IT統制を経営に生かすために - 価値向上のためのフレームワーク「Val IT」

ITガバナンス協会(IT Governance Institute、以下「ITGI」)は2006年、IT投資のための企業価値ガバナンスである「Val IT」を公表した。Val ITとは、拡大するIT投資を価値向上につなげるための管理のためのフレームワークである。

COBITがITガバナンス構築のためのガイドラインであり、幅広くコントロールをとらえているのに対して、Val ITは、IT投資を価値向上につなげるためのガイドラインとして特化されたものである。今回は、Val ITの中身を見ることで、前回に引き続き「経営に生かすIT統制」とは何か考えてみたい。

Val ITはCOBITの進化形

ITGIは、「IT投資の企業価値ガバナンス Val ITフレームワーク」で、Val ITについて以下のように説明している。

「Val ITは、ITガバナンスの包括的なコントロールフレームワークを提示するCOBITを拡張し、補完するものである。特にVal ITは、投資の決定(投資の決定が正しいかどうか? )と利益の実現(利益を得ているかどうか? )に重点をおいている」

この説明から、Val ITは、IT投資による価値向上にポイントをおいた「COBITの進化形」であることが分かる。

Val ITの3つのプロセス

Val ITでは、IT投資による効果を得るために、以下の3つのプロセスを示している。プロセスごとに、重点管理プラクティス(コントロール項目)と、COBITとの関係などを示したガイドラインを提供している。

1. 価値ガバナンス:情報化投資の価値を最大化するための管理の仕組みを示したものである。例えば、ガバナンス、モニタリング、コントロールのフレームワークの確立、投資の戦略方針の提供、投資ポートフォリオの特徴の定義をカバーしている。

2. ポートフォリオ管理:情報化投資をポートフォリオで捉える管理の仕組みを示したものである。例えば、情報化投資と組織戦略の整合性をたもつための、資源情報の確立及びコントロール、投資の閾値定義、新規投資の評価、優先順位決定などのコントロールをカバーしている。

3. 投資管理:無理のないコストかつ受け入れ可能なリスクの範囲内で、情報化投資の価値を最大にするための管理の仕組みを示したものである。例えば、ビジネスの必要条件の決定、投資プログラムの明確な理解、説明責任と所有の明確化などをカバーしている。

Val ITで興味深い点は、ポートフォリオの概念を採り入れていることである。IT投資案件を個別に評価・決定するのではなく、複数のIT投資案件のバランスを考えて総合的に評価するもので、非常に役立つ考え方である。

Val ITをどのように使うか

Val ITを上手に使うためには、Val ITがIT投資管理に特化したものであることを理解しておかなければならない。Val ITは、情報セキュリティの向上や情報システムに組み込むべきコントロールのためのガイドとして使うべきではなく、付加価値の高いIT投資を行うための仕組みづくりに用いるべきである。

例えば、Val ITで示している「CIOのリーダーシップ」「情報化投資のプロセス」「役割と責任の明確化」「説明責任の確保」などによって、有効なIT投資を行いやすくなる。

また、「人的資源の把握」「リソース配分」「投資の閾値の設定」などを行えば、ポートフォリオ管理が可能になる。「投資機会の定義」「代替分析」「プログラム計画」「利益実現計画の策定」などによって、投資管理を適切に行うことができる。

これらのコントロール項目のうち、「投資の閾値」というコントロールは、特に有益な管理手法である。ITを含めた投資案件の管理では、どこまでの投資ならば許容できるのかを決めることが重要である。また、全体のバランスを考えて情報化投資を決定するという考え方も大切である。

IT統制の価値向上に向けて

企業では、J-SOX対応の影響もあって、財務報告の信頼性にかかわるIT統制が強化されている。しかし、それだけでは、ITをビジネスチャンスの拡大、顧客の獲得、企業の収益向上といった、企業価値の向上につなげることはできない。IT統制を経営に生かすためには、ITとビジネスの関係を常に意識する必要がある。

経営目標を達成するためには、どのようにITを活用するのかを考えることが大切である。例えば、顧客満足度を高めるために、RFIDを利用した方がよいのか、WEBサイトを強化した方がよいのか、コールセンターのシステムを再構築したらよいか、などである。

「RFIDが注目を浴びているのでRFIDの導入を先に決め、その後で顧客獲得やコスト低減などの目標を考える」というようなIT統制では、価値を生まないことは明らかだ。

COBITやシステム管理基準は、前回までみてきたように、ITガバナンスに必要なコントロールを網羅的に示している。これに対しVal ITは、ITによる価値向上に焦点を当てている。このことを考えれば、Val ITとは、ITを経営に資するよう活用するための投資判断や、資源配分を考える時に参考となるガイドラインであることが分かる。

最後に、Val ITを上手に使うためには、Val ITの弱点を理解しておかなければならない。J-SOX対応のための統制が財務報告の信頼性に特化されたものであるのと同様、Val ITは価値向上に特化されたものである。それ以外のIT統制については、COBIT(システム管理基準でもよい)などを参照して整備する必要があることを忘れてはならないだろう。