KGIとKPI――その意味、理解できていますか：今日から学ぶCOBIT（1/3 ページ）

COBITが唱える「ITガバナンスのための重点領域」を、詳細に解説する。

[谷誠之，ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

ITガバナンスの復習とCOBITの重点領域

　前回は、ITガバナンスとは何か？　ということを考え、筆者なりの意見として、次のように述べた。

1. 会社の経営陣、または取締役会は、社内のITがビジネスに貢献しているということをきちんと説明する必要がある。その観点は「価値の提供」「リスク管理」「ITコントロール」である。
2. ITは、ビジネスが必要とする情報を的確に提供する責務を負っている。その責務を果たすためには「リーダシップの確立」や「組織構造とプロセスの構築」が必要である。

　そしてこの雲をつかむような「ITガバナンス」を実践するためのフレームワークが、COBITなのである。

　COBITではこれらを実現するために5つの重点領域がある、としている（図1）。今回はここを少し詳しく見てみよう。

図1：ITガバナンスの重点領域

戦略との整合

　ITはビジネスを支えるためのものだ、ということが大前提であるからには、ITのありようはビジネスのありように直結する。何はともあれ、ビジネスありき、である。まず定義すべきなのは、企業戦略に沿って、ビジネスがどこに向かっているのか、何をもってビジネスが成功したと言えるのか、ということである。COBITではこれを「ビジネス達成目標」と呼んでいる。

　ビジネス達成目標が明確になったら、それを遂行するためにITがどのように貢献できるか、ということを考えながら「IT達成目標」を考える。こっちはITがどこに向かっているのか、何をもってITが成功したと言えるのか、ということを定義するものである。

　IT達成目標が決まったら、その目標を達成するためにどのような活動を行う必要があるのか「ITプロセス」を考える。COBITでは、このようにブレークダウンして考えていくと分かりやすい、と唱えている（図2）。

図2：達成目標とITに関するエンタープライズアーキテクチャとの関係

価値の提供

　「ITがビジネスに対してきちんと価値を提供しているか」というのは漠然とした表現である。とはいえ、具体的に価値とは何か、ということを見極めるのは非常に難しい。価値を定義するのではなく、ビジネスがITに何を期待するのか、ということを明確にすることの方が重要である。

　ITがビジネスの期待に応えるためには、ITがきちんとコントロールされていなければならない。そのコントロール基準のことを「情報要請基準」または「ビジネス要件」という。情報要請基準は、次の7つの個別基準が定義されている。

1. 有効性：該当するビジネスプロセスに対する適切な情報であること。情報がタイムリーで正確かつ矛盾がなく、使用可能な状態で提供されていること。
2. 効率性：情報の提供が資源の最適な（最も生産的かつ経済的な）利用により行われること。
3. 機密性：機密情報を不正な開示から保護すること。
4. インテグリティ：情報の正確性と網羅性、およびビジネスの価値と期待に基づく情報の妥当性。
5. 可用性：現在および将来においてビジネスプロセスで必要な情報が利用可能であること。そのために必要な資源および関連する能力の保全も考慮する。
6. コンプライアンス：従うべき法律、規制、および契約条項の順守。
7. 信頼性：マネジメント層が企業を運営し、受託者としての責任とガバナンス責任を果たせるように、適切な情報を提供すること。