社会経営研究講座検討会 検討会07「社会経営における情報技術」 レジュメ 2006年11月4日 全国デジタル・オープンネットワーク事業協同組合 手塚潤治 ITを考える際の共通事項 経営者/マネジメントが混乱するような導入は回 避すべし 事業目的やトップポリシーがブレークダウンされ ていなくてはならない ITの位置づけと役割 事業活動において,ITを利用することによって,有効性, 効率性,機密性,完全性(責任追跡性と真正性を含む), 可用性,信頼性,適合性が増す場合 事業活動において,ITを利用しなければ遂行できない場 合 →ITへの依存度が高いもの 上記のIT化を全般的に支援する場合 →ITインフラ ※「セキュリティ」とは,事業活動に対してITが持つ役割のうち,「機密 性」「完全性」「可用性」を総称したもの はじめに :IT評価と業務内容 ITの要素 効果性 効率性 機密性 完全性 業務内容 経営 完全性 内部統制 真正性 可用性 信頼性 責任性 内部統制 内部統制 各部門 各部門 管理運用 (内部統制) 適合性 (内部統制) 各部門 各部門 (内部統制) 個人情報保護(Pマーク対象) 情報管理 (内部統制) (内部統制) システム開発 (内部統制) 情報セキュリティ管理(ISMS対象) 各部門 (内部統制) (内部統制) 各部門 研究開発 (内部統制) (内部統制) (内部統制) 実務/販売 (内部統制) (内部統制) (内部統制) (内部統制) (内部統制) (内部統制) サービスサポート 生産/製造 いわゆる「情報セキュリティ」と呼ばれている部分 ITと事業活動 COBIT(IT統制の世界標準)で定義されている事業目的について, (中長期事業戦略)(事業体のステージ)(業種)(規模/戦力) をフィルタとして, 「自社の用語に読み替えたポリシーを作り上げる」 「ポリシーに優先順位 をつける」 事業体の全社ポリシーに対して,対応するIT手順を抽出する(COBIT) IT手順に含まれるITプロセスについて,事業体の用語に読み替える 事業体で行う業務プロセスに対して,読み替えたITプロセスを当てはめ る →ITの過不足が判明する ・IT投資の計画と戦術マップを作成する 4.業務内容とITプロセスのリンケージ 事業上の達成目標 情報技術利用の目的 有 効 性 効 率 性 機 密 性 完 全 性 可 用 性 ○ ○ ○ 順 守 性 信 頼 性 1.財務的な展望 1 市場占有率の拡大 25 ○ ○ 2 利益の増加 25 ○ ○ 3 再投資 24 4 資産利用の最適化 14 5 ビジネスリスクの管理 ○ ○ 2 14 17 18 19 20 21 ○ 22 2.顧客に対する展望 6 顧客志向とサービスの改善 3 23 ○ 7 対立する製品とサービスの提供 5 24 ○ 8 サービスの可用性 10 16 22 9 ビジネス上の変化への反応速度 1 5 25 サービス提供コストの最適化 7 8 10 24 11 10 23 ○ ○ ○ ○ ○ ○ 3.社内的な展望 11 企業のバリューチェーンの自動化と統合化 6 7 8 12 ビジネスプロセス機能の改善と維持 6 7 11 13 プロセスコストの切り下げ 7 8 13 15 24 14 法規制や規程への遵守 2 19 20 21 22 15 透明度 2 18 16 内部規定への遵守 2 13 17 生産,運用コストの改善と維持 7 8 11 ○ ○ ○ ○ ○ 26 27 ○ ○ ○ ○ 13 ○ ○ ○ ○ ○ 4.教育,訓練の展望 18 製品とビジネスの改革 5 25 28 19 信頼性が高く有益な,戦略的意思決定のための 情報収集 2 4 12 20 個人のスキルと動機付けの獲得と維持 9 20 26 ○ ○ ○ ○ ○ 情報技術利用の目的 ITプロセス 1 事業戦略を支える要求事項に対応すること PO1 PO2 PO4 PO10 AI1 2 経営方針に沿った統制要求に対応すること PO1 PO4 PO10 ME1 ME3 3 サービスの提供とレベルに関する顧客満足を確保すること PO8 AI4 DS1 DS2 DS7 4 情報の利用を最適化すること PO2 DS11 5 ITの機敏さを作ること PO2 PO4 PO7 AI3 6 事業の機能的な及び統制上の必要性が,効果的かつ効率的に自動化された解決 策でどのように表現されるかを定義すること AI1 AI2 7 統合化され,標準化された業務システムの調達と保守 PO3 AI2 8 統合化され,標準化されたITインフラの調達と保守 AI3 9 IT戦略に対応するITスキルの調達と保守 PO7 10 外注,取引先との相互の満足感を確保すること DS2 11 業務システムと技術的解決策を継ぎ目無く統合化すること PO2 AI4 AI7 12 ITのコスト,利便性,戦略,方針とサービスレベルの透明度と理解を確実にすること。 