マネジメント層は、企業のITコントロールフレームワークを策定し、ポリシーを定義、周知する必要がある。継続的な周知プログラムを導入し、マネジメント層が承認および推進する使命、サービス目標、ポリシー、手続などを明確に表明する必要がある。情報を周知することで、IT目標の達成が促進され、さらにビジネスリスクおよびITリスクのほか、目標や指針についての認識と理解を得ることができる。このプロセスにおいては、関連法規を確実に遵守する必要がある。
(要約) ITの導入に関しては、マネジメント層の積極的な参加が不可欠である。その第一歩は、マネジメント層がIT組織に対して、ビジネスがITに何を求めているかということを明確にするとともに、ITにできることは何か、ITが抱えているリスクは何かということをマネジメント層が正しく認識/理解することである。
ビジネス部門に対するITサービスの創造と提供のために、有能な人材を獲得、維持し、意欲を引き出す。これは、採用、研修、業績評価、昇進、および解雇を支援するために、文書化され合意された行動基準を遵守することで達成される。要員は重要な資産であり、ガバナンスおよび内部統制環境は要員の意欲と能力に大きく依拠するため、このプロセスは非常に重要である。
(要約) IT人材はITにとって非常に重要な資産である。優秀なIT人材の獲得、維持、管理は、ITガバナンスにとってなくてはならないプロセスであり、きちんと文書化されている必要がある。
実績のある開発プロセス、調達プロセス、および標準が組み込まれた品質管理システムを作成し、維持する必要がある。これは、明確な品質要件、手続、およびポリシーを提示し、品質管理システムを計画、導入、維持することで実現できる。品質要件は、数値化された達成可能な指標として表し、周知する。モニタリング、分析、逸脱への対応、および利害関係者への結果報告を常時行うことにより、継続的な改善を実現する。品質管理は、ITによるビジネスへの価値提供と継続的な改善および利害関係者に対する透明性を確実に確保する上で不可欠である。
(要約) 品質管理は、対象となる資産の開発や調達の段階から始まっている。正しく品質管理を行うためには、品質を具体的に測れるよう数値化し、達成可能な指標として表した上で周知されなければならない。
リスク管理フレームワークを構築し、維持する。フレームワークでは、合意された一般的なITリスクレベル、リスク軽減戦略、および合意された残存リスクについて文書化する。すべての計画外のイベントが組織の達成目標に与える潜在的な影響を特定、分析、評価する必要がある。残存リスクを許容レベルまで軽減するために、リスク軽減戦略を導入する必要がある。利害関係者が理解可能なように評価結果をとりまとめると同時に、財務的な観点でもとりまとめる。これにより、利害関係者からみても、リスクが許容範囲におさまるようにする。
(要約) リスクのないITは存在しない。品質管理とは別のプロセスで、適切なリスク管理を行う必要がある。そのためには存在するITリスクとその影響を正しく分析し、リスクが許容範囲におさまるような対応をとらなければならない。
すべてのITプロジェクトの管理を目的とするプログラムおよびプロジェクト管理フレームワークを確立する。このフレームワークでは、すべてのプロジェクトを適正に優先順位付けし、プロジェクト間の調整を行う。プロジェクトのリスク管理およびビジネスへの価値の提供を実現するため、フレームワークには、基本計画、資源の割り当て、成果物の定義、ユーザによる承認、サービスの提供に対する段階的なアプローチ、品質保証、正式なテスト計画、および導入後のテストと導入後レビューの実施を含める必要がある。このアプローチにより、予想外の費用やプロジェクトの中止によって生じるリスクが軽減され、ビジネス部門およびエンドユーザへの情報伝達および両者の関与が促進される。さらに、プロジェクト成果物の価値と品質が保証され、IT関連の投資プログラムに対するそれらの貢献度を最大化できる。
(要約) プロジェクトを成功させるためには、プロジェクトを適切に管理するためのフレームワークが必要不可欠である。なすべきことはたくさんあるが、重要なのは日々の管理と、その管理のための確立された手法、そしてそのための組織である。
Copyright © ITmedia, Inc. All Rights Reserved.