【実践！DX】COBITをベースとしたITガバナンス・マネジメントの導入

企業がDXを進める上で参考になるITガバナンスとマネジメントのフレームワークにCOBITがあります。
COBIT（Control Objectives for Information and related Technology）とは、情報システムコントロール協会 (ISACA)とITガバナンス協会 (ITGI)が1992年に作成を開始した、企業や組織がITガバナンスとITマネジメントを円滑に運用するための実践規範（フレームワーク/ガイドライン）です。
COBITは、DX戦略マップのデータドリブン経営のベースとなるアプリケーションマネジメント、データマネジメント、ITマネジメント、ビジネスプロセスマネジメントを包括するフレームワークです。

現時点で最新のCOBIT2019は、ITILやCMMIなど、次の標準的なフレームワークに準拠しています。

今回は、COBIT2019を参照して、COBITの考え方と、それを適用したITガバナンスおよびITマネジメントについて次の観点で説明します。

• ITに関する企業全体のガバナンス（EGIT）
• COBITの原則
• COBITのITガバナンス及びマネジメント目標
• COBITのパフォーマンス管理
• COBITの導入アプローチ
• 関連動画

さて、COBIT2019の背景を見ると次のように説明されています。

「IT」は技術的なものであるという認識から、特定の組織部門がその技術に関する主要な責任を担うものであるとされるのが通常であった。このため、本来、事業体全体に関わるはずのITガバナンスが偏ったものとなることが多かった。
ここで新たに「I&T: Information & Technology」（情報と技術）という表現を用いることで、事業体がゴールの達成のために生成し、処理し、そして利用される全ての情報は、それに関係する技術同様、事業体全体に関わるものであるとした。

つまり、テクノロジーだけではなく情報（あるいはデータ）も重要視しているということです。
そこで、ここでは、ITをI&T（情報と技術）という意味で使用するとともに、
ITガバナンスを、
I＆T（情報と技術）を活用した事業体を運営するための方針、規則、プロセス、および意思決定の枠組みを確立し、適用すること
という意味で使用します。
【関連する文献】

• COBIT5の概要
• COBIT2019の概要

なお、COBIT2019の詳細資料に関しては、日本ITガバナンス協会にお問い合わせください。

ITに関する企業全体のガバナンス（EGIT）

COBITでは、事業体の価値創出やリスクマネジメントに対するITガバナンスの重要性をEGIT（Enterprise Governance of Information and Technology）という言葉で表しています。
「COBIT2019の紹介」を見ると、次の点を指摘しています。

• デジタル変革（DX）を考慮に入れて、ITは事業体の支援、持続性及び成長において決定的なものになったこと
• 事業体のリスクマネジメント及び価値創出に対するI&Tの中心的な役割りを考えると、EGITに明確に重点を置くことは、直近の20年間以上にわたって起きてきたこと
• 基本的に、EGITはデジタル変革による価値提供と、デジタル変革の結果であるリスクの低減と関係があること

つまり、ビジネスにおいてITは不可欠な存在になっているため、事業体全体でITのガバナンスを実施することが大変重要になってきたということです。
また、COBIT2019の紹介では、EGITを導入することによって次の3つの効果を期待することができると説明しています。

1. 便益の実現
   ITを通じて事業体にとっての価値を創出すること、既存のIT投資家らの価値を維持向上させること、そして十分な価値を創出していないITの取り組みおよび資産を削減することができる。
2. リスクの最適化
   ITを通じた事業体の便益の実現を阻害する、ITの利用、所有、運用、投資、影響および適用に関係するビジネスリスクをコントロールすることによって事業体の価値を保全することができる。
3. 資源の最適化
   その上で、事業体の戦略に従って、統合されたIT基盤が提供され、必要とされる新技術が導入されるとともに旧態化したシステムが速やかに更新されることを確保することができる。

