システム管理基準・ITガバナンス編 苦悶の写経編

bear-crow

1.1 ITガバナンスの実践 


 ステークホルダーのニーズに基づき、組織体の価値及び組織体の信頼度を向上させるために、組織体におけるITシステムの利活用のあるべき姿を示すIT戦略を策定し、組織体のITに関するパフォーマンスを含めたITガバナンスの状況を確認して必要な是正措置を指示することによって、組織体の目標を達成する。

1.1.1 組織体の目的(パーパス)を実現するためのビジネスモデルと、それを実現するための経営戦略を支援する為のIT戦略ビジョンを策定する。
 なお、ビジネスモデルとは、組織体が、顧客や社会に価値を提供し、持続的に価値を向上していくビジネスの仕組みをいう。
(達成目標)
1. 組織体を取り巻く自然環境、社会的・経済的な状況に応じて、組織体の目標を達成するための経営戦略とビジネスモデルと達成すべきビジネス成果が明確にされ、組織体全体に周知されている。
2. 経営戦略とビジネスモデルを実現するためのITの役割と重要性が認識されている。
3. 経営戦略とビジネスモデルを実現するためのIT戦略ビジョンが策定されている。
4. ITソリューションや新技術などが経営戦略とビジネスモデルに及ぼす影響が定期的に評価され、経営戦略とビジネスモデルについて、必要な見直しを行っている。
(ガバナンスの例)
1. (IT戦略ビジョンの策定)経営戦略とビジネスモデルにおけるITの役割を明確にし、組織体のIT戦略ビジョンを策定する。
2. (ビジネス成果の設定)IT戦略ビジョンでは、経営戦略とビジネスモデルにより達成すべきビジネス成果を設定する。
3. (ステークホルダーのニーズの反映)IT戦略ビジョンには、ステークホルダーのニーズを反映する。
4. (新技術の定期的評価)新しいITソリューションや新技術がIT戦略ビジョンに及ぼす影響を定期的に評価する。
5. (市場変化の定期的評価)市場の変化が経営戦略とビジネスモデルに及ぼす影響を定期的に評価する。1.
6. (IT戦略ビジョンの見直し)事業環境の評価を実施し、その結果に基づいて、ビジネスモデルとIT戦略ビジョンの見直しを行う。

1.1.2 IT戦略の策定


 組織体におけるITシステムの利活用のあるべき姿を示すIT戦略を策定し、それに基づいてITマネジメントの責任者に指示する。
(達成目標)
1. 取締役会の意図と期待を明確にしたIT戦略(ITガバナンス方針とIT基本戦略)が策定されている。
2. ITガバナンス方針には、ビジネス成果を実現するための達成目標が設定されている。
3. IT戦略の実現に必要となる組織体のデジタル活用能力を確保する為の戦略と計画が策定されている。
4. IT戦略において、ITソリューションの劣化や陳腐化に対処するための戦略と、将来に向けたITに関する適切な方向性が示されている。
(ガバナンス活動の例)
1. (IT戦略の策定)IT戦略に関する取締役会の意図と期待を明確にしたITガバナンス方針とIT基本計画を策定する。
2. (IT戦略策定の権限移譲)経営者に権限委譲してIT戦略を策定する。
3. (IT戦略の評価と承認)策定されたIT戦略は、取締役会が内容を評価し承認する。
4. (IT戦略の見直し)組織体を取り巻く環境変化評価し、その結果に基づいて、IT戦略を見直す。
5. (ITガバナンス方針)ITガバナンス方針では次の事項を明確にする。
(1)ビジネス成果の実現と結びつけられたIT戦略の達成目標の設定
(2)ITガバナンスの体制、責任及び権限
(3)IT投資の方針
(4)IT資源の調達とIT人材の育成・確保に関する方針
(5)ITシステムの利活用に関わるリスク評価(サイバーセキュリティリスク評価を含む)に基づくITリスクマネジメントの方針
(6)データ利活用の役割と意思決定に関する方針
(7)新しいソリューションや新技術の定期的な影響評価に基づく、技術の陳腐化に対処する為の方向性
6. (IT基本計画)IT基本計画では、次の事項を明確にする。
(1)組織体の現在のニーズと将来的なニーズへの対応
(2)ITシステムの利活用に関わるステークスホルダーの特定と、そのニーズの反映
(3)組織体のデジタル活用能力の駆使による組織体の価値の向上
(4)IT戦略の目標達成状況を評価するための開発計画によるパフォーマンスの期待値とITエコシステムの選定基準の設定

