PR

稲垣 勇
Isamu Inagaki
IBMビジネスコンサルティング サービス
ITガバナンス・ソリューション・コンサルティング
マネージング・コンサルタント

「日本版企業改革法」の実施に向け、企業会計審議会は「ITへの対応」を求めている。その内容は、これまでも重要性が指摘されてきたITガバナンスに通じる。内部統制の実現においては、これまでに整備されてきたフレームワークや手法を活用し、ITに対する評価と改善を繰り返すことが重要になる。

 企業会計審議会の内部統制部会が公表した「財務報告に係る内部統制の評価及び監査の基準案」(以下「基準案」)に基づけば、内部統制の目的は「法の順守の下に全社的な業務の品質と効率を向上させ、その結果として、外部に対して財務上適正な報告をする」ことである。

 この目的を達成するために基準案は、(1)統制する範囲・環境を明確にする、(2)統制の阻害要件となるリスクを評価し対応策を講じる、(3)統制のための活動を実施する、必要があるとする。その統制活動プロセスを実施するためには、(4)プロセス実行の結果としての出力とそのプロセスを実行するための入力情報が必要で、(5)それらのプロセスが適正なことをモニタリングし、評価結果が報告されること、を求める。これら(1)~(5)を効率よく実現するために、基準案は(6)「ITへの対応」を要求する。

ITガバナンスの実現と同義

 こうした取り組みの重要性はこれまでも指摘されてきた。ITガバナンスである。内部統制に取り組むことは、IT分野のあるべき姿を目指すことにほかならない。

 ITガバナンスの定義はさまざまだ。経済産業省はそれを「企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へと導く組織能力(組織・体制・管理プロセス)」とする。また、ITガバナンス協会(ITGI)は、ITガバナンスの対象に次の5領域を挙げる。

(1)IT戦略の整合:経営戦略とIT戦略を整合させ、経営に貢献するITを実現する

(2)価値の提供:ITがタイムリに、低コストで、必要な品質・機能を提供していることを確実にする

(3)IT資源管理:IT資源(人、ITツール、業務システム、ITインフラ、IT施設など)への投資・活用を最適化する

(4)リスク管理:ITにおける潜在リスクを把握・評価し必要な対処法を検討する

(5)パフォーマンス管理:T戦略、プロジェクト、IT資源、ITサービスのパフォーマンスを適切な尺度により可視化する

 いずれもITガバナンスの本質は、企業に競争優位をもたらすIT戦略を実現することにあり、全体的なIT戦略の具現化を支えるものだ。IT戦略の策定から実現までの一連の活動をコントロールし、あるべき姿の実現に向けたITマネジメント・プロセスやIT標準、およびその体制を構築する組織だった活動を展開する。これを「基準案」は「ITへの対応」として表現しているのだ。

IT戦略からリスク管理までを求める


▲図1 日本版企業改革法(基準案)が求める「ITへの対応」の鳥瞰図
[画像のクリックで拡大表示]

 日本版企業改革法が求める「ITへの対応」を鳥瞰的にとらえると、最も重要なことは、企業の経営戦略と密接に関係しているIT戦略の策定に尽きる(図1)。経営にITが大きく貢献している現在、経営戦略はIT戦略なしにはあり得ない。激しい経営環境の変化に追従し経営戦略に変更が発生すれば、IT戦略もそれに伴ってタイムリに変更しなければならない。常にIT戦略を再評価し経営戦略と整合性を保つ必要がある。

 そのうえで、IT戦略に基づきITインフラを整備・管理する。体系的に整備されたITインフラの上で、業務要件に基づいて構築した業務システムを継続的・安定的に運用できなければならない。

 品質の高い効率的な運用を実現するために必要になるのが、IT分野のプロセス整備である。各プロセスに入出力する情報を定め、プロセスの役割・責任を明確にする。明確化した役割・責任を機能的に融合したものが組織あるいは体制となる。この組織・体制を明確にするには、ポリシー(方針)の下に標準化ルールや規程、ガイドラインを定める。

