IT部門が作成・維持しなければならない規範とは？：ITガバナンスの正体（8）（2/3 ページ）

[三原渉（フューチャーシステムコンサルティング），＠IT]

「カンペキ」な規範を目指すと大変

　IT部門の業務プロセス、IT部門を中心とした情報システムにかかわる全社の仕組み（業務的なもの、システム的なもの）と規範類の関係は、料理とレシピの関係に似ている。

　レシピが手元になくても、何となくその料理のことが分かっていれば（どこかで食べたりしていれば）、そしてそれなりの腕があれば、似たものは作ることができる。しかし、先達が「これなら大丈夫。おいしい」と残してくれたレシピがあれば、確実にその料理はできるはずだ（多分。よほど料理のセンスがない方は別かもしれないが……）。さらに、各家庭によって／店によって、同じ名称の料理も必然的に異なった特徴を持つものになる。

　従って、“完ぺきなレシピ”というものは世の中にはない。相対的に良いもの、はある。作る人のセンスや個性によって改善・改良していくものだ。規範類も一緒だ。「これで全部だ」「これで完ぺき」ということはないのだ。質も量も、常に継続的に見直していくものである、という前提に立って整備を進める。

　完ぺきなレシピがないのと同じで、100点満点の規範類もない。各社によって当然異なるものにならざるを得ないからである。ましてや、最初から100点を取ろうなんて考えたら、ハードルが高くなるだけで前に進まない。前出したように、最初は骨格だけを提示して共有する。その後、骨格の修正も含めてバージョンアップ（詳細度を高める）していけばよい。

　ただし、これら規範類の整備の作戦・整備状況を、マネジメント層や利活用者と合意・共有していくプロセスこそが大事だ。

　規範と自由度はトレードオフである。守らなくてはならないことをガチガチに規制してしまうと、自由度・効率・パフォーマンスは落ちる。最近問題視されている個人情報保護法とこれにまつわる笑い話（笑い話といっていられないこともある）に見られる過度の情報セキュリティと自由度のなさ。日本版SOX法やコンプライアンスにも、この自由度とのトレードオフ問題は付いて回るに違いない。

　これらは何かに似ている……。そうISOだ。ISO9000シリーズやCMMIを手掛けた・手掛けているITマネージャも少なくないと思う。ISOもうまく活用すれば、強力なツールなのだが、下手な運用だと、ただ管理しなくてはならないドキュメントが増えるだけだ。日本版SOX法対策にしても、「当たり前のことを当たり前に」やれるようになっていれば怖いことは何もないはずだ。しかし、この「当たり前のこと」の認識が各人によって異なるから始末が悪い。

　やはりここでも、関係者と成果物イメージを早期に共有することが大事になる。どのような記述レベルでいつまでに整理するのか。整理したものは誰と確認すれば、オーソライズ（承認）されるのか。承認後、全社への展開はどのようなやり方でいつごろ行うのか。

　マネジメント層と「急がば回れ」、あるいは「時には立ち止まって考える」という共通認識を醸成しておかなくては、ITマネージャが躍起になって各規範類を整備しようとしても、遅々として進まなくなる。ITマネージャは、マネジメント層との意識合せ・意思決定がタイミングよくできるようにしておきたい。

関連記事
▼連載：ITガバナンスの正体（2）将来の企業戦略に向けITマネージャがなすべきこと （＠IT情報マネジメント）

　規範類を作成できる素地がマネジメント層とできたからといって、最初から細かい議論をし始めても、不毛の台地に足を踏み入れるだけだ。まずは、どこにどのような山や川があるのかの大局を見渡してから、どこに道筋を作らなくてはならないかを関係者と話し合い、枠組みを作る。

　とかくIT部門の人間は過去の経緯もあって、また、個々人に必要とされる技術的スキルの深さが求められる故に、考える幅が自主的に、あるいは組織的に狭められているので、すぐに議論が細かいところに行きやすい。そこでITマネージャの役割は、議論をすぐに細かいところに行かせるのではなく、まずは大局を見て、大まかな枠組みを作る・整理することが必要になってくる。

　規範類を作成して、その規範が守られているかどうかをチェックする仕組み（人間系・システム系）が構築されていなければ、「仏作って魂入れず」だ。シンプルな規範こそ、守られる規範と思う。守られない規範は作るだけ損、ともいえる。