「IT ガバナンス」とは、IT を有効に利用して目標を達成しリスクを最小限に抑えるために企業が採用するプロセス、戦略、ツールを表します。
情報テクノロジーは、世界中の企業経営を大きく変えました。コミュニケーション、アクセシビリティ、自動化、データ分析、クラウドコンピューティングなどの発展から、テクノロジーの可能性はほぼ無限に広がりました。現在では、規模が極めて小さい企業でさえ、導入されているシステムの処理性能はわずか 10 年前の最高性能に匹敵しています。しかし、デジタル化の飛躍的な進展があっても、IT はあくまで手段であり、企業の目標達成に役立たないテクノロジーは、混乱を引き起こすだけに終わるということを認識することが重要です。
IT ガバナンスではこの事実が深く反映されています。「ガバナンス、リスク、およびコンプライアンス (GRC)」の最初にあたる IT ガバナンスでは、構造 (ポリシー、手続き、COBIT などのフレームワーク) を確立します。その後、コンプライアンスをテストし、リスクの評価を行います。IT ガバナンスを正しく適用すれば、企業は目的を持ってその重要なテクノロジーを管理でき、これにより関連するすべての IT プラットフォーム、ツール、戦略、イニシアチブ、アクティビティ、リソースを、共通の目標に向けて適切に連携させることができます。
IT ガバナンスは GRC の重要な要素となっているため、官民組織において重要な役割を果たします。ガバナンスにより IT 機能がビジネス戦略や事業達成目標と整合され、IT ガバナンスプログラムは金融や技術的な規制に準拠する必要があるすべての業界にとって検討に値する重要なものとなっています。
IT ガバナンスにより、テクノロジーとビジネス価値が直接結び付けられます。このため、IT ガバナンスには次のようなさまざまなメリットがあります。
IT ガバナンスでは、IT を幅広い戦略と目標に整合することで一連の定量化可能な測定基準が提供されます。意思決定者はこれらの測定基準を正確に評価し、IT の価値を実証できます。
IT 部門以外のスタッフにとっては、特定のビジネステクノロジーの機能とメリットを理解することが難しいことがあります。明確で透明性のある IT ガバナンスフレームワークは、ビジネス目標との関係の中で IT ソリューションの明確な目標を策定し、企業のテクノロジーサービスに対するステークホルダーの信頼を高めます。
適切な IT ガバナンスが導入されていないと、IT の誤った利用、不法な利用、危険な利用を防止することはほぼ不可能です。IT ガバナンスにより、企業に導入されているすべての情報テクノロジーを明確に把握できるので、コンプライアンス違反の問題を容易に特定して修正できます。
整合性のとれていない IT サービスは、低品質でのデータの特定、効果の低いセキュリティコントロール、不十分なコミュニケーション、低水準のリソース割り当てにつながります。IT ガバナンスが適切に導入されていれば、それぞれの問題が解決され、コスト削減と IT 投資の投資利益率向上の両方を実現できます。
前述したように、IT ガバナンスの根本的な目的は IT ソリューションを事業達成目標に正確に整合させることです。具体的に言えば、IT ガバナンスは以下の目的を達成するためのものです。
この目的はその響きとは裏腹に複雑です。ほとんどの企業には社内外にさまざまなステークホルダーが存在しており、ステークホルダーに応じてその利益と、「価値」が意味するものが異なる可能性があります。IT ガバナンスは、相反するステークホルダーの利益を取り入れ、複数のタスクに相乗効果をもたらし、あらゆるレベルで価値が実現するようにします。
IT ガバナンスは、企業が IT とビジネス価値を明確に関連付けるために必要なインサイト、透明性、測定可能なデータを提供します。企業はこの情報を使用して、価値を最大限に引き出すための効果的な戦略を策定できます。IT ガバナンスは、企業が IT 活動のビジョンを洗練させ、最上位レベルで (また取締役会と) コミュニケーションを図るための共通の言語を確立し、将来の成長へ向けた明確な方向性を定める上で役立ちます。
徹底的に吟味された IT フレームワークでは、「シャドー IT」に関連するリスクを排除できます。また、リアルタイムで正確にリスクを把握するためのフレームワークが実現し、確実にすべてのシステムが正しく導入され、セキュリティの面で最新の状態にできます。IT ガバナンスは単なるデータの窃盗に関連するリスクにとどまらず、さまざまなステークホルダーのさまざまな利益を反映し、利益相反が生じる際には明確な解決策を提供し、各部門の目的が食い違うリスクを緩和するのにも役立ちます。
IT 資産が連携して適切に機能し、価値を実現しているかどうかを判断するにはどうしたらよいでしょうか?唯一の方法は、結果を測定することです。意思決定者は IT ガバナンスフレームワークに組み込まれている重要業績評価指標と測定基準を使用して、関連するすべての IT リソースのパフォーマンスを正確に測定できます。
IT ガバナンスと IT 管理は同じ意味で使われることがありますが、IT ガバナンスと IT 管理は異なります。
IT ガバナンスは、戦略の策定、ロードマップの確立、IT とビジネス優先事項の整合、リスクとコンプライアンスの問題の緩和のための明確なフレームワークを提供します。基本的には、IT ガバナンスは、企業が従うべき行動計画が決定するものです。
IT 管理は、戦略の策定にはあまり関与しませんが、IT の導入や IT プロセスに関連する日常的な活動に注力し、継続的な IT 管理が効率的、また合法的に実施されているようにします。IT 管理では、戦略的方針をアクションへと変換し、目標達成へ向けてビジネスを推進します。