PO5 PO6 DS1 DS2 DS6 13 業務システムと技術的解決策の適正な使用と性能を確実にすること。 PO6 AI4 AI7 DS7 14 すべての情報資産の資産登録と保護 PO9 DS5 DS9 15 ITのインフラ,資源,能力を最適化すること PO3 AI3 16 解決策及びサービス提供の障害と手戻りを削減すること。 PO8 17 ITの対象物の達成を保護すること PO9 18 ITの対象物と資源に対するリスクが事業に及ぼすインパクトの段階を確立すること PO9 19 重要かつ機密性の高い情報が無権限者のアクセスから隔離されることを確実にす ること PO6 DS5 DS11 20 自動化された商取引と情報交換が信頼できることを確実にすること PO6 AI7 DS5 21 ITサービスとインフラがエラー,計画的な攻撃または災難に対してきちんと抵抗する ことができ,かつ回復することができることを確実にすること PO6 AI7 DS4 DS5 22 ITサービスが混乱したり変化したりした場合,ビジネスに対する影響を最小にするこ とを確実にすること。 PO6 AI6 DS4 23 ITサービスが必要に応じて利用できることを確実にすること。 DS3 DS4 DS8 24 ITの費用対効果と事業の収益性に対する貢献を改善すること。 PO5 AI5 DS6 25 AI6 DS8 AI7 DS10 DS1 DS13 DS3 ME1 有 効 性 効 率 性 P P P P P 機 密 性 完 全 性 可 用 性 S S P S S 順 守 性 S P P P S AI6 P P S AI5 P P S AI5 S P AI5 P P P P P P P P DS8 P S DS12 ME2 S S DS3 DS7 DS9 S P AI4 AI6 DS7 DS8 P P DS10 ME2 P P S S ME1 ME3 DS12 S P DS13 ME2 S S S S S S S S S S S S S S S S P P P S S P P S S S P S S S S P DS12 P S S P DS13 P P S P P S プロジェクトが,品質標準に合致した予定通りのスケジュールと費用で行われること PO8 PO10 P P S 26 情報と処理インフラの完全性を維持すること。 AI6 DS5 P P P 27 ITが法令や規制などに適合していることを確実にすること。 DS11 ME2 ME3 ME4 28 ITが経済的なサービス品質,継続的な改善及び将来の変化のための準備を示すこ とを確実にすること。 PO5 DS6 ME1 ME3 S P S P P P S P P DS12 信 頼 性 S S P S P S P ITの要素 IT評価のための材料 ITプロセス ②-a ②-b ②-c ②-d ②-e S S P P P S 有効性 効率性 機密性 完全性 可用性 順守性 信頼性 PO:計画と体制 PO1 戦略的なIT計画の定義 PO2 情報アーキテクチャの定義 P PO3 技術的な方向性の決定 PO4 ITの組織と部門の連携状態の定義 PO5 IT投資の管理 PO6 運用目標と指針の伝達 P PO7 IT人的資源の管理 P PO8 品質管理 P PO9 リスクの査定と管理 PO10 プロジェクト管理 S P S S S P P S P P S S P P P P P P P P S P S P S P S S S P P P P S S P P S P P S P S S AI:調達と実装 AI1 自動化されたソリューションの検証 P P S AI2 