Home / Resources / News and Trends / Industry News / 2016 / Creating Value with an Enterprise IT Governance Implementation Model Using COBIT 5

COBIT 5 を活用した事業体ITガバナンス導入モデルによる価値の創出

Creating Value with an Enterprise IT Governance Implementation Model Using COBIT 5
Author: Yuichi (Rich) Inaba, CISA
Date Published: 17 May 2016
English

米国におけるサブプライムローン危機やリーマンショックの発生を受け、日本では金融庁が金融規制の強化へと舵を切った。この金融庁による規制はITガバナンスの観点から導入されたものであり、情報セキュリティの強化やリスクの最小化を目指したルールを細部にわたり定めた。これら規制に対応するために、金融機関の経営者はある種の「守り」のITガバナンス、すなわちリスクの最小化とコンプライアンス対応に注力してきた。

一方、2013年には安倍内閣により日本再興戦略が承認され、2015年には金融庁がコーポレートガバナンスコードを定め、上場企業に対し持続的成長と中長期の企業価値向上を目指すことを求めた。このような状況の中で、金融機関は守りの受動的なリスク最小化やコンプライアンス対応というよりは、むしろステークホルダーへの価値創出を目指した攻めの能動的なITガバナンスに取り組むようになってきた。

事業体、特に金融機関において、経営者に求められることは守りのリスク管理・コンプライアンスから攻めのITガバナンスへ変革していくことである。図表1 に、フレームワークとの関係を含め、守りのリスク管理と攻めのITガバナンスの関係を示す。事業体の経営者はこの図の左から右への変革を目指している。

図表1—守りのリスク管理と攻めのITガバナンスの関係
図表1
S出所:Y. Inaba、許諾による掲載

本記事では、以下の COBIT を活用した実務経験に基づく事業体ITガバナンス導入モデルを説明する。

  • 日本を拠点とするグローバル保険グループにおける COBIT 4.1 のプロセス参照モデルと成熟度モデルを使用したグループITガバナンス態勢の構築1
  • 当該保険グループの一員であるITサービス会社における COBIT 5 を使ったガバナンス、リスク管理、コンプライアンス態勢(GRC態勢)の構築2
  • 日本における主要な監査法人である有限責任監査法人トーマツの職員としての実践経験

攻めのITガバナンスモデル

攻めのITガバナンスの核心は、ステークホルダーへの価値創出および組織の受託者責任と説明責任の遂行にある。図表2 に、本記事で説明する今回開発した攻めのITガバナンスモデルを示す

図表2—ITにより価値創出を目指す事業体のITガバナンス導入モデル
図表2
出所:Y. Inaba、許諾による掲載

ステークホルダーニーズからイネーブラー達成目標への展開

図表2 の左側上から下への流れ( 図表3 はその拡大図)により、ステークホルダーニーズからイネーブラー達成目標への展開を示す。これは、COBIT 5の原則「ステークホルダーニーズの充足」に従ったものである。

図表3—ステークホルダーニーズからイネーブラー達成目標への展開
図表3
図表3—ステークホルダーニーズからイネーブラー達成目標への展開

まず、取締役から構成されるガバナンス層は、株主、お客様、従業員、規制当局、社会(経済社会など)から構成されるステークホルダーへの価値創出ニーズを評価し、マネジメント層へどのような価値を創出すべきかを方向付けする。これは、ミッション、ビジョン、バリューステートメント(経営理念等)を策定することで表現される。これは、ガバナンス目標を価値創出と整合させる活動に対応する。

そして、マネジメント層はステークホルダーニーズを評価した結果から事業体達成目標を設定する。これはバランススコアカード (BSC) の4つの要素、すなわち、財務、顧客、内部、学習と成長、により構成される。この結果は経営戦略を作成することにより表現される。次のステップはマネジメント層が事業体達成目標を基にIT達成目標を設定することであり、ITバランススコアカード(IT-BSC)の同様な4つの要素に従って記述される。このステップのアウトプットはIT戦略を記載した文書になる。最後に、達成目標はCOBIT 5に記載のとおりイネーブラー達成目標へと展開される。イネーブラー達成目標の設定の結果はイネーブラー戦略、すなわち、原則・ポリシー、プロセス、組織構造、文化、情報、サービス・システム、人材のそれぞれの戦略として表現される。通常、イネーブラー戦略(実現戦略)はIT戦略を記載する文書の中に含まれる場合が多い。

このような達成目標の展開については、COBIT 5 フレームワーク3 に記載されているステークホルダーニーズから事業体達成目標へのマッピング表や、 COBIT 5: Enabling Processes.4 に記載されている事業体達成目標からIT達成目標へのマッピング表、さらには、IT達成目標からプロセスイネーブラー達成目標へのマッピング表が参考になる。

