IT部門が作成・維持しなければならない規範とは？：ITガバナンスの正体（8）（1/3 ページ）

筆者より：本稿は、ITガバナンスを各企業で確立していくために、ITマネージャが「考える・分かる・応える・使える・変わる・変える」ことを目指した連載です。前回「IT投資を成功させるためには、悪者になることも必要」では、「ITガバナンス」の5つの領域の4番目「IT運営力」のうち、戦略投資の考え方／策定方法とモニタリング方法を説明しました。今回は、「ITガバナンス」の5つの領域の5番目「規範維持管理力」を解説します。

[三原渉（フューチャーシステムコンサルティング），＠IT]

■ショートストーリー　山の手精工株式会社物語

＜前回までのあらすじ＞神田取締役と池袋マネージャが恵比寿取締役をはじめとする営業部門の主要幹部に掛け合い、営業支援の仕組みの再検討チームを発足させた。想定どおり、若手ナンバーワンの声の高い日暮里くんに再検討チームリーダーの白羽の矢が立った……。

日暮里くん（営業）： 早速部課長のお偉方に集まっていただいて、現在の仕組みに対する不安・不満・要望を聞き出しましたよ。営業だけでなく、他部門、例えば人事とか開発とかの部課長から個別に聞き出したものもあります。若手だけで集まって、どうしたものかと相談もしてみました。簡単にまとめたものはメールで送ってますから、見ていただけましたよね？

池袋マネージャ： うん、ありがとう。現場の巻き込みも含めて、このスピード感はすごいね。いままでのプロジェクトの比じゃないな。われわれもうかうかしていられないぞ。いまの仕組みをどうするか、まるっきり作り替えるのか、良いところがあるならそれを残して組み込んでいくのかの大方針を決めて、来期のIT戦略投資の中に組み込みたいんだ。大崎さん、日暮里くんと一緒に進めてくれ。どれくらいでできそうかな。

大崎さん（企画･業務部門サポート担当）：ひとまず、プロジェクト全体では来期だけでなく、複数年にまたがることを想定しています。なるべく短く、ですけれど。その全体をIT戦略投資額として見積もるとすると……、（日暮里くんと目を合わせて）2週間ですね。戦略投資は単年で考えちゃ駄目だって教えてくれたのは池袋さんですよ。

池袋マネージャ： もちろんプロジェクト全体を最初に考えること。整備中の企画プロセスにちゃんとのっとって進めてくれ。いま、企画から開発、運用に至るまで、それからIT部門自体の運営も含めて、いろんな規定や規範を整備し直しているのはみんな理解してくれていると思う。机上の空論にならないように、実行しながら少しずつでも改善していこう。何とか頼む。

巣鴨リーダー（課長職）：作り替えるとなると、現行のSFAに対する改修要望も交通整理しなくてはなりませんね。そのプロセスや規定類もまたやり直しかぁ……。

池袋マネージャ： そうだな。やることがきちんと見えていることは良いことだ。しかし、営業の仕組みの企画は2週間もかけていられないな。今週中だ。日暮里くん、よろしく頼む（自分1人が悪者になって全体がうまく進むなら、それでよしとするか……）。

---

巣鴨リーダーの苦虫をかみつぶしたような表情と、目が輝いている日暮里くんと大崎さんの表情の好対照さを目に焼き付けながら、池袋マネージャは会議を進めた。

---

---

IT部門が維持する規範類とは

　IT部門が企画・作成し、維持していかなくてはならない規範類はどのようなものがあるだろうか。ありとあらゆるものを「作成しろ」や「作成しなくては」と日々、戦々恐々としているITマネージャも少なくないだろう。これらを全部、まともに作っていたら大変だ。少し強弱を付けて（優先順位を付けて）、整理することから始めよう。

　本来、ITガバナンスは「取締役会および経営陣の責任」において、敢行されなくてはならないもののはずだ。だから、本当はCIOの役どころは、役員でなくてはできないのだ。ところが、何でもできる・やってもらえるCIOはなかなかいない。ITマネージャは「規範」を手に、社内へITガバナンス力を浸透していかなくてはならないのだ。

　この意味では、このところ頻繁に聞こえてくる日本版SOX法や、関連するコンプライアンスに関しても同様のことがいえる。日本版SOX法や関連するコンプライアンスも本来的には社長をはじめとする役員の手で実行されなくてはならない、とされている。しかし、実際には「規範」類で枠組みを決め、「規範」類で規制していかなくては、法令順守もままならない状況に陥る。

規範整備優先順位フレームワーク例

　図にある整理の枠組みはあくまでも例ではあるが、緊急度と重要度で線を引いてみた。緊急度も重要度も高・中・低を、2：6：2の割合で引いてみる。図では中・低をまとめてみた。緊急度の高い2割を優先度1に。緊急度が中・低だが、重要度が高い2割を優先度2に。残りは、優先度3として、優先度1・2の対応が終わってから手掛けるものと考える。この優先度もタイミングによって変わっていくものであるから、常に（例えば四半期ごとに）見直すプロセスをマネジメント層と持っておきたい。

　緊急度も重要度も、各企業で、しかも時期によって変わるものであるから、この線引きは普遍的なものではない。そもそも普遍的なものはないのであるから、「普遍的っぽい」枠組みをもって、関係者と合意形成していくことこそが大事なのだ（ITの世界では、いや社会では、この「普遍的っぽい」がとても大事だし、重宝する）。

　そして、何をいつまでにどのように整理し、発効していくのかをマネジメント層と共有する。ものによっては、ステージ（ステップ）を設け、当初は骨格だけ、その後バージョン（詳細度）を上げていく、という方法でもよい。

　どれだけの規範が必要かは、各社ごとに異なる。こんなところで「標準的なものはこんなものがあります」とはいえないのだ。COBIT、ITIL、CMMI、経済産業省の情報・通信系資格、……と参考になるものはたくさんある。この中から自社の弱いところ・必要なところをピックアップすればよろしい。

（ちなみに、資格制度華やかなりし時代ではあるが、本当に必要な資格はどれほどのものか怪しい。自動車免許と一緒で、資格があったとしてもそれに通暁しているということとは別の話だからだ。「ひとまず知っているか知らないか」というリトマス試験紙的役割のみ「資格」の有無は与えるものなのだと理解しておきたい）