• Bookmark

COBIT 5 と「GEIT」の付加価値

Arturo Umana, COBIT Foundation, ITIL Foundation

COBIT 5 の最大の改善点の中の一つは、 Val ITRisk IT をフレームワークに統合した点にあるというのはよく知られた事実です。統合は、COBIT とその様々なバージョンが発展していく流れの中で行われたものであり、現代の事業体における適切な「GEIT」へのニーズをより良く反映しています。これら3つのフレームワークの従来のバージョン(またはその一部)を組み合わせて使用されている方にとって、単一かつ統合されたフレームワークに移行することは未来に向けて良い選択と言えるでしょう。


最初の驚き

今の組織だけでなく以前の組織でも COBIT 4.1、Val IT 2.0 と Risk IT を使用し大変良い体験を積んできた私は、その後新しいバージョンの是非を評価するためだけでなく、現在のベストプラクティスと調和させるためにはどうしたらいいかについての洞察を提供するため COBIT 5 の概念を立証することにしました。今回のケースでは、具体的には ITIL V3TOGAF 9. がその対象となります。そのため、クリティカルではない分野を選択する必要がありました。それは、傘下に50を超える企業を持ち25か国以上で活動している国際的な保険会社にとって簡単なことではありません。当社が行った決定は、本部の本番システムに直結していないサポートプロセスに対してデリバリーとサービスを提供する場面でフレームワークの原則と手段を適用するということでした


正直なところ、最初の反応はただ驚くというよりはむしろショッキングなものでした。その主たる理由は、イネーブラーと改良されたプロセス参照モデルに焦点が置かれていることを反映するための大規模な再設計が行われることが予想されたからではありません。むしろ、成熟度に関して過去に数多くの作業領域で便利であることが証明された能力成熟度モデル(CMM)をベースにしたアプローチから離れたためです。その結果、フレームワーク中にこのコモディティ(CMMモデル)が無いことに慣れるのに努力を要しました。


2つ目の驚き

発展する絶好の機会を逃したくないなら、時には習慣を捨てることが非常に大切です。先にあげた最初の躊躇を乗り越えることができれば、新しいフレームワークの可能性が開けてきて最新のアプローチを追加領域に適用する決定を行うことが難しくなくなります。


COBIT 5 、Val IT 、 Risk IT の統合は、予想通り、ITの貢献についてのフレームワークのフォーカスを「安定的に成功するビジネス」へとシフトさせました。その貢献は前のバージョンにおいても非常に重要な部分ではありましたが、前のアプローチはIT中心のきらいがありました。現在、キモになる要因は、3つのフレームワークが1つに結合された点だけにとどまらず連結したユニットにシームレスに統合されたことで価値、リスク、運営をすべてのレベルで考慮できるようになった点にあります。このことを理解することも重要な気づきではありますが、それを実践に移すことで正に目を開かされることになるでしょう。
 

COBIT 5 、Val IT 、Risk IT の統合は、ITの貢献についてのフレームワークのフォーカスを、「安定的に成功するビジネスへ」とへとシフトさせた。


驚くべき点は、プロセス参照モデルと同程度中心的な役割を担っていたものを変更したにもかかわらず前のアプローチから現在のアプローチへ移行することが不連続にならなかった点にあります(成熟度評価がルールを確認する上で例外となります)。この事例では、緩やかな移行はITガバナンスの活動の主な留意点をITの規制や管理から積極的にビジネスのイネーブラーへと微妙に方向転換するという興味深い効果を生み出しました。


セレンディピティ

成熟した組織であっても、ITガバナンスはどんな姿なのかのイメージははっきりしていません。世の中には未だにITガバナンスを誤解したり、過度に簡素化してしまったりしていることが多々あり混乱をさらに深めてしまっています。これは、ITガバナンスがもたらす価値の点についても言えることです。


