ITマネジメントレベルの向上

前回のコラムでは、

• 今の企業には、ITを積極的に経営に活用し、IT投資の効果を最大化して、企業の競争力を高めるIT経営が求められている
• IT経営実現のためのエンジンとなるべきIT部門には、「ITマネジメントレベルの向上」が必要

という話を述べました。
その向上サイクルが図1に示す「ITマネジメントサイクル」です。

今回は、この「ITマネジメントレベルの向上」について、IT部門が担うべき様々な機能はどのレベルを目指していけばよいのか、その機能に対するレベルの評価項目について考えてみます。

最終的に目指すべきレベルは、「ITマネジメントで必要な各機能が、最適なプロセスとして存在し、継続的に改善されている状態」です。
そのレベルに到達するまでには、プロセスの成熟度で判断すると以下の6つのステージがあります。

• ステージ5

  プロセスが最適化され、継続的に改善している

• ステージ4

  プロセスが管理され、活動が可視化されている

• ステージ3

  定められたプロセスがあり、継続的に実施している

• ステージ2

  繰り返し実施しているが属人的である

• ステージ1

  定められたプロセスが無く、その場対応で実施している

• ステージ0

  実施されていない

最初の目標はステージ3

まず目標となるのは「ステージ3：定められたプロセスがあり、継続的に実施している」状態です。
当社が提供する「ITマネジメントレベル簡易診断」の結果においても、ステージ2前後になる企業が多く見受けられますので、まずはステージ3を目指すことをご提案しています。

ITマネジメントに必要な機能

ITマネジメントに必要な機能は、下図のものが有ることは前回述べました。
自社のITマネジメントレベルの把握には、これらの各機能のプロセスが定められ、実行されているかを判断していく必要があります。

各機能には、プロセスの成熟度を判断できるいくつかの主要な活動があります。
それぞれの機能毎に判断要素となる活動と評価ポイントを見ていきます。

1．情報戦略マネジメント

先に掲げた機能の中で、情報戦略に密接に関わる一連の活動を「情報戦略マネジメント」として捉えることで、よりシンプルにプロセスを評価することができます。

「情報戦略マネジメント」として捉える機能

• 事業戦略とIT戦略整合
• 戦略実行マネジメント
• IT戦略実行評価

情報戦略マネジメントで重要なのは経営戦略に沿った情報戦略が中期・短期の計画として落とし込まれ、戦略実行に必要な「資金」「人材」などの経営リソースが計画的に割り当てられていることです。
また、戦略の実行状況をモニタリングし、事業戦略と情報戦略のズレを把握し、見直されていなければなりません。

評価ポイント

• IT中期計画・年度計画が策定されている
• ITの評価指標（IT投資効果）を設定し、定期的にモニタリングしている
• IT要員の人材育成計画を立案して、実行している
• IT中期計画／年度計画、人材育成計画を毎年見直している

2．システム導入

システム導入は、情報戦略に基づいて個々のシステムを構築・導入する機能です。
システム導入では、開発プロセス（上流工程・下流工程）の中で、上流工程のアウトプットがシステムの良し悪しを決定してしまいます。従って、上流工程で実施すべきシステム化企画がきちんと行われおり、機能要件の明確化とそれに従った設計が行われていることが必要です。

また、開発から運用受入に至る一連のシステム導入プロセスが標準化されていれば、成果物に対して品質が保たれます。 開発プロセスが標準化された状態は、一般的に品質マネジメントシステム（QMS）で実現されます。

評価ポイント

• 情報戦略に基づいてシステム化の企画が行われている
• 操作性、保守性・拡張性、復旧容易性・可用性、機密性を考慮した設計になっている
• システム導入・受入プロセスは標準化され、実施されている （QMSに基づいた品質管理、プロジェクト管理の適切な実施）

3．システム運用

システム運用では、ITシステムが利用者に対して提供する機能を「サービス」と捉えて、適切にサービス提供を行う視点が必要です。
現在、ITサービスのベストプラクティスとされている「ITIL」を参考にすると必要な機能が明確になります。
サービスレベルが把握され、正常なサービスを阻害する要因を捕捉して改善に結びつける活動が重要です。

また、現在のITシステムでは、まだまだ人が介在するオペレーションがあります。
このオペレーションの標準化、文書化、自動化のレベルもシステム運用の成熟度に大きく影響しています。

評価ポイント

• 利用者との間でサービスレベルが設定され、実績が評価されている
• セキュリティ事故や障害などのインシデントを迅速に把握し、原因を切り分ける対策を講じている
• インシデント発生時の原因追究と再発防止策が、適切に行われている
• IT環境の構成管理がタイムリー、かつ正確に実施されている
• オペレーション業務が、標準化、文書化、自動化され効率的に実施されている

