ITガバナンス（統治）、（IT）コントロール（統制）、ITマネジメント（管理）

前回、ITガバナンスの定義に関して記したが、では、（IT）コントロールはどうだろうか？　また、ITマネジメントとは何を指すのであろうか？

別に定説があるわけではないが、筆者は、IT機能および関連する組織に関して、何（WHAT）をどのように（HOW）管理（ここですでに管理という言葉がでてきてしまうが）および監視するかに関して、その全体構造をITマネジメント（管理）と定義している。これに対して、ITガバナンスはWHATの部分を具体的に定義するものであり、WHATに基づいて、HOW、つまり、具体的なチェック項目やそれに対する測定方法などを定義するのが（IT）コントロールであると考えている。

世間では、ITマネジメントとITガバナンスが同義と定義される場合も少なくない。ときには、「ITガバナンスにもとづいてITマネジメントが遂行される」という定義も見かけることがある。筆者としては、もちろん、定義が確定する方が望ましいとは思うが、このような状況に対して、特に非難するつもりはない。重要なことは、IT機能および関連する組織に関するWHATとHOWそれぞれに関して理解し、適切な実装が行われる必要があるということである。

コントロール（統制）といえば、最近、SOX対応で「IT統制」という言葉を耳にする機会が多い。しばしば、このIT統制、特にIT全般統制を「ITガバナンスと同等ないしその一部」などと説明される場合がある。実際、その方が理解しやすいようなので、筆者も方便として、このようないい方を用いたことがある。しかしながら、IT統制は、実態としては、ITガバナンスというよりは、ITコントロール、つまりHOWを適切に実装することを意味していると捉えるべきである。リスク・コントロール・マトリクスがSOXの統制の基本形であるが、これはまさにHOWの表現形式のひとつである。

では、SOX対策において、WHATは意識しなくてもいいのだろうか？　もちろん、そんなことはない。HOWを設計するためには、その前提としてWHATがあるべきであり、そうでなければ、全体感を欠いた重複や漏れが多いHOWになってしまう。したがって、まず、WHATを設計すべきである。そういう意味では、COBIT（Control Objectives for Information and related Technology：米情報システムコントロール協会ISACAが提唱するITガバナンスの成熟度を測るフレームワーク）をベースにWHATを設計した上で、ISOなど利用しながら、HOWを構築することが理にかなっている。