1.1.3 効果的なITパフォーマンスの確認と設定


 組織体のITパフォーマンスが、取締役会の意図や期待、倫理的行動、コンプライアンス上の義務を満足していることを確認するために、ITパフォーマンスの状況を適時確認して、必要な是正措置を指示する。
(達成目標)
1. 取締役会によって組織体のITパフォーマンスが評価され、必要な是正措置が指示され、ITパフォーマンスが管理されている。
2. 取締役会の意思決定を支援するとともに、意思決定の透明性を確保するために取締役会への情報提供のプロセスが整備されている。
3. 組織体の活動において、ITに関する法令・規制・ガイドライン、契約組織体の倫理規定、社内規定などが計画的に遵守されている。
4. ITに関連した法令・規制・ガイドライン、契約、組織体の倫理規定、社内規定など遵守において重大な違反があった場合には、取締役会に適時報告されている。
(ガバナンス活動の例)
1. (ITガバナンスの実施状況の確認)ITガバナンス方針に従って、ITガバナンスが実践されていることを確認する。
2. (ITガバナンス方針遵守の確認)新たな技術を利活用することに伴う権限移譲と責任の割当てが、ITガバナンス方針に従って実施されていることを確認する。
3. (ITパフォーマンス管理の仕組みの構築)組織体のITパフォーマンスの管理の仕組みを構築するように指示する。
4. (外部の専門家による評価)組織体のITパフォーマンスの評価が直接確認できない場合には、外部の専門家による第三者評価を利用するように指示する。
5. (コンプライアンス違反の報告)ITに関連した規制、契約及びコンプライアンスの遵守における重大な違反があった場合には、取締役会にその情報を報告する。
6. (ビジネスリスクの報告)ITに関連して発生し得るビジネス上のリスクについて、正確な情報を把握し、取締役会に報告する。
7. (IT戦略の達成状況の評価及び是正)IT戦略の達成目標の状況を評価したうえで、IT戦略の内容について適宜是正措置を指示する。
8. (技術のライフサイクル管理)新しい技術の導入から、古くなった技術やデータの破棄まで、技術のライフサイクルにわたって評価し管理するよう指示する。

1.1.4 実行責任及び説明責任の明確化


 組織体全体およびステークホルダーに対する実行責任及び説明責任は取締役会が有しており、これらの責任を果たすために、取締役会は主体的に責任をもって行動する。
(達成目標)
1. ITガバナンスに関する実行責任及び説明責任は、権限移譲の有無にかかわらず、取締役会にあることを明確にしている。
2. ITに関連する意思決定の構造及びパフォーマンスの確認体制は、経営者、IT部門及び利用者部門が関与しており、権限はそれを実行するのに最適な立場に有る者に移譲されている。
3. ITガバナンスの実践が適切であり、ITシステムの利活用に関する統制が適切であることを取締役会が評価している。
4. 経営者は、取締役会が設定したIT戦略に従って、目標を達成する実行責任と取締役会に対する説明責任を負っている。
(ガバナンス活動の例)
1. (権限移譲における責任の所在)権限を委譲しても、移譲した者に責任があることを認識し、移譲された者の責任の範囲について明確にする。
2. (権限を委譲されたものの責任)権限を委譲された者が、実行責任及び説明責任を果たせるように権限移譲を行う。
3. (情報開示)組織体の目標及び経営戦略とビジネスモデルに関連させて、IT戦略ビジョン、IT戦略について、外部に情報を開示する。
4. (ITガバナンスの保証)内部監査や外部監査を用いて、ITガバナンスの仕組みが有効に機能していることを評価することにより、ITガバナンスの妥当性を保証する。
5. (ITシステムの利活用に関する責任の明確化)ITサービスの提供と利活用に関する実行責任と説明責任を明確にする。

