...

ITガバナンス

by user

on
Category: Documents
9

views

Report

Comments

Transcript

ITガバナンス
2003予防時報212
ITガバナンス
−情報社会の企業統治のあり方−
原田 要之助*
はじめに
社会、従業員、株主などの関係者との調整を行い
ながら存続(ゴーイング・コンサーン)していく
企業や組織にとってITは欠かすことのできない
ことが必要である。とくに、企業の不祥事が相継
存在になってきている。企業や組織はITを活用し
ぐ中で、コーポレートガバナンスに注目が集まっ
て効率化を図り、戦略的に優位に立つなど、ITに
ている。
よる恩恵を受けている。一方、企業や組織は、ガ
バナンスが重要な要素となっている。すなわち、
この中で、ITについてもガバナンスする必要が
言われるようになってきた。これは、Y2K(西暦
2000年問題)をきっかけに、ITの社会へ与える影
*はらだ ようのすけ/情報システムコントロール協会
東京支部会長
30
響があまりにも大きいことが理解されるようにな
ったこと、さらには、2002年4月のみずほ銀行の
2003予防時報212
システム統合トラブルで、ITが企業や組織の存続
に極めて大きな影響を与えることが認識されるよ
うになったことなどからも伺える。
IT戦略(ドライバ)
コーポレート
ガバナンス
IT活用(エネブラ)
したがってITには、負の側面であるITリスクを
十分に考慮してガバナンスしていくことが重要な
ITガバナンス
図1 コーポレートガバナンスとITガバナンス
課題となっている。本稿では、ITガバナンスとIT
リスクがどのように関係しているかを概観し、今
後の企業や組織がITをどのようにマネージすれば
よいかについて述べる。
ISACA(情報システムコントロール協会)は、
ITガバナンスについて次のように述べている。
コーポレートガバナンスの発展は、企業や組織
がゴーイングコンサーンを保証するために、リス
ITガバナンスとコーポレートガバナンス
クおよび株主価値の保護に関する透明性確保の必
要性から促進されてきた。これを実現する技術的
企業や組織は、収益のみならず、社会的な存在
な手段としてITを広範に用いるようになった。こ
として関係者との間で取引、雇用、環境保全など
れが企業や組織のITへの大きな依存(エネブラと
を考慮しなければならない。コーポレートガバナ
してのIT)に繋がり、その結果として、ITをも戦
ンスは、企業や組織の関係者(株主、役員、執行
略やガバナンスの対象として考えなければならな
役員等、上級管理者、管理者、従業員、政府、取
くなった。
(とくに、e-commerceなどITを活用す
引業者、顧客企業、最終顧客、関係会社、社会、
る企業にとっては)ITをガバナンスすることがコ
など)によって組織がゴーイング・コンサーンを
ーポレートガバナンスと等価と考えられるように
保証するための概念である。
なった。
一方、ITガバナンスは、企業や組織のコーポレ
さらに、ITは、企業や組織単独としての利益向
ートガバナンスをITの側面からとらえた概念であ
上のみならず、経済一般にも大きな影響を持つよ
り、コーポレートガバナンスによって規定される。
うになっている。これは、ITによってもたらされ
とくに、ITは、企業関係者全てと関係を持ち、さ
た経済的な連鎖としてのバリューチェーンが、も
らには、将来の顧客や取引先に対しても影響を持
っぱらITによって実現されることを見ても明らか
つ。また、ITの開発、運用、維持管理、アウトソー
であろう。さらには、経済的な連鎖を通じて、IT
シングはコーポレートガバナンスを保証するため
は社会的な活動にも繋がってきている。これは、
に適切にマネージされなければならない(図1)
。
企業を取り巻くあらゆる関係者が、ITを通じて経
済活動を起こし、必要な取引、情報および知識を
31
2003予防時報212
得ているからである。
したがって、社会的な活動を論じるには、ITの
管理を議論することが不可欠となっている。また、
成する全ての構成員にとって、大きな影響を持つ
と言えよう。
Y2K問題が起きたとき、社会的なコンセンサス
企業や組織のITの活動は、よりグローバルにその
では、個々の企業や組織がITによってもたらされ
範囲を広げている。企業や組織は、グローバルに
る問題や被害について責任があると考えられてい
バリューチェーンを広げていく中で、よりグロー
た。しかし、影響範囲を検討する中で、社会は、
バルに企業や組織間で連携していくことになる。
