ITガバナンスの評価について

全文

(1)情報処理学会第 80 回全国大会. 3F-04. IT ガバナンスの評価について. 原田要之助† 情報セキュリティ大学院†. 論文要旨：IT ガバナンスは，経営者の IT の利活用を促進するための仕組みである．しかし，経営者が IT ガバナンスを進める上で，どのように組織の IT ガバナンスの状況を理解するかが重要な要素となる．これについては，明確な方法論はなく， ISO/IEC38500 の規格に頼らざるを得ない．しかし，このシリーズにおいても IT ガバナンスの評価については十分に議論されているとは言えない．本稿では，IT ガバナンスの状況について評価する方法論の一考察について述べる．. 1. IT ガバナンスについて IT ガバナンスとは，企業などの組織では，IT に伴う新たな大規模な投資と IT に依存するためのビジネスリスク（例えば，IT が故障によるビジネスの停止）が発生する．そのため，経営者にとって IT の適正な利活用の監督は避けて通れない．とくに，IT ガバナンスは，コーポレート・ガバナンス[1]からのアナロジー. で原則（Principle）をベースとした国際規格 ISO/IEC38500[2]が策定されて，組織に広く受け入れられるようになった．. 2. IT ガバナンスのモデル（国際規格[2]より） IT ガバナンスの規格は 2013 年に制定された．国内においては IT ガバナンスの重要性から， JIS 38500:2014[2]となっている．この規格は組織が IT の利活用において経営者が実施しなければならない点についてのガイドであり，6 つの原則と IT ガバナンスのモデル，モデルと原則の応用の３つの部分で構成されている．モデルを図 1 に原則を表 1 に示す．. ト層による事業プロセスに対して実施すべき 3 つの機能であるモニタ，評価，指示（3 つを併せた英語の頭文字で EDM モデルと呼ぶ）[2] を示す．表 1 IT ガバナンスの原則（文献[2]より）原則 1：責任（Responsibility）原則 2：戦略（Strategy）原則 3：取得（Acquisition）原則 4：パフォーマンス（Performance）原則 5：適合性（Conformance）原則 6：人間行動（Human Behaviour）. 3. IT の組織デザイン経営者はビジネスに IT を利活用する場合には，まず，ビジネスによる価値の創造とリスクの管理[3] に組織のコーポレート･ガンバナンス[1]の原則（表 2 参照）を適用する．表 1 は，表 2 と対応することに注意されたい．. 表 2 コーポレート・ガバナンスの原則[1]から原則 1：有効なコーポレート・ガバナンスの枠組みの基礎の確保原則 6：取締役会の責任. 組織がビジネスに IT を利活用する場合には，価値を得るための戦略や責任範囲を決定する．すなわち，IT を利活用して価値を得てリスクを管理するためのフレームワークを採用する[3]．フレームワークが決まると，IT を利活用するために必要な人・物・金などのリソースを準備する．なお，その際には法規制などに注意することになる．これらが表１の原則 1〜3 と 5 に相当する．また，組織で IT を利活用する際には，IT の有効性と効率性を重視する．これが原則 4 に相当する．また，原則を実施する上で重要となる. 図 1 IT ガバナンスのモデル（文献[2]より）. 図 1 のモデルは，組織の経営者がマネジメン. Assessment for IT governance activities † Institute of Information Security. 4-397. Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(2) 情報処理学会第 80 回全国大会. のがタスクをこなす振る舞いとしての人間行動が要請される．ISO/IEC38500[1]では，「意図をもった活動」と説明されていて，単なる人間の行動を言っているのではない．経営者は，コーポレート・ガバナンス [1]では，IT の利活用のこれらの活動を含めて，Outcome(成果)を出すことが求められている．なお，この成果については，経営的な収益活動のみならず，内部統制の仕組みを実現させて不正を防ぎ，働き易い環境を構築することも含まれる．最近，ESG 経営を呼ばれているものも対象となる．経営者は，Outcome を達成するにあたり，IT を利活用する組織をデザインする．