1.2. ITガバナンス実践に必要な要件


 ITガバナンスの実践により、優れた成果を挙げるためには、ITガバナンス活動を支えるための、ステークホルダーへの対応、取締役会のリーダーシップ、データ利活用と意思決定、リスクの評価と対応、社会的責任と持続性の要件を整える必要がある。
1.2.1 ステークホルダーの対応
 ステークホルダーのニーズを考慮したITガバナンスを実践する為に、ステークホルダーと良好な関係を構築する。
1. ステークホルダーのニーズに対して、計画的で適切な対応が実践されている。
2. 組織体のビジネスモデル及びIT戦略は、ステークホルダー中心のアプローチによって、ステークホルダーのニーズと整合が取られている。
3. 組織体のIT戦略に対するステークホルダーの満足度を高めている。
(ガバナンス活動の例)
1. (ステークホルダーの特定及び対応)組織体のITシステムの利活用に関連するステークホルダーを特定して、ステークホルダーと協議し、適切に対応する。
2. (ステークホルダーのニーズの把握及び対応)ステークホルダーのニーズをビジネスの目標に結び付け、さらに望ましいIT投資に反映させる。
3. (ステークホルダーの満足度の評価)主要なステークホルダーの満足度を評価する仕組みの構築を指示する。

1.2.2 取締役会のリーダシップ 


 組織体の変革や倫理規定の遵守の為に、取締役会が率先して倫理的な行動を実践するとともに、効果的な指導を通じてリーダーシップを発揮する。
(達成目標)
1. リーダーシップの発揮によって、組織体変革のレベル、複雑さ及び変革のスピードに対応したITによる変革能力が備わった組織づくりが行われている。
2. リーダーシップの発揮によって、Itサービスの取得や変更に柔軟に対応し、ITシステムを利活用した組織体の変革が推進されている。
3. リーダーシップの発揮によって、組織体の目標を達成する為に、将来ニーズに対応した新たな技術やスキルを獲得する学習文化が醸成されている。
(ガバナンス活動の例)
1. (パフォーマンスの目標値の設定)組織体全体としてのパフォーマンスの目標値の設定についてリーダーシップを発揮する。
2. (倫理的規範の策定と遵守)取締役会がリーダーシップを発揮して、倫理規定を策定するとともに、取締役会が率先して倫理規定を遵守する。
3. (組織体の変革の推進)組織体の変革に必要なビジネス及びデジタル活用能力を向上するようにリーダーシップを発揮する。
4. (IT知識の継続的改善)社会や組織体からの要求にこたえられるように、取締役会が自らのIT知識を継続的に向上させ、リーダーシップの発揮につなげる。
5. (新たな技術への対応)戦略的な意思決定とそのパフォーマンスについて、ステークホルダーに対する説明責任を果たすために、継続的に新たな技術やスキルに対応するようにリーダーシップを発揮する。

