネジメントされたセキュリティ
マネジメントされたデータ
構築、調達及び導入 マネジメントされたプログラム
マネジメントされた要求定義
マネジメントされたソリューションの特定と構築
マネジメントされた可用性と能力
マネジメントされた組織変容
マネジメントされたIT変革
マネジメントされたIT変革の受容と移行
マネジメントされた知識
マネジメントされた資産
マネジメントされた構成
マネジメントされたプロジェクト
提供、サービスおよびサポート マネジメントされたオペレーション
マネジメントされたサービス要求とインシデント
マネジメントされた問題
マネジメントされた継続性
マネジメントされたセキュリティサービス
マネジメントされたビジネスプロセスコントロール
モニター、評価及び査定 マネジメントされたパフォーマンスと適合のモニタリング
マネジメントされた内部統制のシステム
マネジメントされた外部要求へのコンプライアンス
マネジメントされたアシュアランス

当サイトでは、お客様により良いサービスを提供するため、クッキーを利用しています。当サイトをご利用いただく際には、当社のクッキーの利用について同意いただいたものとみなします。当社の使用するクッキーや、クッキーの削除またはブロックの方法については、プライバシーポリシーをご確認ください。