4．IT活用と保守

ＩT活用と保守は、システムと情報を最大限活用し、システムをより使い易くする機能です。
IT経営のプレイヤー（経営者、現業部門、IT部門など）に活用される情報が提供されているのか、提供された情報が活用されているのかを把握することが重要です。
IT投資対効果を高めるためにも、システムの活用度や満足度を評価して、顕在化した課題を改善していく活動が求められます。

評価ポイント

• 企画→調達→生産→営業などの関係各部門で、情報共有の仕組みがある
• 「経営者」「現業部門」「IT部門」それぞれに必要な情報が提供され、活用されている
• 全社共通な情報発信・提供の仕組みが用意されている（社内ポータル等）。
• 社内情報システムの利用部門での、活用度や満足度を評価している

5．ITインフラ管理

ITインフラは、情報戦略に基づいて、インフラ環境の整備の方針が定められ、方針に基づいた設備導入と維持運営が行われていることが必要です。

評価ポイント

• ITインフラの整備・強化方針が定められている
• サーバやネットワークの稼働状況（レスポンス、リソース等）は監視された状態にあり、定期的に評価されている
• セキュリティ要件に基づいた設計・設備になっている
• 災害・障害に対する冗長性、復旧性が考慮された設計・設備になっている

6．情報セキュリティ

情報セキュリティで必要なことは、経営者の取組方針が表明され、方針に基づいた対策が実施されることです。
情報が企業の重要な資産と考え、資産を保護するコントロールが実施されていることが必要です。

評価ポイント

• 情報セキュリティポリシーを定め、それを従業者及び関係者に周知・徹底している
• 情報の重要度に応じた扱い方法が定められ、重要なデータは保護されている
• セキュリティ事故が発生した時の対応手続を文書化し、社内へ周知・徹底している
• 情報セキュリティ教育を定期的に実施している
• 情報セキュリティ管理の運営・実施状況を定期的に評価し、改善している

7．事業継続

事業継続の活動のポイントは、組織全体で事業継続に対する取り組みが行われていることです。
今や、会社経営に不可欠なITサービスに対して、中断リスクが把握され、重要なリスクに対して対策が実施されている状態でなければなりません。
事業継続のためにリスクを管理し、新たな脅威には対策を見直すというPDCAサイクルが何よりも重要です。このPDCAが廻っていれば個々の対策は実施されていきます。

評価ポイント

• ITサービスを継続するための組織的な取り組みの基本方針、復旧目標が設定され文書化されている（BCP策定）
• BCPに基づいた訓練計画（机上訓練、模擬訓練など）が実施されている
• BCPの運営・実施状況を定期的に評価し、改善している

8．内部統制

内部統制では、財務に関わる不正操作を防ぐ仕組みと運用が必要です。
株式が上場されているかどうかによってその法的要求事項は異なりますが、上場・非上場に関わらず、重要と考えられる活動には以下の様なものが挙げられます。

評価ポイント

• 重要な業務に関してはITコントロールが適切に行われ、実務の業務効率も図られている
• 売上計上など重要な承認事項については、業務上の統制に加え、IT上のアクセスコントロールなどの仕組みを組み込んでいる
• アプリケーションの変更、運用ルール・手順などの変更が適切に承認され、履歴管理されている
• 開発と運用の分離による統制が行われている（担当者の分離、IT環境の分離）
• アプリケーションを介した、或いは運用の過程でのデータの漏洩・改ざんが起きないよう、データ変更に関する手順、承認プロセスが適切に運用されている
• アクセス権設定（社内情報システムの利用者全てに対する）が適切に行われ、定期的にIDの棚卸しによる適正化を図っている
• 日常的に不正なアクセスがないかのモニタリングを行っている
• 内部統制維持の為、監査（内部監査や外部監査）が実施されている

これまで述べてきたように、ITマネジメントに必要な機能は多岐にわたっています。
まずは
「ステージ3：定められたプロセスがあり、継続的に実施している」
が目指すべき目標だと述べましたが、ステージ1の機能をいきなりステージ3に引き上げることは困難です。

複雑化するITマネジメントを構成するプロセスの成熟度を、タイムリーかつ的確に把握して、弱点を補強します。
このようにして1ステージずつ着実にレベルアップしていくことが、IT部門には求められています（下図参照）。

本コラムに関連するコンサルティングサービス

• ITマネジメントレベル簡易診断
  IT部門が取り組むべき課題を見つけて、マネジメントのレベルアップを支援します。