IT経営ってなんだろう?

IT経営とは、ITを戦略的に使いこなし、競争力や生産性の向上を実現し、経営力アップすることをいいます。

ITの戦略的導入のための行動指針

I.経営戦略とIT戦略の融合

1. 経営層はITが企業経営にもたらす変革と価値についての明確なビジョンを持ち、ITの重要性を理解した上で、重要なIT戦略の意思決定プロセスに積極的に関与していく。経営とITを橋渡しするCIOもしくはCIO機能を担う者は、継続的に経営層とのコミュニケーションを図り、経営層のこのような取組みを支援する。
2. 経営層はビジネス環境の変化を見極め、顧客視点に立った自社のビジネスモデルの再検討を行うと共に、その実現に向けて、ITの新しい利用の可能性を検討する。

3. 経営とITを橋渡しするCIOもしくはCIO機能を担う者は新規テクノロジーやソリューションの現状および将来動向を適宜把握し、自社のビジネスに活かす方法やタイミングについて、定期的に経営層に説明し、意見交換を行う。

II.現状の可視化による業務改革の推進とITの活用による新ビジネスモデルの創出、ビジネス領域の拡大

1. 全社員が業務改善や業務改革を常に意識し、業務プロセスの可視化を進め、業務間・部門間・企業間・地域間に存在する無駄・重複・非効率・属人性の検出を継続的に実施する。経営層は、全社俯瞰的・横串的な視点から、組織やプロセスの最適化(標準化・集中化・省力化・自動化)を目指し、経営とITを橋渡しするCIOもしくはCIO機能を担う者はITの活用によってより効率的な最適化実現の可能性を検討し、支援する。
2. 経営者は、ITの活用によって、ビジネス上の課題や制約を克服し、新たなビジネスモデルの創出や、ビジネス領域の拡大(地理的な拡大・業際的な拡大)につながる可能性を検討する。

III.標準化された安定的な*IT基盤の構築*ハードウェア・ネットワーク設備・基本ソフトウェアなど、アプリケーションに左右されにくい汎用性の高い部分

1. IT導入・活用における設計思想・構築ポリシーを定義し、企業(企業グループ)全体での遵守を通じて、ビジネスの環境変化に柔軟に対応できるような標準化された安定的なIT基盤を構築する。
2. IT基盤の標準化とその維持のために、企業横断的な統制管理組織を編成するなど、部門間の利害を調整し、全社的な視点からIT投資の実行を推進する。
3. 業務とITの整合性を全社的に維持し、「全体最適化」を図る観点から業務アプリケーションのポートフォリオ分析やデータの標準化、業務プロセスの標準化を推進する。

IV.ITマネジメント体制の確立

1. 全社横断的なIT戦略の立案・決定・管理を行う委員会やプロジェクトチームを、経営とITを橋渡しするCIOもしくはCIO機能を担う者の指揮のもとに組織し、利用部門、経営企画部門の参加を得て、経営層が意思決定を行う。
2. 自社のITガバナンスを確立し、CIO、自社IT部門、子会社IT部門、IT子会社、外部ベンダー、コンサルタントなどのそれぞれの役割を明確にした上で、役割に応じた組織体制を構築する。
3. 社外のアウトソーサーやベンダーを適切にマネジメントし、かつWin-Winの関係を構築するために、選定方針や評価基準を定め、取引の透明性を高める。

V.IT投資評価の仕組みと実践

1. IT投資に対する考え方や判断基準を定め、経営課題の優先度・緊急度を加味した上で投資の意思決定を行い、社内外に投資の必要性や決定理由を説明できる。
2. IT投資の効果は、直接効果だけではなく、間接的な波及効果も重視する。また、効果の測定にあたっては、定量評価と定性評価を組みあわせながら実施する。
3. IT投資の評価は案件の事前・事後で実施し、その投資効果を分析するなど、PDCAサイクルを機能させて目標達成の経験を継承・発展させる。

VI.IT活用に関する人材の育成

1. 研修や啓蒙活動を通じて、社員のITに関する理解とスキル向上を図る。
2. ITスキル標準などのガイドラインを活用し、IT部門の人材の客観評価を実施する。
3. 経営とITを橋渡しするCIOもしくはCIO機能を担う人材に求められる要素と水準が明確になっている。

VII.ITに起因するリスクへの対応

1. ITに関連・起因するリスク(情報漏洩・ウイルス・不正アクセス等)の脅威を十分認識した上で、潜在的あるいは顕在化したリスクを把握し、その発生の可能性、発生した場合の影響などを予測し、必要な対応策を予め講じておく。
2. システムトラブルによって事業の継続性に問題が生じないよう、システムの重要性に応じて、システムの二重化や、データバックアップの実施等を行うとともに、システムの切り替えや再開などについて予め手順や作業分担を定めておく。
3.システムの改ざんや不正アクセスを防止・発見する仕組み*を構築し、運用するとともに、定期的な見直しを行う。*プログラムの登録管理やアクセス権限の設定、ネットワークの運用管理手順、ログの保存およびその分析による異常行動分析など