ITガバナンス
ITとは情報技術,ガバナンスとは統治ですから,ITガバナンスとは「情報技術を統治すること」となりますが,そんなに大げさなことではありません。経済産業省「ITSSPプロジェクト説明書」では「企業が競争優位性を目的にIT戦略の策定・実行をコントロールし,あるべき方向へ導く組織能力」と定義しています。すなわち,経営の観点からITの活用をすることであり,情報化戦略の策定および運営のことです。
情報化を推進する組織としては情報システム部門がありますが,情報化戦略の策定のような経営に密着した業務では,経営者が直接関与することが重要です。それで,CIO(Chief Information Officer:情報最高責任者としての担当役員)という職制(名称は企業により異なるにせよ)を設置している企業も多くあります。
CIOの任務には,経営戦略と情報化戦略の統合,情報化計画の立案と管理,情報システム部門および利用部門への指導などがありますが,一言でいえばITガバナンスの確立であるといえます。
企業によりITガバナンスの成熟度には違いがあります。有能なCIOが活動している企業もあれば,情報システム部門すら存在してきない企業もあります。小規模の企業で情報システム部門はなくても,経営者自身がCIOのような立場になり,ITガバナンスを確立している企業もあります。
COBIT
COBIT(Control Objectives for Information and related Technology)とは,情報システムコントロール協会(ISACA)により作成された,ITガバナンス能力を評価する標準です。その第4版の日本語版は,下記サイトから入手できます。
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/Obtain_COBIT.htm
対象分野を,「PO:計画と組織」「AI:調達と導入」「DS:サービス提供とサポート」「MO:モニタリング」の4つのドメイン(分野)に区分し,それを34個のITプロセスに区分しています。
そして,それぞれのプロセスにおいて,「アプリケーション」「情報」「インフラ」「人」というIT資源のどれに該当するかを示し,それらのIT資源について,品質,受託,セキュリティの観点から,「有効性」「効率性」「機密性」「インテグリティ」「可用性」「準拠性」「信頼性」の7つのビジネス要件からの情報要請規準により,ITガバナンスが確保されているかを評価します。
その関係を図示すると,次のようになります。
それぞれのプロセスは,さらにアクティビティに細分化されます。例えば「PO5 IT投資の管理」のプロセスは,5つのアクティビティがあります。
COBITでは,CSF/KGI/KPIを例示しています。ここでは「PO5 IT投資の管理」の一部分を例として示しました。
- CSF(Critical Success Factor:重要成功要因)
- 目的を達成するための重要な手段のことです。
- KGI(Key Goal Indicator:重要目標達成指標)
- 何がどれだけのレベルになったら目標が達成したのかを,測定できる尺度で数値的に示したものです(環境により異なるので下図では数値表示はありませんが)。BSC(ビジネス・スコアカード)の成果尺度に類似しています。
- KPI(Key Performance Indicator:重要業績達成指標)
- KGIは結果としての目標ですが,それが実現する以前に,それを実現する手段の達成を測定することが必要です。それの数値的尺度です。すなわち,KPIはKGIの原因であり先行指標であるといえます。情報システムとしてはKPIをモニタリングできるようにする必要があります。BSCのパフォーマンス・ドライバに類似しています。
上の項目がどの程度実施されているかを調べて,下のような表を作成します。これによりITガバナンスの成熟度を評価することができます。また,COBITの活用では,これらの表を参照して,自社では成熟度をどのレベルにするには,何をしなければならないかを明確にすることができます。それこそが情報化戦略であるともいえましょう。