アプリケーションソフトの調達・保守 P P P S AI3 技術基盤の調達・保守 P S P S S AI4 可能な運用と利用 P P P S S AI5 IT資源の調達 P S P AI6 変更管理 AI7 ソリューションと変更の導入・認定 S S P S S S S S P P S S P S S P S S S P S S DS:サービス提供とサポート DS1 サービスレベルの定義と管理 S DS2 サードパーティサービス管理 P DS3 性能やキャパシティの管理 DS4 継続的サービスの保証 P S DS5 システムセキュリティの保証 P S DS6 識別とコスト配賦 P DS7 ユーザーの教育・訓練 P DS8 サービスデスクとインシデント管理 S DS9 構成管理 P DS10 問題管理 P DS11 データ管理 DS12 物理環境管理 DS13 運用管理 S S S P P S S S S S P S P P S S S S S P S P P P S S S S P P P S P S P S S S P S P P S P P P S S P P S P P P P P S S P S S P P P P P P S S S P P P S S S ME:監視と評価 ME1 ITパフォーマンスのモニタと評価 ME2 内部統制のモニタと評価 ME3 コンプライアンス遵守の保証 ME4 ITガバナンスの提供 S P P S S S S P P P S S S S S S S P S S S 内部統制との共通事項 内部統制の評価では 統制環境 → 全社ポリシーは適切かどうかを評価する。 リスク分析 → 全社ポリシーをさらにブレークダウンし,具体的な方策まで落とし 込んだ際の,遂行を阻害する要因等について分析し,実際に阻害を受けないよう な対策が講じられているかを評価する。 統制活動 → リスク分析の結果得られた対策が確実に行われるようにルール や手順が作られているかを評価すること 情報と伝達 → コミュニケーションが正確かつ適切なスピードで実現できるかど うかを評価する モニタリング → 上のような仕組みが有効に働いているかどうかをきちんと監視 できるかを評価する ITへの対応 → 上のような内容と関与するITが適切かを評価する これらを通して実現しなくてはならないものは 事業活動が有効かつ効率的に行われること 正確かつ適切な財務報告をステークホルダに示せること 法令に違反する行為が行われるのを防止できること 資産を適切に保全できること COSO 内部統制の 基本的要素 定義 統制環境 組織の気風を決定し、組織内のすべ ての者の統制に対するものの統制に 対する意識に影響を与えるとともに、 他の基本的要素の基礎をなし影響を 及ぼす基盤 リスクの評価 と 対応 組織目標の達成に影響を与える事象 について、組織目的の達成を阻害す る要因をリスクとして識別、分析及び 評価し、当該リスクへの対応を行う一 連のプロセス 統制活動 経営者の命令及び指示が適切に実 行されることを確保するために定める 方針及び手続 情報と伝達 必要な情報が識別、把握及び処理さ れ、組織内外及び関係者相互間に正 しく伝えられることを確保すること モニタリング 内部統制が有効に機能していること を継続的に評価するプロセス ITへの対応 ※他の基本 的要素と一体 評価される 組織目標を達成するために予め適切 な方針及び手続を定め、それを踏ま えて、業務の実施において組織の内 外のITに対し適切に対応すること 社会経営をテーマとした場合の読み替え 情報や関連する資産は共有財産である 余分なコストや時間がかからず,環境やその他 民業に対する影響を抑えられなければならない 透明性を高め,360度どこからでも正しい評価を 受けることができなければならない 法令に違反する行為を行ってはならない →ほぼ共通のスキームでITの役割分析,導入,運 用が行えるはずである 導入者にとっての課題 以下の項目を具体的にイメージさせ,個々が自 分の手で事業体のために構築できるようにしな ければならない 前記のフローにおいて,フィルタとなった各項目の明 確化が必要 長中期の事業戦略 事業の内容のフロー化 事業の規模と戦力 