計画-構築-運用-モニタリングのサイクルによる7つのイネーブラーの導入

次のステップとしてマネジメントの実行があり、これは、計画-構築-運用-モニタリング(PBRM)サイクルによる一連のプラクティスにより行われる。マネジメント層は7つのイネーブラーにフォーカスすることによりマネジメントを遂行する。図表2 の底辺部分がこのPBRMサイクルを表しており、これは 図表4 に詳しく説明されている。

図表4—7つのイネーブラーの導入
図表4
出所:Y. Inaba、許諾による掲載

プロセスイネーブラーに関し、イネーブラー達成目標の設定とはCOBIT 5プロセス参照モデルで定義された37プロセスのうち、どのプロセスを優先プロセスとして、COBIT Process Assessment Model (PAM): Using COBIT 5 により定義される能力度のどのレベルを目指すかを選択することである。この選択はステークホルダーニーズから達成目標を展開することにより推進される。次のステップはイネーブラーを構築することである。選択されたプロセスに関するプロセス能力アセスメントを行い、続いて、現状の能力レベルと目標の能力レベルのギャップを埋めるための改善措置計画を策定し、その改善措置計画を実行する。そして、プロセスイネーブラーの目標を達成するために改善されたプロセスが運用される。最後に、プロセスの実施状況すなわちプロセス達成目標の状況をモニタリングする。

この記事で記述する事業体ITガバナンス導入モデルでは、今のところプロセスイネーブラーにしかフォーカスしていないこともあり、その他のイネーブラーについては従うべき詳細な具体的プロセスを定義していない。プロセスイネーブラーの導入モデルの構築を完了した後に、その他のイネーブラーを詳細化していく意図である。プロセスイネーブラー導入モデルについては、5 プロセスイネーブラーの詳細なガイド や、すでに存在しているプロセスアセスメントモデルとアセッサガイドによりサポートされている。6, 7

情報イネーブラー導入モデルの開発が次となりうる。これは、COBIT 5: Enabling Information により当該イネーブラー導入モデル構築のために必要なガイダンスを得られるためである。これに加え、どうやって、現状の情報イネーブラーの状態をアセスメントし、あるべき状態へ到達するかについて記載する必要がある。

経験から言えることは、サービス・システムイネーブラーと人材イネーブラーの導入ガイダンスのニーズが強い。これは破壊的イノベーションやデジタル社会への変革の時代においては必須のイネーブラーであると思われ、そこには攻めのITガバナンスが必要となる。ISACA®の計画ではCOBIT 5の導入において会員を支援するために、残りの5つのイネーブラーガイドの形でガイダンスをリリースしていく予定である。

ステークホルダー価値創出へと集約するイネーブラー達成目標のモニタリング

図表2 の右側の下から上への流れ( 図表5 に拡大図を示す)では、達成目標のモニタリングをイネーブラー達成目標からステークホルダー価値創出へと集約することを示している。

図表5—達成目標のモニタリング
図表5
出所:Y. Inaba、許諾による掲載

最初に、個々のイネーブラーの導入や運用の状況がモニタリングされ、その結果がイネーブラーモニタリングレポート(実現報告)として報告される。このレポートが集約されてIT達成目標のモニタリング結果をまとめたIT報告にまとめられる。されにこの流れを上り、IT報告が集約されて経営報告にまとめられる。これには、ITだけではなく他のガバナンス領域のモニタリング結果も記載されている。

最後に、ガバナンスとマネジメントサイクルを通して創出される価値の内容が価値創出報告すなわち統合報告書としてまとめられ、説明責任を果たすためにステークホルダーへと報告される。

事業体全体ガバナンスにおける事業体ITガバナンスの観点

上記に記載のガバナンスとマネジメントのサイクルを改善するため、事業体全体ガバナンスの立場から見ることは価値がある。言い換えれば、図表6 に示すようなコーポレートガバナンスの観点である。上の円形図は事業体ガバナンスを表し、下の円形図は事業体ITガバナンス(GEIT) を示す。なお、本記事では事業体ITガバナンスをenterprise IT governance(EITG)と表現している。

図表6—事業体ITガバナンス
図表6
出所:Y. Inaba、許諾による掲載

事業体ガバナンスは、取締役会による方向付けや監督の下でCレベル役員が遂行するものである。この事業体ITガバナンス導入モデルでは、2つの主要なガバナンス領域(事業価値創出ガバナンス(BVCG)と呼ぶビジネスガバナンス、および、価値サービスガバナンス(VSG)と呼ぶコーポレートガバナンス)から構成される。