 プロセスを遂行する際には、場合によってはITを利用して自動化することも必要だ。しかし、自動化ツールの技術革新がどれだけ進んでも、人がまったく不要になるわけではない。自動化ツールもまた人が運用するからだ。

 ITインフラも含めたIT資産を保全するために行うのがリスク分析だ。リスクを分析するためには、その脅威と脆弱性を識別分類し、ビジネスへのインパクトを分析する。リスクへの対応策としては、まず回避・低減・移転・受容など適切な対応を決める。これを日常的にモニタリングし評価すると同時に、継続的な改善が可能なリスク管理プロセスの確立が重要になる。

弱点を把握するための診断法

 日本版企業改革法が求める「ITへの対応」と、ITガバナンスが同義だからといって、過去ITガバナンスに取り組んでいても油断はできない。ITガバナンスが確立できているのかどうか、現ITガバナンスに弱点はないのかどうか、を常に把握し見直しが図られていなければ、「対応できている」とは言えないからだ。これから内部統制に取り組む際も、法律施行時に対応すれば終わりではないことを肝に銘じる必要がある。

 では、ITガバナンスの弱点をどう把握し、その克服に打つべき対策はどう考えればよいのだろうか。まず、ITガバナンス全体を診断するためのフレームワークを紹介する。

 フレームワークには、(1)ISACA(情報システムコントロール協会)が発行したCOBIT(Control Objectives for Information and related Technology)、(2)itSMF(ITサービス・マネジメント・フォーラム)が推進するITIL(IT Infrastructure Library)、(3)IBMが開発したPRM-IT(Process Reference Model for IT)、などがある。

 COBITは、四つのドメインを34のプロセスからとらえたもので、2005年12月にCOBIT4.0にバージョンアップした。ITILも、「狭義のITIL」と呼ばれる従来のサービス・マネジメントだけでなく、ビジネスとITの間にある全体プロセスとして大きく八つのプロセスをベストプラクティスとして提供することを目的に強化されつつある。

 PRM-ITは、COBITやITILを意識し、それらを包括したプロセス体系として開発されている。ビジネス、法律・規則との接点、顧客との接点、ユーザーとの接点、サプライヤとの接点など八つのカテゴリ、40のプロセスから成り立っている。

 最近は、いずれのフレームワークも成熟度モデルを積極的に活用し始めている。プロセスの成熟度を、1から5の5段階(0を含む6段階の場合もある)で定義する。

レベル1=初期的:初期状態であり、認識や定義が不完全

レベル2=繰り返し可能:認識はしているが、理解不足あるいは実践が不完全または属人的になされている

レベル3=定義されている:標準的なルールのもとに効果的に行われているが、限定的あるいは必要最低限

レベル4=管理されている:成熟していて初心者でも繰り返すことができる。改善の方向へ向かっている、あるいは改善がなされている

レベル5=最適化されている:プロセスの有効性および効率性の定量的な目標を組織のビジネス・ゴールに基づいて確立し、継続的なプロセスの監視により定量的なフィードバックが可能となり、改善がそれらの結果の分析に基づいて行われる

フレームワークに沿って弱点克服

 成熟度モデルでいえば、ITガバナンスを確立するための対応策は、レベル3が最低ラインとなる。IT分野全体として、属人的なプロセスが取り払われ、標準的なルールの下で、プロセスが実行されている状態だ。まずレベル3を目指し、標準的なルールの下でプロセスが実行されていない箇所を整備・強化の対象にする。


▲図2 ITガバナンスを確立するためのアプローチの例
[画像のクリックで拡大表示]

 ここでは、COBITが定める、(1)計画と組織(PO)、(2)調達と導入(AI)、(3)モニタリング(M)、(4)デリバリとサポート(DS)、の四つのドメインに従って、弱点克服のアプローチ方法を紹介する(図2)。