IT ガバナンスは、官民組織を問わず、実質的にすべての業種のあらゆる規模の組織に具体的なメリットをもたらします。ただし、包括的な IT ガバナンスソリューションの構築と導入に必要な時間と労力は、中小企業にとっては大きすぎて対応しきれない可能性があります。中小企業は、ニーズをはるかに超えたソリューションに投資するのではなく、簡素化された IT ガバナンスソリューションを確立させることができます。一方、完全な IT ガバナンスフレームワークに対応できるリソースがある大企業の場合は、そのようなフレームワークを導入することが推奨されます。同様に、規制が厳しい業界のあらゆる企業は、コンプライアンスと説明責任のリスクを緩和するために IT ガバナンスを検討すべきです。
IT ガバナンスプログラムの導入は、フレームワークの選定から始まります。IT ガバナンスフレームワークは業界の専門家により策定され、通常、企業が IT ガバナンスへスムーズに移行できるようにするための重要なガイドとチュートリアルが含まれています。人気が高い IT ガバナンスフレームワークには次のものがあります。
本来 IT 監査のフレームワークとして設計された COBIT は、リスクの緩和と管理を特に重視しており、IT ガバナンスにも完全に対応するように拡張されました。
IT パフォーマンスの向上に最も関心のある組織には、CMMI フレームワークが最適かもしれません。CMMI では、数値尺度 (1–5) で企業の IT のパフォーマンス、収益性、品質を評価します。
COSO は他のいくつかのフレームワークに比べると、特に IT 向けというわけではありませんが、不正行為防止、エンタープライズリスク管理、またビジネス上のその他の側面により注力したい企業にとって効果的な IT ガバナンスソリューションです。
FAIR は比較的新しい IT ガバナンスフレームワークであり、オペレーショナルリスク要因とサイバーセキュリティに、より直接的に対応します。他のいくつかのフレームワークよりも新しいフレームワークですが、すでに多くの支持者を獲得しています。
最も包括的なフレームワークである ITIL は、IT 管理と IT ガバナンスの組み合わせによって、関連するすべての IT サービスがビジネスのコアプロセスに対応するようにします。
NIST フレームワークは、IT インフラストラクチャのセキュリティリスクの管理と低減を目的としており、サイバー攻撃の防止、特定、対応に関する標準と指針が含まれています。
ISO 27001 により確立された情報セキュリティ標準は、IT 専門家によって国際的に取り決められたものです。ISO は、組織が既存のサイバーセキュリティコントロールを最適化して完全な情報セキュリティマネジメントシステム (ISMS) を確立する際に役立ちます。
CIS は技術的な管理策とセキュリティ運用管理策を重視した専用フレームワークであり、リスク分析とリスク管理ではなく、IT インフラのレジリエンスの増強によるリスク軽減に対応しています。
さまざまな選択肢があるため、企業が使用する IT ガバナンスフレームワークを決定することが難しいことがあります。前述したフレームワークはいずれも、適切に導入すればほとんどの企業にとって適したソリューションとなる可能性があります。ただし、一部のフレームワークでは特定のタスク、部門、目標に直接重点を置いており、組織によって適している場合と適していない場合があります。利用可能なフレームワークを選ぶときには、以下の点を考慮してください。
IT ガバナンスフレームワークの選定を促す事業達成目標は何でしょうか?前述したように、フレームワークごとにそのメリットは異なるため、利用可能なフレームワークを調べる際に企業のニーズを重視することで、フレームワーク候補を絞り込むことができます。
フレームワークを決定する際には企業の文化も関わってきます。企業が運営を行ったりやりとりしたりする方法を全体的に刷新するよりも、IT ガバナンスのアプローチを変えるほうが常にはるかに容易であるため、企業文化を反映し、すべてのステークホルダーが共感するようなフレームワークを探し出すことを最優先にします。
1 つのフレームワークでは十分な解決策ではないと思われる場合には、2 つ (あるいはそれ以上) のフレームワークを組み合わせることができます。ITIL や COBIT などの特定のフレームワークは相互を適切に補完し合います。
現代ではあらゆる企業が IT システム、ツール、リソースに大きく依存していますが、IT を最大限に活用し、すべての資産が共通の目的に完全に整合しているようにすることが難しいことがあります。IT 管理ソリューションのリーダーである ServiceNow が提供する ServiceNow Governance, Risk, and Compliance (GRC) は、このような状況に対応するソリューションです。 Now Platform® 上に構築された ServiceNow GRC は、IT 資産をまとめて、企業がリスクとレジリエンスをリアルタイムで管理できるようにします。関連するすべての IT データに透明性をもたらし、これらは使いやすいダッシュボードに表示され、チャット、モバイル、オンラインポータルからアクセス可能となっています。継続的で最新の情報を提供するモニタリング機能を採用しており、コンプライアンス状況とベンダーの状況を追跡できます。企業内のリーダー、意思決定者、ステークホルダーとつながることができます。また、高度な自動化機能を採用しており、企業全体での生産性を高め、エラーを減らして、IT の価値を向上させることができます。 ServiceNow GRC のデモをご覧になり、IT ガバナンスをビジネスで活用してください。
ServiceNow でリスクとレジリエンスをリアルタイムで管理