つまり、EGITによって、IT資源とプロセスを戦略的に管理し、ビジネス目標に方向づけることができるということです。

COBITの原則

EGITを実現するために、COBITでは次のような、６つのガバナンスシステムの原則を定義しています。

1. ステークホルダー価値の提供
2. 包括的アプローチ
3. 動的なガバナンスシステム
4. ガバナンスをマネジメントと明確に区別
5. 事業体のニーズに適応
6. 隅から隅までのガバナンスシステム

一つ一つ見ていきましょう。

原則1：ステークホルダー価値の提供

各事業体は、ガバナンスシステムがステークホルダーのニーズを満足し、ITの利用から価値を創出する必要がある。
COBITでは、ステークホルダーニーズを出発点とした事業体の達成目標をカスケードして、ITの達成目標に整合（align）させ、最終的にITガバナンスとマネジメントの達成目標に結びつけます。
なお、ITガバナンスとマネジメントの達成目標については、「COBITのITガバナンス及びマネジメントの目標」を参照してください。

出所：COBIT2019
つまり、ITガバナンスとマネジメントは、事業体のステークホルダーに対する価値を創出、提供するために行うのです。

原則2：包括的アプローチ

事業体のITに対するガバナンスシステムは、多くの構成要素（コンポーネント）から構築され、それらは異なる種類のものであり、包括的な方法で相互に働くものであり得る。
COBITでは、事業体のITガバナンスとマネジメントを、次の7つのコンポーネントに分けて、包括的に実施します。

出所：COBIT2019

プロセス

COBITのITガバナンス及びマネジメントプロセスは、特定の目的を達成し、IT関連の全体的な目標の達成をサポートする一連のアウトプットを生成するための体系化された一連の実践（プラクティス）および活動（アクティビティ）を記述します。
COBITでは、プロセスを構成する活動の能力レベルを設定します。
能力レベルについての詳細は、「COBITのパフォーマンス管理を参照してください。

組織構造

組織構造は、事業体における重要な意思決定の主体です。
例えば、取締役会、最高経営責任者(CEO)、ビジネスプロセスオーナー、データ管理部門があります。

プリンシプル、ポリシー、手続き

プリンシプル（原理）、ポリシー、手続きは、望まれる行動について、日々のマネジメントの実践的なガイドラインに落としこまれます。

情報

情報には、その事業体で生み出され使用される全ての情報が含まれます。
COBITはその事業体のガバナンスシステムが効果的に機能を発揮するために情報に重点を置いています。

文化、倫理及び行動

文化、倫理及び行動は、ITガバナンス及びマネジメント活動の成功において過小評価されがちですが、COBITでは、これをITガバナンス及びマネジメントの重要なコンポーネントとしています。

人、スキル及び競争力

人、スキル及び競争力は、全ての活動に関する、良い決定、一連の活動の遂行、及び結果の成功に必要なものです。

サービス、基盤及びアプリケーション

サービス、基盤及びアプリケーションは、ガバナンスシステムを提供するIT処理の基盤、技術及びアプリケーションのことです。

原則3：動的なガバナンスシステム

ガバナンスシステムはステークホルダーニーズの変化や外部環境の変化等に対応し、動的に変化していく必要がある。
これは、一つ以上の設計要因が変化するたびに、EGITシステムが、その影響を受けて変化しなければならないことを意味しています。
ここでいう設計要因は次のような要因です。

• 事業体のガバナンスシステムの設計に影響する要因
• ITの仕様における成功のための重要な位置を占める要因

次の図は、COBITが考える設計要因です。

出所：COBIT2019
また、次の図は、設計要因の例です。

出所：COBIT2019

原則4：ガバナンスをマネジメントと明確に区別

ガバナンスシステムは明確にガバナンスとマネジメントの活動及び構造を区別すべきである。
COBITでは、内部統制を働かせるために、ITマネジメントを監督する側（ガバナンス側）と、実行する側（マネジメント側）で職務を分掌します。

