ITガバナンス
ITガバナンスとは
経済産業省のシステム管理基準(骨子)では、ITガバナンスを「経営陣がステークホルダーのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定および実現に必要となる組織能力」と定義しています。つまりITガバナンスとは、経営戦略に基づいてIT戦略を策定し、またITマネジメントがIT戦略に整合しているかをチェックすること、またはその仕組みのことです。またシステム管理基準(骨子)では、ITガバナンスにおける経営陣の行動としてITマネジメントに対する評価、指示、モニターを挙げ、さらに採用すべき原則として以下の6つを挙げています。
項目 | 内容 |
---|---|
責任 | 役割に責任を負う人は、その役割を遂行する権限を持つ |
戦略 | 情報システム戦略は、情報システムの現在および将来のニーズを満たす必要がある |
取得 | 情報システムの導入は、短期・長期の両面で効果、リスク、資源のバランスが取れた意思決定に基づく必要がある |
パフォーマンス | 情報システムは、現在および将来のニーズを満たすサービスを提供する必要がある |
適合 | 情報システムは、関連する全ての法律および規制に適合する必要がある |
人間行動 | 情報システムのパフォーマンスの維持に関わる人間の行動を尊重する必要がある |
ITガバナンスの構成
システム管理基準(骨子)では、ITガバナンスを構成する要素として以下の10項目が挙げられています。
- 情報システム戦略の方針および目標設定
- 情報システム戦略遂行のための組織体制
- 情報システム部門の役割と体制
- 情報システム戦略の策定の評価・指示・モニター
- 情報システム投資の評価・指示・モニター
- 情報システムの資源管理の評価・指示・モニター
- コンプライアンスの評価・指示・モニター
- 情報セキュリティの評価・指示・モニター
- リスクマネジメントの評価・指示・モニター
- 事業継続管理の評価・指示・モニター
ITガバナンスとITマネジメント
システム管理基準(骨子)では、ITマネジメントを「情報システムの企画、開発、保守、運用といったライフサイクルを管理するための、マネジメントプロセス」と定義しています。つまりITマネジメントとは、ITに関する活動を管理することです。
ITガバナンスとITマネジメントによって、IT戦略の策定(ITガバナンス)、ITに関する活動の管理(ITマネジメント)、ITマネジメント活動のチェック(ITガバナンス)のサイクルが形成されます。
ITガバナンスと情報ガバナンス
ITガバナンスと混同されがちな用語として、情報ガバナンスがあります。
情報ガバナンスとは、企業内の情報資産を有効に利用し、また適切に管理すること、またはその仕組みのことです。
ITガバナンスがITのみを対象とするのに対して、情報ガバナンスはIT以外のものも含め、企業内のあらゆる情報資産を対象とします。
ITガバナンスのフレームワーク
ITガバナンスのためのフレームワークとして、ISACA(情報システムコントロール協会)とITGI(ITガバナンス協会)によるCOBIT(Control Objectives for Information and Related Technology)があります。 COBIT 2019では、企業のガバナンス/マネジメント目標を5つの領域に分け、CSF(Critical Success Factor)、KGI(Key Goal Indicator)、KPI(Key Performance Indicators)により各領域(※末尾の表を参照)の成熟度を6段階で評価します。
ITガバナンスのまとめ
ITガバナンスは、CIOによるIT戦略策定、IT基本計画策定が重点領域となりますが、ITマネジメント領域であるIT投資計画/システム化計画、開発、運用保守、更には人材リソース管理やコンプライアンスまで、IT戦略に適合しているかを定期的に検証し、経営に貢献するようにIT全体の活動とIT資源を最適化する対応が欠かせません。
弊社では、IT戦略策定をはじめ、現行IT資産評価、更にはITガバナンスのアセスメントによる成熟度向上のご支援なども実施しておりますので、お気軽にご相談ください。
ご参考:ITガバナンスとデジタルガバナンス
ITガバナンスは、CIOが経営戦略に基づくIT戦略とIT基本計画を策定するものです。一方、デジタルガバナンスはCDO(Chief Digital Officer)が経営戦略と外部環境変化に基づくDX戦略とDX基本計画を策定するものです。何れも経営戦略に基づくITの整合性と事業貢献を意味するところは同じですが、その違いを少し乱暴に整理するとITガバナンスはSoR(System of Record)、デジタルガバナンスはSoE(System of Engagement)の領域を担うものと言えます。SoEはトライアンドエラーを必ずしも否定しませんが、SoRではIT投資額も大きくなり手戻りが許されないレガシーシステムを担当するため、確実な推進が前提となり、両者のガバナンスのあり方は自ずと相違がでてきます。
両者を繋ぐうえで最も大切なのは、ITであるが故に情報=データとなります。データは内部のデータだけでなく、外部(顧客、取引先、マーケットなど)のビッグデータも対象となります。システムの目的はデータ処理(入出力・加工)とデータ活用を事業や経営の目標に合わせコントロールすることが究極的な役割であり、これを担うのがデータガバナンスです。CDOがデータ戦略とDX戦略を担い、これを支えるSoRとしてのIT戦略をCIOが担うことになり、IT、DX、データの3つのガバナンスを経営が最適化する舵取りが今後一層重視されていきます。
※参考:ガバナンス/マネジメント目標の領域
領域 | ガバナンス/マネジメント目標 |
---|---|
評価、方向の指示およびモニター | 保証されたガバナンスフレームワークの設定と維持 |
保証された便益の提供 | |
保証されたリスク最適化 | |
保証された資源最適化 | |
保証されたステークホルダーとの約束 | |
整合、計画および組織化 | マネジメントされたITマネジメントフレームワーク |
マネジメントされた戦略 | |
マネジメントされたエンタープライズアーキテクチャー | |
マネジメントされたイノベーション | |
マネジメントされたポートフォリオ | |
マネジメントされた予算とコスト | |
マネジメントされた人的資源 | |
マネジメントされた関係 | |
マネジメントされたサービスアグリーメント | |
マネジメントされたベンダー | |
マネジメントされた品質 | |
マネジメントされたリスク | |
マネジメントされたセキュリティ | |
マネジメントされたデータ | |
構築、調達および導入 | マネジメントされたプログラム |
マネジメントされた要求定義 | |
マネジメントされたソリューションの特定と構築 | |
マネジメントされた可用性と能力 | |
マネジメントされた組織変容 | |
マネジメントされたIT変革 | |
マネジメントされたIT変革の受容と移行 | |
マネジメントされた知識 | |
マネジメントされた資産 | |
マネジメントされた構成 | |
マネジメントされたプロジェクト | |
提供、サービスおよびサポート | マネジメントされたオペレーション |
マネジメントされたサービス要求とインシデント | |
マネジメントされた問題 | |
マネジメントされた継続性 | |
マネジメントされたセキュリティサービス | |
マネジメントされたビジネスプロセスコントロール | |
モニター、評価および査定 | マネジメントされたパフォーマンスと適合のモニタリング |
マネジメントされた内部統制のシステム | |
マネジメントされた外部要求へのコンプライアンス | |
マネジメントされたアシュアランス |