ITガバナンスはIT戦略の策定と実行で重要な組織能力!COBITも解説


インターネットが広く普及した今日、ほとんどの企業が何らかの形でIT技術を自社ビジネスに導入しています。

しかし、ITはビジネスの生産性向上と業務効率化に役立つ一方、正しく実行・コントロールしなければ業務に支障を来したり、大規模な損害を出したりする危険性があります。実際に2000年台初頭には大きな混乱を招いた事例も発生し、このような背景から近年は企業がそれぞれITガバナンスの実現に取り組む姿勢を求められています。

今回は企業に求められるITガバナンスの定義やフレームワークなどの基礎知識、最近話題となっているグローバルITガバナンスについて説明します。

ITガバナンスの定義と注目されるようになった背景


ITガバナンスとは、ITへの投資や効果、リスクを常に最適化するために行われる組織的な取り組みです。企業経営を管理監督する仕組みを意味する「コーポレート・ガバナンス」から派生した概念で、後述するみずほ銀行の大規模障害発生をきっかけに広く認知され、その必要性が叫ばれるようになりました。

経済産業省が定義するITガバナンス

ITガバナンスという用語は非常に広義にとられており、その定義はいまだにはっきりと確立されていません。経済産業省によると、ITガバナンスの定義は以下になります。

“経営陣がステークホルダのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力”

引用元:経済産業省 – システム管理基準(骨子)

ステークホルダとは顧客や従業員、取引先、投資家などを指しており、彼らのニーズに応える価値を創出するために、ITを正しい形で管理・運用する能力をITガバナンスと定義づけているようです。

経済産業省はITガバナンスを実践するにあたり、情報システムにまつわるリスクはもちろん、予算や人材などの配分や情報システムから得られる効果の実現に留意することが大切であるという見解を示しています。

ITガバナンスが注目される契機となった2002年のみずほ銀行システム障害

事業戦略にITを活用する企業は昔から存在していましたが、ITガバナンスが注目される大きなきっかけとなったのが、2002年4月に発生したみずほ銀行の大規模システム障害です。

当時、みずほ銀行は第一勧業銀行・富士銀行・日本興業銀行のシステムを「みずほ銀行」として一本化するシステム統合を目指していました。しかし、統合の方針決定が紆余曲折したため、システム統合のスケジュールや統合作業に遅延が発生し、システム稼働テストの開始予定がずれ込んでいたのです。

開業2日前にもエラーが起こるなど不安要素は数多く残っていましたが、みずほ銀行は予定通り4月1日に開業。その結果、営業初日から全国のみずほ銀行ATMで停止やエラーが発生し、さらには口座振替の遅延トラブルや二重引き落としトラブルなども重なったことから、預金者や利用者の大混乱を来す事態に発展しました。

ATMトラブルは4月上旬に解消されたものの、口座振替に関してはシステムが増強された5月まで続き、国内最大級のシステム障害として認知されています。

この一件はITは事業戦略に役立つ重要な技術であると同時に、適切に活用されなければ大規模な被害を出す諸刃の剣であることを示した典型例であり、ITガバナンスの必要性を国内に知らしめたといえるでしょう。

ITガバナンスのフレームワーク「COBIT」の基礎知識


ITガバナンスの在り方は企業ごとに異なるため、ほかの企業の先行事例を参考にして取り組んでも、自社ではうまく機能しない可能性があります。そこで企業内の適切なITガバナンスの開発をサポートする目的で作成されたのが「COBIT」です。

ITガバナンスの教科書「COBIT」

COBITとはcontrol objectives for information and related technologyの略称で、情報および関連技術をうまくコントロールし、ITによって得られる利益を最大化するための補助として使われるフレームワーク(骨組み)です。

いわばITガバナンスの教科書ともいえるべき存在で、情報システムコントロール協会(ISACA)とITガバナンス協会(ITGI)によって1992年に作成が開始され、1996年に初版がリリースされました。

COBITはIT活動を「計画と組織」「調達と導入」「サービス提供とサポート」「モニタリングと評価」という4つの領域に分類しており、さらにそれぞれの領域に高レベル目標や詳細目標を定義しています。

これらの目標に対する自社の成熟度を6段階で評価することで、マネージャーや監査人は自社のITシステムのセキュリティレベル、ユーザーは企業のセキュリティ対策の妥当性の客観的評価を知ることが可能です。

その評価をもとにブラッシュアップを重ね、自社のITガバナンスをより強化させていくことがCOBITの有効な活用法といえます。

2018年に6年ぶりの刷新

COBITは1996年の初版以降、たびたびリリースを繰り返してきましたが、2018年11月に出た「COBIT5」以来、6年ぶりの全面刷新となる「COBIT2019」が発表されました。COBIT5からどのような変更があったのか、1つずつチェックしてみましょう。

1. ガバナンス対象の拡大

従来のCOBITではガバナンスの対象を「IT」に限定していましたが、最新版では「I&T(Information and Technology)」に変更し、ITだけでなく企業のDX(Digital Transformation)にも対応しています。

DXとは、顧客や社会のニーズに対応するため、企業がITを駆使して製品やサービス、さらには業務や組織、プロセス、企業文化などを変革し、競争上の優位を確立する考え方です。

具体例を挙げると、人口知能(AI)やモノのインターネットと呼ばれるIoTなどのデジタル技術はIT部門以外が管轄しているケースが多く、従来のCOBITではガバナンスの対象には含まれていませんでした。

しかし、今後はDXの動きが加速化する見込みであることから、対象をI&Tに拡大し、変化する状況に対応できるフレームワークになっています。

2. マネジメント目標の追加・変更

新たに「データの管理」を追加しているほか、従来の「プログラムとプロジェクトの管理」を「プログラムの管理」と「プロジェクトの管理」に分離。

また、「内部統制システムのモニタリング、評価、アセスメント」についても「内部統制システムのモニタリングの管理」と「保証の管理」に分け、内部統制から保証の管理を独立させています。

グローバルITガバナンスも広がっている

近年のグローバル化の進展により、現在は多くの国内企業が海外進出を果たしています。こうした企業のグローバル化にともない、グローバルITガバナンスも広がりを見せています。

グローバルITガバナンスの基礎知識と必要性

グローバルITガバナンスとは、国内に留まらず、グローバルレベルで取り組むITガバナンスです。海外現地法人は、本社や国内支社とは地域軸や事業軸が異なるため、日本の本社で作られたITガバナンスは現地になじみにくい傾向にあります。

そのため、海外現地法人の自主性を尊重しつつ、企業グループ全体でITの効率化および最適化を図れるグローバルITガバナンスを確立することが大切です。

ITガバナンスへの取り組みが企業の今後を決める

ITやデジタル技術が普及している現代、ITを活用した事業戦略を打ち立てるのはもはや一般常識となっています。時代の波に乗り、企業としての利益を追求していくためには、ITを適切に活用するための環境作りが必要不可欠です。常に最適なIT活用を実現するメカニズムを確立すべく、ITガバナンスの構築に取り組めば、企業としての成功をつかみやすくなるでしょう。