1.2.3 データ利活用と意思決定


 データが、意思決定の為の価値ある経営資源であることを組織体に認識させるために、データ利活用に関する方針を策定し、周知する。
(達成目標)
1. データが製品、サービス、価値の創出など、組織体のあらゆる側面で利活用され、組織体の目標に対する価値の提供について、組織体全体に周知されている。また、データ利活用に際して考慮すべきリスク及び遵守すべき法規制が明らかにされている。
2. ITガバナンス方針で示されたデータ利活用の意義、役割及び管理方針が組織全体に周知されている。
3. データが、プライバシーや著作権の遵守、利活用目的への適合、必要な品質要件を満足し、盗難、破損、不正使用から保護されている。
4. 必要なデータの品質要件が理解され、データがその要件に適合する為の仕組みが整備されている。
(ガバナンス活動の例)
1. (データ利活用の周知及び関連法規制の明確化)データが価値ある経営資源であることを組織体内に周知し、データの利活用を推進すると共に、データ利活用に関わる法規制を明らかにする。
2. (データ利活用のリスクの対応)データ利活用に関するリスクは、組織体のリスク管理のフレームワークの範囲に収まるように指示する。
3. (意思決定のための適切なデータ利活用)意思決定において、データを適切に利活用するために、データの適切な分類、分類に従った配布、保護、処理するように指示する。
4. (倫理的なデータ利活用のための方針の策定)データを倫理的に利活用する為の方針を策定する。

1.2.4 リスクの評価と対応


 組織体の目的及びIT戦略の目標達成するために、達成に及ぼす影響についてリスクを評価し、対応を行う。
(達成目標)
1. ITシステムの利活用に関連する重要なリスクが認識され、速やかに対応されている。
2. ITシステムの利活用に関して、組織体が受容できるリスクのレベルが明確にされ、管理されている。
3. 組織体内外の障害に対応し、ITサービスのレジリエンスが確保するよう対応されている。
4. ITシステムの利活用に関する事業継続の方針が策定されている。
(ガバナンス活動の例)
1. (リスクの認識及び管理プロセスの確認)ITシステムの利活用に関する重要なリスクを常に認識し、リスク管理が実施されていることを確認する。
2. (リスク対応とステークホルダーの伝達)組織体が継続的にリスクを検知し、それに対応し、必要な対応策を関係するステークホルダーに伝える。
3. (ITリスク管理方針の開示及びITサービスのレジリエンスの確保)組織体の目的を果たし、戦略的目標を確実に達成するために、ITリスク管理に関する組織体の方針を示すとともに、提供しているITサービスのレジリエンスを確保する。
4. (事業継続方針の策定)ITシステムの利活用に関する事業継続の方針を策定する。

1.2.5 社会的責任と持続性


 組織体が存続し、長期に成果を挙げ続けるために、ITシステムの利活用に関する組織体の意思決定の透明性を確保し、より広範な社会的期待に応え、現在及び将来のステークホルダーのニーズを満足させるように組織体のデジタル活用能力を維持・向上させる。
(達成目標)
1. ITに関する意思決定を適切に行うために、本編に示した基準と整合する
方針が策定され、意思決定の結果に対して組織体内での責任者が明確にされている。
2. ITを用いた自動的な意思決定のリスクを評価し、それに基づいて対策が講じられている。
3. ステークホルダーのニーズに応える上で有効なITエコシステムが構築されている。
4. ITガバナンス方針とその実践により、ITに関するリスクが増大する環境であっても、事業活動とデータが確実に保護されている。
(ガバナンス活動の例)
1. (ステークスホルダ―のニーズに関するリスクの特定)ステークホルダーのITに関するニーズに影響を与えるリスクを特定し、リスクの内容とITシステムの利活用によるビジネスチャンスを明確にする。
2. (ITシステムへの適切な対応)組織体が長期に渡って持続的発展を行うために、組織体が利用しているITエコシステムのニーズを理解し、適時かつ効果的に対応する。
3. (自動的な意思決定の対応)ITを用いた自動的な意思決定については、その透明性を確保し、意図しない結果が生じた場合には、適切に対処する仕組みを構築して、社会的責任を果たすようにする。
4. (サービス品質の維持)ITシステムの利活用によって必要な品質要件を満たすサービスの提供を維持し、組織体の目的と目標の達成に貢献する。
5. (ITサービスのレジリエンス確保)ビジネス機能がITに依存していることを認識して、提供するITサービスのレジリエンスを確保する。
6. (倫理的行動)組織体のITシステムの利活用は、倫理規範を遵守して行うとともに、ステークホルダーや経済・自然環境に悪影響を与えることがないように配慮する。


この記事が気に入ったらサポートをしてみませんか?