(1)計画と組織(PO):IT計画の策定、人的資源や組織体制の確立を図るために、経営戦略に合致したIT戦略に基づき柔軟なITインフラを整備する領域である。業務システム単位にITインフラを構築しがちだが、企業全体として業務システムが稼働する最適なITインフラを考える。

 EA(Enterprise Architecture)のアプローチでは、企業レベルで全体最適な仕組みを、ビジネス、アプリケーション、データ、テクニカルの4階層に分けて体系的に可視化し、あるべき姿と現状とのギャップを埋めるアクションを考える。日々のビジネス・ニーズの変化に対応しITインフラの変更を柔軟に即応するには、SOA(サービス指向アーキテクチャ)に基づいて業務システムを構築する手法もある。

 業務プロセスの開発・導入では、PMBOK(Project Management Body of Knowledge)をベースにプロジェクト管理システムを導入し、プロジェクトのQCD(品質・コスト・デリバリ)の向上を図る手法も有用だ。

(2)調達と導入(AI):システムの導入、ソフト開発・保守の品質と生産性向上を図る。SEI(Software Engineering Institute)のCMMI(能力成熟度モデル)によりプロセスの成熟度と改善点を明らかにする手法が有効である。

(3)デリバリとサポート(DS)構築したシステムの維持・管理とパフォーマンスを最大化するためのプロセス。サービスを提供するユーザーに対するサービス・レベル管理や、ISO27000に基づくセキュリティの確立、ITILやPRM-ITを使って運用プロセスを適切にするための改善手法がある。

(4)モニタリング(M)内部統制を評価し、システムの信頼性・安全性・効率性を評価するために、FISC(金融情報システムセンター)や金融庁検査マニュアル、システム監査基準に基づく監査を実施する。いずれの基準に沿っても、内部統制の範囲とゴールをできる限り定量的に設定(KGI:目標指標)し、その達成に向けた定量的な指標(KPI:先行指標)を使ってモニタリング・評価していく必要がある。

内部統制は「SPDIL+PDCA」で

 日本版企業改革法が「ITへの対応」として求める領域と、その概念は決して新しくはない。企業戦略と整合性をとりながらIT戦略を策定し、そのIT戦略に従って中長期的なビジョンと方向性の下に何をすべきかを企画することは、今日のIT部門の役割にほかならない。

 IT部門はさらに、その企画に沿ってITインフラを整備し、システムを構築することはもちろん、それを利用し保守・運用しているスタッフの日々のプロセスそれぞれに、どんな役割と責任があるのかを明確にする必要がある。それらのプロセスを実施し、その状況をモニタリングすることで、継続的な改善につながるアクションを起こすことが、日本版企業改革法の求める「ITへの対応」なのだ。

 そこでは、「SPDIL(Strategy-Plan- Do- Learning- Innovation)」のプロセスを確立する。すわなち、戦略(S)を策定し、そのための計画(P)を練り上げ、実行(D)。そして、継続的な改善のために学習(L)し、次へのステップアップに向けて革新(I)するプロセスだ。そして各プロセスでPDCAのサイクルを回していくことになる。

 次回からは、開発、運用・保守、およびコンプライアンスを支えるITの活用方法を解説する。

次回へ

稲垣 勇
Isamu Inagaki
IBMビジネスコンサルティング サービス
ITガバナンス・ソリューション・コンサルティング
マネージング・コンサルタント

1975年南山大学経済学部卒業、同年4月日本IBM株式会社入社。金融機関を中心にシステムズ・エンジニアおよびプロジェクト・マネージャーとして数々のオンライン・システム構築を担当し、1991年から4年間米国IBMに出向。帰国後、ITコンサルティング部門にてITガバナンスのリーダーとしてコンサルティングに従事し現在に至る。ITコーディネータ、PMP、itSMFグローバル会員