本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。
[第4回]モニタリングとコントロールのサイクルを確立せよ(その1)
2010年3月17日
前回までは、PCライフサイクルマネジメントとは何かについて整理してきました。
今回は、これらのマネジメントについて、継続的にその有効性を保ち、さらにレベルアップさせていくためにどうするかを考えます。
“継続的にその有効性を保ち、さらにレベルアップさせていく”とはどういうことでしょうか。
これはすなわち、マネジメント自体のPDCAを回すということです。その要になるのが、モニタリングとコントロールです。
計画と実施について、その状況を評価し、問題があれば是正をしていくという活動になります。
これらは、大きく以下の4つのプロセスに分かれると考えています。
今回は、上記のうち“1.重要成功要因を構造化して見える化する”について解説します。
下の図は、PCライフサイクルマネジメントにおける重要成功要因と打ち手の関係を整理したものです。「戦略マップ」と呼ぶことにします。
以降、この戦略マップを見ながら、モニタリングと是正の手順について、解説していきます。
![[図] PCライクサイクルマネジメントの戦略マップ](images/cons_column01_14.gif)
PCライクサイクルマネジメントの戦略マップ
戦略マップの概観について解説します。
本戦略マップは、バランススコアカードのスキームを利用して整理をしていますが、バランススコアカードそのものの解説は本筋ではないので詳しく説明することは避けます。
大雑把に言えば、目的を達成するために必要な事柄について、下から上に続く矢印によって因果関係(下が原因で上が結果)が説明されているものであるといえます。
重要なことは、重要成功要因や打ち手が相互にどのような因果関係を持っているのかを構造化することです。
これにより全体を俯瞰しての理解が可能になります。
本戦略マップはバランススコアカードの標準的な視点の設定にあわせています。
今回は、IT部門の戦略マップなので、顧客に相当するのは経営者とエンドユーザです。
また、内部プロセスの視点は、ITサービスについて、“社内要員が直接提供するもの”と“外部ベンダーへの委託によって提供するもの”の2つを考えます。
本戦略マップでは重要成功要因と打ち手は区別して考えます。
打ち手はその時々で常に変化します。よって、打ち手の評価指標は、長期に渡るマネジメントレベルの変化を追いかけるには適しません。
このためにはある程度普遍的な指標を設定して継続的に測定することが必要です。
しかし、これらを区別せずに扱うと戦略マップの整理の中で捨てられてしまう恐れがあります。
これが区別を明確にする理由です。
ここから具体的な戦略マップの内容について解説していきます。
上図にある戦略マップの、個々の重要成功要因とそれらの因果関係について、順に整理していきます。
本コラムの第一回で、PCライフサイクルマネジメントの目的は次の4つとしました。
まずこれらを重要成功要因として、顧客の視点におきます。
1.、2.、3.は経営者の視点、4.はエンドユーザの視点です。
本戦略マップでは、上記目的はそれぞれ次のように短く表現されています。
以降はこれに従って表記します。
次に、これら目的から上方向の因果関係を整理します。
これが達成されるとどうなるかというと、「顕在コスト削減」につながります。
これはわかりやすいですね。
これらが達成されるとどうなるかというと、ここでは「潜在コスト抑制」につながるとしました。
コンプライアンス違反の発覚やセキュリティ事故の発生は、対応費用の発生が想定できますが、なにもなければ発生しない費用ですから潜在コストです。
コンプライアンス遵守やセキュリティ対策はこれらの潜在コストを抑制しているという考え方です。
また、ビジネス戦略との不整合は、業務効率の低下や不適切なリソース配分などによる無駄なコストの発生が想定できますが、適切に評価がなされていなければわからないコストですから潜在コストとしています。
ビジネス戦略との整合により無駄なコストの発生を抑制しているという考え方です。
これらは、直接的にはコストに影響を与えません(機会損失・業務効率低下などによる売上喪失や残業代の増加などの影響があるといえばありますが・・)。
しかしこれらが不十分な場合、社内ユーザーのモチベーションが下がり、コンプライアンス違反やセキュリティのリスクが増大すると考えますので、最終的には「潜在コストの抑制」につながります。
次に、前述の目的から下方向の因果関係についてみていきます。
これら1.~4.の目的を達成するために、IT部門(外部委託ベンダー含む)はどのようなITサービスを提供しなければならないかを整理します。
これをなすためには、「無駄のないリソース提供」と「ローコストのITサービス」が必要です。
これをなすためには、「統制されたITサービス」が必要です。
「統制されたITサービス」とは、コンプライアンス遵守のためのコントロール(例えば、J-SOX対応におけるIT全般統制)が効いたITサービスであったり、セキュリティリスクを十分低減できているITサービスであったりしますが、広い意味でのリスクに対して適切にコントロールされたITサービスを指します。
これをなすためには、「即応力のあるITサービス」が求められます。
「即応力のあるITサービス」とは、刻々変わるビジネスユニットからの要求や、ITサービスに係る技術の進歩に追随し、そのときそのときで最適な姿にタイムリーかつ柔軟に対応できるITサービスを指します。
これらをなすためには、「品質の高いサービス」が必要です。
「品質の高いサービス」とは、社内ユーザーのユーザビリティの観点から、いつでも使え、トラブルがあってもすぐ復旧し、使いやすく、正確で、ストレスのないITサービスを指します。
さらに、これらのITサービスを継続的に提供するために、将来に備えてやっておくべきことを整理します。
これらを継続的に提供するためには、将来に備えて「新技術の研究・適用評価」が必要です。
「新技術の研究・適用評価」とは、技術革新により新規に登場するITサービスについて、それをキャッチアップし、既存のITサービスやビジネスユニットの課題解決に役立つか否かを検討し、必要があれば適用評価する活動を指します。
これらを継続的に提供するためには、将来に備えて「要員教育」が必要です。
「要員教育」とは、今後適用しようとするITサービスを担う社内要員について、必要なノウハウやスキルを身につけさせ、本番時に適切な対応ができるよう図る活動を指します。
今回は、モニタリングとコントロールのサイクルを実現するにはなにをすべきかについて、重要成功要因の構造化について整理しました。
次回は引き続いて、打ち手の構造化について確認し、これらの評価指標の設定や戦略MAPの検証と見直しについて、くわしく見ていきます。
NECネクサソリューションズ
シニアコンサルタント 佐藤 裕宣
[CISA公認情報システム監査人,ITコーディネータ,情報セキュリティアドミニストレータ,上級システムアドミニストレータ]