これには，運営方針に基づいて組織方針や構成，権限（責任）の割り付け，指揮命令，結果の評価などの仕組みが含まれる．具体的には，経営者としては図 1 に示す EDM タスクやマネジメント層に実施させる PDCA の構築及び関係性（インタフェース）が重要となる．ビジネスを遂行する実務面では，経営者が計画や方針を指示（D）して，マネジメント層がこれを計画（P）して，実施（D）し，経過のパフォーマンスをチェック（C）して改善（A）を図り，経営に報告する．経営者はこの活動全体をモニター（M）するとともに成果を評価（E）する．その結果は次の指示に反映することで，組織のパフォーマンスを最適化する． 4. IT ガバナンスの評価 4.1 評価指標経営者は IT ガバナンスを組織に実践した結果として，組織のパフォーマンスを上げて，経営目標を達成できる．有効なガバナンス達成には，経営者によるガバナンスを評価することが求められる．経営学では，経営者による経営については，収益をベースにして来た．しかし，ステークホルダーが広がり社会の価値観が多様化する中で，経営の評価には，収益ではなく ESG(Environment, Society and Governance )が尺度として用いられている．したがって，IT ガバナンスの評価を行う上でも，ビジネスの成功だけではない多義的な評価が出来ることが求められる．本稿では，現在，検討が進んでいる ISO/IEC38503, Assessment of Governance of IT [4]で検討されている IT ガバナンスの評価についての考察を行う． IT ガバナンスの評価として，①個別評価：経営者が立てた目標と結果としての成果の達成状況を評価する（ビジネス目標を細かく CSF に分解して，個々の達成状況から全体を評価する），② 原則クライテリア評価：経営者の成果を原則ご. とに達成した結果をクライテリアと比較して評価する，③インタフェース評価方式：IT ガバナンスの経営者の EDM タスクとマネジメント層の PDCA 間におけるインタラクションでの両者の行動(behavior)に着目して，成果に繋がっているかを評価して，IT ガバナンス全体の達成状況とする．さらには，一般的な経営判断で実施されているように，演繹的に全体を評価者が観察して，達成状況を判断する方法などがある．本稿では，現在，検討が進んでいる①から③について比較する． 4.2 評価方法管理策の実施状況などの評価では，定量的に評価することが難しいため，多くの場合には，5 段階で評価する成熟度モデルが用いられることが多い．成熟度モデルでは，各段階について細かく記述して曖昧さをなくす必要がある．また，評価者によって評価が異なる可能性もあり，利用するにあたっては客観性について注意が必要である．ただし，自社の IT ガバナンスの現状や過去との比較を内部的に評価するなどの自己目的には役立つ． ①〜③の評価については，実施するにあたって必要となる分析の粒度を分析のやり易さ，評価における客観性を担保できるか，さらに，ビジネス成果にとらわれて IT 自体の評価がきちんできるかの 3 つのポイントで比較した．その結果を表 3 に示す．どの方法にも一長一短があり，1 つの方法に絞り込むのは難しい．表 3 IT ガバナンスの評価方法の比較. ① ② ③. 分析のやり易さ. 客観性. ITの考慮. △ 〇〇. 〇 × △. △ 〇〇. 5. まとめ本稿では，IT ガバナンスを活用するために必要となる IT ガバナンス評価方法について検討した．方法の候補は，どれも一長一短があり，さらに，実務上の検討が必要である． [1] OECD, G20/OECD Principles of Corporate Governance,2015 [2]ISO/IEC38500, Governance of IT, 2015, (JIS Q 38500:2015 情報技術−IT ガバナンス - 日本工業規格) [3]原田，企業に求められる IT ガバナンスの新しいモデル，InfoCom Review, vol,47,2009 [4]ISO/IEC38503 NWIP draft, Assessment of Governance of IT, 2017. 4-398. Copyright 2018 Information Processing Society of Japan. All Rights Reserved..

(3)