自分の言葉で表現する事業体のポリシー(と優先順位) これらがそろって初めて,導入するITにおいて,どの ようなインフラと能力が必要かがわかる 運用上の課題 行おうとする事業ごとに,要求される内容 と実現可能な条件とのバランス配分 ステージを想定して段階的に上げてゆく ステージごとに要求される外部要因 法的あるいは社会的な制約 期待される成果の推移 セキュリティなどの精度 (細) 例1:住民による自治体活動の支援モデル • 参加レベル • (高)ボランティアベースの積極的な活動 • (低)各種サービスのモニタ • 評価レベル • (細い)達成度,コスト,方法,改善まで通して行 うべきもの • (粗い)成果を活用できれば良いもの 評 価 レ ベ ル (粗) (低) 活動への参加レベル (高) • ボランティアベースの積極的な活動としては,以下のものがある。 「住民が何らかのボランティア組織に参加して,明確に組織的に活動するもの」 「ボランティア組織に参加していなくとも,すべての住民が参加することができるもの」 • 前者の場合は自警団的な集団や,町内会的な活動など,どちらかというと計画的な活動となる。 • 後者の場合は,住民が危険区域や事故などを発見次第,携帯を通して通報と情報発信サイトへのエント リーするなど,スポット的な(日常的な)活動となる。 • 更に参加度の低い活動では,各種サービスの精度やレベルについて適時モニタを行い,その結 果を入力するなどがある。 • これらの活動のテーマは,住民が自ら見つけたものと,行政側が提示するものがあるが,どちらも 双方で内容と参加レベルを明確にして合意し,それぞれの参加レベルに合った評価と改善を行わ なければならない。 • これらの実施についてもっとも大きな要因は「参加意識」または「当事者意識」という動機付けであ る。この動機付けに失敗すると,いかに良い仕組みやシステムを作っても,効果的には動かない。 • またこうした動機付けは,往々にして一時的なものとなるので,継続のための仕組みも必要である。 例2:対話レベルと実現能力モデル 住民が,電子自治体の中で積極的に参画できる ためには,提供側のインフラと参加側のインフラ が充分なレベルに達し,なおかつ双方のリテラ シーが向上されなければならない。 • 対話レベルが低ければ,一方的に行政側の情報を開示す ればよい。 • 次の段階としては,Webやメールなどを通して情報を入手し, 分析・処理を行うことで,行政サービスへの反映を実現す る。 • 対話レベルが高くなるほど,相互性が高まり,情報処理と 操作が密接に,かつ適切に行われなければならない。 (高) 5 対 話 レ ベ ル (低) 4 3 1 (低) 2 情報管理・運用レベル (高) 対話レベルが最も高いシステムでは,統合化された各種の情報が,安全に,高速に処理され,医 療,教育,衛生,産業など,あらゆる分野で適切に活用ができ,同時に最新の情報が常に維持さ れる。そのインターフェースは高度に洗練され,サービスの追加や変更が容易であり,同時に他の 自治体との相互接続性も高いものでなければならない。 情報管理・運用レベルは,高度になるほど大きなコスト,運用ノウハウ・スキルが必要となる。これ らは比例して考えられることが必要であり,コストや提供側のリテラシの現状によって,実装可能な 情報レベルを明確に評価できなくてはならない。すなわち,情報管理・運用レベル以上の情報化レ ベルのシステムを導入しても,それはムダであるということが誰にでも分からなければならない。 また,情報化レベルをできるだけ効率的に向上させる仕組み(教育,外部支援,ツール,部品)が 適切に評価され,どのタイミングで何をどのように使えばよいかまでが提示される必要がある。 ※情報化レベルを先に定義するのは困難なので,各レベルで行うべき内容や公開・開示される内容とその実現手段,コスト,能力 を先に組み立て,モデル化するほうがやりやすい(共通アウトソーシングに,ITIL的な考え方やITコーディネータ簡易診断ツールな どの成果物を加味する。) 例3:相互評価モデル 全てのステークホルダの関係性を明確化し,それぞれの役割と責任を明確 化します。 それぞれの目標(達成レベル),方針と実行計画を掲げ,相互に全プロセス を評価し,フェードバックする仕組みを作ります。 