• ガバナンス
  ガバナンスは、取締役会の責任であり、その取締役会長のリーダーシップのもと評価・方向付け・モニタリン グ(EDM)のサイクルを回すこと
• マネジメント
  マネジメントは、経営幹部の責任であり、最高経営責 任者(CEO)のリーダーシップのもと計画・構築・実行・ モニタリング(PBRM)サイクルを回すこと

出所：COBIT2019の概要

原則5：事業体のニーズに適応

ガバナンスシステムは事業体ニーズに適応されるべきである。
各事業体では、ガバナンスシステムのコンポーネント（構成要素）を、それを優先順位付けするパラメータである設計要因を使用してをカスタマイズし、ガバナンスシステムを事業体のニーズに合わせて適応させる必要があります。
その際、必要に応じて重点領域（フォーカスエリア）を適用することができます。
重点領域は、DevOpsやセキュリティなど、一定のガバナンストピック、ドメインもしくは課題を記述したもので、ガバナンス及びマネジメント目標、及びそれらの構成要素の集合で記述することができます。

出所：COBIT2019の概要
つまり、COBITのガバナンスシステムは、各事業体用にテーラメイドすることができるのです。
具体的には、設計要因を考慮して次のようにガバナンスシステムを設計します。

1. マネジメント目標の優先順位と選択(重要なマネジメント目標 に高い能力レベルを設定)
2. コンポーネントの取捨選択
3. COBITのコアモデルの内容の変更

原則6：隅から隅までのガバナンスシステム

ガバナンスシステムは事業体の端から端までをカバーすべきである。
COBITでは、プロセスが事業体内のどこにあるかにかかわらず、 IT機能だけでなく、事業体が目標を達成するために必要とするすべてのテクノロジーと情報処理に焦点を合わせて、事業体全体がカバーされるようにします。

COBITのITガバナンス及びマネジメント目標

COBITのITガバナンス及びマネジメントの目標のコアモデルは次のようになっています。

出所：COBIT2019
ITが事業体の達成目標に貢献するためには、いくつかのガバナンス目標とマネジメント目標を達成しなければなりません。 ガバナンス目標とマネジメント目標に関する基本概念は次のようになっています。

• ガバナンス目標またはマネジメント目標は、目標の達成を支援するために、常に1つのプロセス、および、他の一連のコンポーネント（「プリンシプル、ポリシー、手続き」、「組織構造」、「情報」、「文化、倫理及び行動」、「人、スキル及び競争力」、「サービス、基盤及びアプリケーション」）に関連しています。
• ガバナンス目標は、ガバナンスプロセスに関連しています(上図の濃い青色の背景)。
  一方、マネジメント目 標は、マネジメントプロセスに関連しています(上図の明るい青色の背景)。
  取締役会および経営幹部には、ガバナンスプロセスについて説明責任がありますが、マネジメントプロセスは、上級管理職および中間管理職の責任分野になります。
  これは、原則4の「ガバナンスをマネジメントと明確に区別」に対応しています。

COBITのガバナンス目標とマネジメント目標は、次の5つのドメイン（領域）に分類されています。

出所：COBIT2019
ドメインには動詞を含む名前があり、そこに含まれる主な目的と活動の領域を表しています。
ガバナンス目標は、評価、方向付けおよびモニタリング(EDM：Evaluate, Direct and Monitor)ドメインに分類されています。
このドメインでは、ガ バナンス主体が戦略的オプションを評価し、選択した戦略的オプションについて上級管理者を方向付けし、戦略の達成を モニタリングします。
マネジメント目標は、次の4つのドメインにグループ化されます。

