デジタルイノベーション時代のITガバナンス

金融庁は「平成29事務年度金融行政方針」において、ITガバナンスの重要性とそのあり方について金融機関との対話を通じて検討していくことを明らかにしています。また、経済産業省は「システム管理基準」をおよそ13年ぶりに改訂し、ITガバナンスに関する内容を大幅に拡充しています。

ITガバナンスという言葉を目にする機会が再び増えています。例えば、金融庁は「平成29事務年度金融行政方針」において、ITガバナンスの重要性とそのあり方について金融機関との対 ...

ITガバナンスという概念は決して新しいものではありませんが、なぜ今再び注目されているのでしょうか。多くの企業がデジタルイノベーションに取り組んでいる現在におけるITガバナンスの必要性と、ITガバナンスを整備・高度化するためのポイントを紹介します。

1.ITガバナンスの見直し機運の高まり

(1)ITガバナンスとは

ITガバナンスについては、行政や業界団体等でさまざまに定義されていますが、ここでは、「その企業が有するITを活用できる力(IT組織能力)」と定義することにします。ITガバナンスは、部門レベルの取組みであるITマネジメントとは異なり、経営が関与する全社的な取組みです。事業体のITガバナンスのためのビジネスフレームワークであるCOBIT5では、「効果の実現と、リスクレベルやリソース活用の最適化とのバランスを保つことによって、事業体が IT から最適な価値を生み出すことを支援するもの」と位置付けられています。
KPMGは、ITガバナンスを図表1のとおり、8つの分野に定義しています。企業に価値をもたらす「バリューデリバリー」と、リスクを適切に管理する「リスクマネジメント」はITガバナンスの両輪です。

図表1:ITガバナンスの8つの分野

図表1:ITガバナンスの8つの分野

(2)デジタルイノベーション時代におけるITガバナンスの必要性

現在、多くの企業において、デジタルイノベーションの名の下、オープンAPIを介したベンチャー企業との協業や、RPAを活用した業務効率の向上等、様々なIT施策が積極的に実施されています。KPMGがハーヴィー・ナッシュ社と合同で実施した2017年度CIO調査においても、CIOの優先課題として、「安定的かつ一貫性のあるITの提供」と並んで「革新的な新製品・サービスの開発」「コスト削減」「オペレーションの効率性向上」の重要性が前年度より上昇しています。ITを活用した売上拡大やコスト削減がグローバルでも重要な課題となっていることがうかがえます。
これまで多くの企業では、日々発生する社内外のインシデントを受けて、情報セキュリティの向上、システム開発・運用の安定化、サイバーセキュリティへの対応等、「リスクマネジメント」としてのITガバナンスに多くの労力をかけてきたと思います。今後、全社的なIT施策が積極的に実施されていく状況下においても、新技術導入に伴うITマネジメントの高度化等、「リスクマネジメント」を継続して強化していくことが必要です。しかしそれだけでは十分とはいえません。デジタルイノベーション時代では、ITが経営課題を解決するために全社的に活用され、IT投資も拡大していくことが想定され、IT投資が戦略的に実施されているか(経営戦略と整合しているか、リソースを優先度順に割り当てているか等)を明らかにすることが一層重要になります。そのためには、「バリューデリバリー」としてのITガバナンスもより強化する必要があります。このような背景から、ITガバナンスの必要性が高まっていると考えられます。

2.ITガバナンスの整備・高度化のポイント

ITガバナンスという概念は決して新しいものではありません。それではなぜこれまで、整備が十分に進められてはこなかったのでしょうか。実務を通して見えてきた主な問題として、以下が挙げられます。

  • ITガバナンスのプロセスをCIO・IT部門が主導となって整備したが、運用段階になって他役員・利用部門の協力が得られず、プロセスが形骸化してしまう。
  • ITガバナンスのプロセス整備に伴い、新たに規程類を作成したが、既存規程との整合がとれておらず、プロセスが機能しない。
  • ITガバナンスのプロセスの見直しが行われず、新技術の導入・運用に対するガバナンスが十分に機能しない。

これらの問題を踏まえ、ITガバナンスの整備・高度化を成功させるためには、以下のような点が重要になると考えられます。

(1)経営層、利用部門の関与

ITガバナンスは、図表2のとおり、経営層、IT部門、利用部門が三位一体となり達成すべきものであり、三者が連携するための仕組みを構築することが重要です。具体的には、IT戦略策定、IT予算策定、IT投資管理等のプロセスフローを整備し、いつ、誰が、どの会議体で、何をするのか明らかにしておくことが考えられます。新たなプロセスを導入する場合には、関係者によるウォークスルーを実施する等、試行運用により課題を洗い出し、本格的な運用の前にプロセスの実行性を高めておくことが重要です。
また、グループ会社においては、持株会社やシステム関連会社との役割分担について、海外進出を行っている場合には、海外拠点との役割分担についても、規程類の整備を通じて明らかにしておくことが考えられます。

図表2:経営層、IT部門、利用部門の関係

図表2:経営層、IT部門、利用部門の関係

(2)既存規程との整合

ITガバナンスのプロセスを新たに導入する場合、その実行性を確保するために、既存の情報システムに関する規程との整合に留意する必要があります。新たな規程について、全社の規程体系における位置づけや、記載粒度、さらには、「IT」「プロジェクト」等の用語の使用方法についても、既存の規程と整合した形で整備する必要があります。

(3)新技術への対応

ITガバナンスは、「バリューデリバリー」と「リスクマネジメント」の両側面があり、新技術導入に伴う強化が必要であることは先に述べたとおりです。新技術に対しては、その特性を考慮したうえでガバナンスを効かせることが重要です。例えば、コスト削減を目的としてRPAを導入する場合、RPA導入を推進するルール・体制を整備する一方で、RPAの特性を考慮したリスク管理のガイドラインを整備する等、ITマネジメントを見直すことが考えられます。

3.まとめ

ITガバナンスはITを活用できる組織能力であり、経営層、IT部門、利用部門が三位一体となって達成する必要があります。そして、多くの企業がデジタルイノベーションの名の下に、経営課題の解決に向けてIT施策を積極的に推進している現在の状況下では、新技術の導入等に係るリスクに対応することに加えて、IT投資が戦略的に実施されているのか明らかにするためにも、ITガバナンスを強化することが重要です。

執筆者

KPMGコンサルティング株式会社
マネジャー 谷口 元

リスクマネジメント解説

お問合せ