マスタープラン 情報化された相互評価システムの主な対象分野 マニフェスト SLA 実行 計画 市民 (実施) (評価) (合意) 実行 計画 行政 推進支援 活動 成果 見直し 改善 活動 成果 (実施) (評価) • 直接行政サービス 住民がユーザとなり,直接/間接的に端末を操作して サービスを受けること ---------• データ運用サービス 各種サービスで利用されるデータを管理運用するサー ビス(人が直接操作するわけではない) ---------• 情報システム 全情報システムを統合管理・運営するシステム ---------• 行政事務支援サービス 行政側が事務で使用するシステム • 住民活動支援サービス 住民側が活動で使用するシステム 戦術と戦略 戦力分析による戦術の制約を考慮する 投資可能なコストの規模 時間的な制約 運用に係わる人的なリソース 条件が合わない場合に,どのように対処するか 条件を上げる,または下げる 追加でコストや人材を投入する,またはつくりを粗くして条件に合わ せる 別の条件に切り替える アウトソーシングや,条件にあったサービス内容のものを採用する 一部または全部をやめてしまう とりあえずはじめて様子を見る 本コースの概要とゴールとして想定するもの 対象者:ソーシャルマネージャー,及び事業に関連してソーシャルマネジメントに 参加する人 目的:対象者が事業を行うにあたり,IT化,またはITの支援によって,より有効か つ効率的となる業務を明確化でき,かつ適切にIT化できること。またPDCAに基 づく運用管理を行えるようにすること。 カリキュラムの概要: 基礎1:ITの役割と機能(できることとやるべきこと,やらなくてもいいこと)を知る 基礎2:ITと業務のかかわりについて知る 基礎3:ITシステムのライフサイクル(計画~調達~導入~提供~運用~利用~変更 ~廃棄)について知る 応用1:ソーシャルマネジメントで行う業務とその目的を考える(基礎2をベースに) 応用2:ソーシャルマネジメントでのIT運用上の必要条件と実施(基礎3をベースに) 事例 1.ITでカバーする範囲 ① ITインフラについて →以下の各要素について,整備と運用をPDCAに基づい て行うこと • • • • • ネットワーク(接続) セキュリティ(安全管理,危機管理/対策,アクセス制御) 機器及び施設・設備 機器等の規模と配置 機器等の導入・容量計画/管理 ② IT化業務/業務支援について →ITで置き換えが可能な業務,及びITによる支援が有 効な業務について,その目標とプロセスを明確化し,実 行すること。 2.カリキュラム全体のフレームワーク メソッドの構築 ① • 「社会経営におけるITの役割」をどのようにとらえるのかにつ いて,方法論を確立する 業務内容とITプロセスとのリンケージ ② • 業務の目標と関連するITプロセスをリンクさせ,着目すべき点 を明確化する 具体的な実現内容の考察 ③ • 利用者(管理側を含む)から見たときの切り口で考える 技術,製品,サービス,ツールの選択,選定と導入 ④ • • 実際に技術や製品,サービス,ツールなどを選択,選定,導入 するための手順を明らかにする。 特に,RFPの作成や調達の業務管理についての理解を深める。 3.メソッドについて ① IT導入の目的を明確化する a. b. c. d. e. 業務目標を達成するために有効に役立てる 業務目標を効率的に達成するために役立てる 業務の遂行が正確に行われるために役立てる 業務が確実に法律やルールに沿って行われるために役立てる 重要な資産・資源をルールどおりに取得,使用,処分されるた めに役立てる ② 組織にとってのITを評価するための材料を想定する a. b. c. d. e. 業務の目標や基本方針 業務目標の達成を阻害する要因の分析,評価と対応策 具体的な方針や手続き 明確な情報の承認経路,処理経路,伝達経路 ITの評価システム 4.技術,製品,サービス,ツールの選択, 選定と導入 実習を交えずに,どこまで取り上げることが可能か? 教育,学習の機会を活用 RFPベースでの調達 CIO補佐の活用 外部スタッフの活用 ITコーディネータ CISA CISM 総括
© Copyright 2024 ExpyDoc