• 整合、計画および組織化(APO：Align, Plan and Organize)
  これは、I&Tの全体的な組織、戦略および支援活動を取り上げています。
• 構築、調達および実装(BAI：Build, Acquire and Implement)
  これは、I&Tソリューションの定義、調達、導入、およびそれらのビジネスプロセスへの統 合を扱います。
• 提供、サービスおよびサポート(DSS：Deliver, Service and Support)
  これは、セキュリティを含むI&Tサービスの運用上の提供と支援を扱います。
• モニタリング、評価およびアセスメント(MEA：Monitor, Evaluate and Assess)
  これは、パフォーマンスのモニタリングと、内部パフォーマンスのターゲット、内部統制目的、および外部要件へのITの準拠を扱います。

さて、ガバナンス目標、マネジメント目標ですが、これは、ガバナンスシステムの７つの構成要素（コンポーネント）から構成されます。

組織構造では、各職務（ジョブ）に対して、実践の責任分担を明確にしますが、責任分担の内容は次のようになります。

• R（Responsible：実行責任者)
  誰がタスクを成し遂げるのか?
  この役割は、記載されたプロセスのアクティビティ（活動）を実行し、意図した結果を生み出すための運用上の責任を負います。
• A(Accountable:説明責任者)
  誰がタスクの成功に責任を負うのか?
  この役割は、タスクの達成に対する全体的な責任を負います(誰が、責任転嫁を止めるのか?)。
  この責任には低いレベルから高いレベルまで存在することに注意が必要です。
  事業体内の権限委譲を可能とするため、責任は細分化されます。
  説明責任は運用上のアクティビティが伴わないということではなく、むしろ、そのようなタスクに係わる可能性が極めて高くなります。
  原則として、説明責任を共有することはできません。
• C(Consulted:協議先)
  誰がインプットを提供するのか?
  これは、インプットとなる情報を提供する役割を担います。
  他の部門や外部パートナーから情報を入手することも、説明責任者と実行責任者の責任になります。
  しかし、協議先からの情報を考慮する際には、必要であれば、プロセスオーナーや運営委員会(ステアリ ングコミッティ)からの情報取得を含む、エスカレーションのための適切な措置を取る必要があります。
• I(Informed:報告先)
  誰が情報を受け取るのか?
  この役割は、タスクの達成状況や成果物の報告を受ける担当です。
  説明責任者の役割は、タスクの監督を行うために常に適切な情報を受け取る必要があり、実行責任者も 関与分野に関する情報を受け取る必要があります。

COBITのパフォーマンス管理

ここでは、COBITのプロセスを構成する活動の能力レベルについて説明します。
能力レベルは、すべてのプロセスのアクティビティ（活動）に割り当てられるので、異なる能力レベルのプロセスを定義することができます。
COBIT2019は、能力成熟度モデル統合(CMMI：Capability Maturity Model Integration)ベースのプロセス能力(0から 5までの範囲)をサポートします。
能力レベルは、プロセスが、どの程度うまく導入され実施されているかの尺度になります。

出所：COBIT2019

• レベル０
  基本的な能力が欠如した状態。
• レベル１：混沌とした状態
  混沌とした、いきあたりばったりで、一部の英雄的なメンバー依存の状態。
• レベル２：管理された状態
  反復してプロセスを実行できるレベル。
• レベル３：定義された状態
  プロセスが標準ビジネスプロセスとして明示的に定義され関係者の承認を受けているレベル。
• レベル４：制御できる状態
  プロセス管理が実施され、さまざまなタスク領域を定量的に制御しているレベル。
• レベル５：最適化された状態
  継続的に自らのプロセスを最適化し改善しているレベル。

COBITの導入アプローチ

最後に、COBITを特定企業に導入するときのアプローチについて説明します。
COBITには、COBITを特定企業に導入するときの導入ガイダンスがあります。

出所：COBIT2019
上図は、外枠から順に次の内容を示しています。

• プログラム管理の流れ
• 変革の流れ
• 継続的にプロセスを改善するときの流れ

企業は、この導入ガイダンスの流れに従ってITガバナンスとマネジメントシステムを導入します。

【関連動画】