スタート地点からしっかりと基礎固めを行うため、COBIT中にある定義を見てみましょう。

ITガバナンスは、経営陣および取締役会が担うべき責務であり、ITが組織の戦略と組織の目標を支え、強化することを保証する、リーダシップの確立や、組織構造とプロセスの構築である。


また、ITガバナンスとは、準拠すべき優れた実践方法(手法)を収集・整理し、これを仕組みとして定着させることによって、企業におけるITが確実にビジネス目標をサポートできるようにするものである。ITガバナンスを通じて、事業体は情報を最大限に活用することができ、便益の最大化、ビジネス機会に対する投資、競争優位性の確保を実現できる。これらの成果を得るには、トレッドウェイ委員会組織委員会(COSO)の内部統制 - 統合的フレームワーク(企業体のガバナンスやリスク管理を行うために広く認められたコントロール・フレームワーク、および同様のコンプライアント・フレームワーク)に合致し、支援するような、ITを制御するためのフレームワークが必要となる。


組織は、すべての資産につき、情報に関する品質、信頼性および安全性の要件を満たす必要がある。経営陣は、利用可能なITリソース(アプリケーション、情報、インフラストラクチャや人材等)を最大限活用できるようにする必要もある。経営陣は、これらの責務を果たすため、また目標を達成するために、ITに関する事業体のアーキテクチャの状態を把握し、どのようなガバナンスと統制を提供する必要があるかを決定しなければならない。1

これは非常に適切な定義で、ITガバナンスはビジネスとIT管理の両方に関係することを明確にしています。この意見に同意することは難しくはないでしょうが、両サイドに暗に共通の目標と目的があることまでは意識されていないかもしれません。この意識を持つことは、組織に悪影響を及ぼすズレや衝突を避ける上で非常に重要です。


この時点で、強固な協力体制とコミュニケーション(意思疎通)基盤を築くニーズが不可欠になります。これは、行動と認識の両面で、ITがビジネスのイネーブラーとなり、かつ、信頼できるパートナーになるための重要な要因です。またこの事は、前述の留意点の方向転換の話にもつながります。


ITに関するガバナンスの活動の焦点を「価値の提案とデリバリー」の方向へとシフトさせることは、認識の点で変化が起きるだけでなくビジネスとITの両方の専門家とのやり取りの仕方や交わり方をも変え、そして最終的にはそれらが相互に協力する方法を変えることでしょう。もちろん、ITガバナンスの規制や管理の側面を無視してはなりません。共通の目標に貢献することの重要性を強調することで、それらの側面は阻害要因ではなく協力する体制を築く基礎になるのです。その過程で、ガバナンス自体の付加価値は可視化されITガバナンスは「GEIT」へと進化します。


当組織内のこの変遷は未だ進化の途上ですが、変化するためにどのようにスタートしたかまた、プロジェクトやイニシアティブはどんなアプローチをしてきたかは既に観察できるようになってきています。


結論

振り返ってみると、COBIT 4.1、Val IT 2.0 と Risk IT をつなげて使用することから統合的な COBIT 5 へとシフトしたことにより当組織のITガバナンスの役割に重大な変化が起きました。それらの変化の中で最も劇的なのが、規制的な側面に対して統合的側面が加えられたことです。この変化によるホジティブな反響は、当組織の既存の文化的な発展に完璧に整合したことと、付加価値を可視化したことに表れています。


Arturo Umana氏, COBIT Foundation, ITIL Foundation

は、Vienna Insurance GroupのITガバナンス・オフィサー/グループ・エンタープライズ・アーキテクトです。同氏は、データベース・アーキテクト、ITプロジェクト・マネージャ、エンタープライズ・アーキテクトおよびITガバナンス・オフィサーとしてのキャリアを積む中で、方法論、エンタープライズ・アーキテクチャ管理、IT管理およびIT戦略開発の分野を中心に取り組んできました。


 

1 ISACA, COBIT 4.1, USA, 2009