上部に位置する事業価値創出ガバナンス(BVCG)には、事業体の事業(保険事業会社の場合、損害保険事業、生命保険事業、等)あるいは機能(保険引き受け、損害査定、等)が含まれる。ITサービス会社の場合は、ITサービス提供事業であったり、システム開発機能およびシステム運用機能であったりする。

下部に位置する価値サービスガバナンス(VSG)は、いわゆるコーポレートガバナンスであり、経営企画、財務報告、人材、リスク、情報セキュリティ、コンプライアンス、監査・保証の領域にブレークダウンされる。これらのガバナンス領域は通常すべての業界で同様なものである。

ひとたび、ガバナンス層がステークホルダーニーズから経営目標や経営戦略を設定すると、それらを個々のガバナンス領域に展開していく。ITガバナンスはこれら展開されるガバナンス領域の1つである。

最高情報責任者(CIO)および最高経営責任者(CEO)、最高執行責任者(COO)はITガバナンスにフォーカスして、事業体の達成目標と整合させITによるステークホルダーへの価値を提供するために、イネーブラー達成目標までの展開を行う。これは図表6 の下に書かれた円形図で表現されており、ITガバナンスが中央に位置づけられ、事業価値創出ガバナンスと価値サービスガバナンスがその周りを囲み、ITガバナンスとこれらのガバナンスが「整合」と書かれた部分でオーバーラップしている。

重要なのは、この図には表面上あらわれていない同様な円形図が複数存在することである。それぞれのガバナンス領域では、担当のCレベルの役員が、ITガバナンスを含むその他のガバナンス領域に「整合」の表記と共に周りを囲む別の円形図 (図表7) によって示されるPBRMサイクルを業務執行している。

図表7—個々のガバナンス領域の観点から見た事業体ITガバナンス
図表7
出所:Y. Inaba、許諾による掲載

IT達成目標への展開と平行して、個々のガバナンス領域で達成目標の展開が行われている。これらのガバナンス領域においてもイネーブラー達成目標が設定され、PBRMサイクルによりイネーブラーが導入される。

例として、達成目標に金融技術(FinTech)の導入を含めている金融機関を考える。その人事部門ではFinTechのための人材開発プログラムを計画するであろうし、IT部門ではFinTech導入のためのスキルマップを定義し、そこで定義されたスキルを保有する人材を確保する計画を立てるであろう。明らかに、これらの2つの部門の取り組みはお互いに整合している必要がある。

その後、それぞれのガバナンス領域のモニタリングが遂行される。最後に、事業体ガバナンスの円形図(図表7の上部)に戻り、個々のガバナンス領域のモニタリング結果をもとにガバナンス層は事業体達成目標のモニタリングを行い、1つの経営報告に統合していく。

事業体ITガバナンス導入モデルによる価値創出

COBIT 5 は事業体ITガバナンスのための有用なツールでありガイダンスフレームワークである。ITガバナンスの実践者は、COBIT 5に基づくサービス提供において、本記事に示した事業体ITガバナンス導入モデルを用いることで、クライアントへの価値を創出することが可能になる。

この種の提唱活動を通して、ITガバナンスの実践者はクライアントへ価値を創出し、日本における社会的責任を果たしていくことが可能となる。

Yuichi (Rich) Inaba, CISA

有限責任監査法人トーマツ シニアマネジャー。COBITの幅広い経験に基づき事業体ITガバナンス導入モデルを開発。前職では、日本を拠点とする保険グループの持株会社のマネジャーとして、COBIT 4.1に基づくグループITガバナンス態勢の構築に従事。その後、当該保険グループのITサービス会社の上級エキスパートとして、COBIT 5を活用したITサービス会社のGRC態勢を構築。ISACA東京支部の基準委員として、数多くのCOBIT 5関連ドキュメントの日本語化や日本におけるCOBIT 5の普及活動に精力的に従事。

著者注

本記事の内容については、著者の個人的意見を表明するものであり、有限責任監査法人トーマツの公式な見解を示すものではありません。

後注

1 Inaba, Y., H. Shibuya; “Executive Management Must Establish IT Governance,” COBIT Focus, vol. 1, 2013
2 Inaba, Y., “Creating Value With COBIT 5 at a Tokio Marine Group Company,” COBIT Focus, 24 November 2014
3 ISACA, COBIT 5, USA, 2012
4 ISACA, COBIT 5: Enabling Processes, USA, 2012
5 Ibid.
6 ISACA, COBIT Self-assessment Guide: Using COBIT 5, USA, 2013
7 ISACA, COBIT Assessor Guide: Using COBIT 5, USA, 2013