あまりにもその影響範囲が広いこと、また、企業
そのため、より一層、相互依存を高めるようにな
や組織のバリューチェーンや責任関係が相互に密
ってきている。したがって、多くの企業や組織で
接に依存するようになっており、個々の責任を明
は、ITがますますビジネス上必要不可欠なものに
確にできないことに気付いた。まず、最初に米国
なってきており、企業や組織の活動を維持し、さ
がこの問題を取り上げ、社会として対応する必要
らに成長させるための基礎となっている。すなわ
性についてクリントン大統領自らが提起した。こ
ち、ITは企業や組織の活動そのものの展開と密接
れによって社会はその問題の深さ、複雑さに気付
な関係があり、図1に示すように、もはや、コー
いた。これがY2Kの本質と言えよう。
ポレートガバナンスとITガバナンスを分けて考え
したがって、社会に対するITガバナンスは、コ
ることは無理な状況におかれていると言えよう。
ーポレートガバナンスと同様、企業や組織の社会
したがって、企業や組織の運営に責任を持つ経
的な存在として取り扱っていく必要があると言え
営者や取締役会は、ITについて指導的な役割、す
よう。
なわち、IT戦略を明確にするとともに、投資につ
いても効果やパフォーマンスを評価するなどの活
ITガバナンスとリスク
動に関わっていく必要がある。また、企業や組織
の関係者は、ITの戦略的な活用度合いについても
ITガバナンスはコーポレートガバナンスと同様
十分に注目する必要がある。これは、例えば、IT
に、プラスとマイナスの両面から判断していくこ
が活用できない企業やITセキュリティ面で弱い
とが重要となる。これは、企業や組織は経済活動
(例えば、ウイルス被害に遭って企業活動が低下
を続けていく上で様々な機会とリスクに対してバ
するなど)企業の株価が下落することを見ても明
ランスを取ることが要請されているからである。
らかであろう。
すなわち、より競争優位に立つための戦略的な指
向と、様々なリスクへの危機管理が重要な要素と
ITガバナンスと経済・社会との関係
なる。とくに、ITは米国のマイケル・ポータが競
争の戦略でその重要性を指摘して以降、企業や組
ITガバナンスは上記に述べたように、社会を構
32
織にとって欠かすことのできない重要な要素と考
2003予防時報212
えられるようになっている。しかし、その反面、
る。これの達成にはITガバナンスの目標を達成
ITへの対応を間違えると企業や組織にとって致命
することが重要な点となる。ITガバナンスの目標
的な問題ともなりうる。2002年4月のみずほ銀行
には、
でのITシステム統合のミスはとてつもない大き
①ITに内在する問題点を理解し、ITを活用した
なリスクとなった。損失規模については非公表で
戦略的な重要性を理解すること、
あるが、企業や組織の存続に関わるレベルに至っ
②企業や組織のゴーイングコンサーンがITによ
たことは誰の目にも明らかであろう。さらに、金
って危機(あるいは新たなリスク要因)にならな
銭的な面のみならず、企業の信用にも大きな汚点
いことを保証すること、
を残した。したがって、ITガバナンスを考えるた
③企業や組織が、将来発展するために必要な戦略
めには、戦略面のみならず、ITに伴うリスクをも
とIT戦略を一致させること、
十分に考えておく必要があると言えよう。ITガバ
があげられる。さらに、ITガバナンスはコーポレ
ナンスでは、図2に示すように、ビジネスの価値
ートガバナンスの一部として、ITガバナンスに基
の最大化、
ITがどのように使われているかの活用、
づく行為と整合性を取る必要がある。すなわち、
およびITのリスク対策が極めて重要な目標とな
①ITによって、企業や組織のパフォーマンスの
る。
最大化、言い換えれば、企業や組織の利益追求、
効率向上が必要であり、
ITリスクマネージメントとITガバナンス
かつ、
②ITに伴うITリスクを緩和するなり、回避する
ITガバナンスで大切な点は、前項に述べたよう
にITリスクの最小化と適切なコントロールであ
こと、
が必要となる。したがって、ITガバナンスを達成
するためにはITリスクに対する考慮が極め
て重要であり、避けて通ることができない。
とくに、ITを利用すること自体が、新しい
リスクを招くことになる。
しかし、一方、ITを抜きにして企業や組
織の存在を述べることはできない。IT が
我々の身の回りに広がって日常の生活を支
援しており、もはや、ITを抜きにしては社
会生活すら可能でない。したがって、ITを
図2 ITガバナンスのマネージメントモデル
出所:IT Governance Institute
否定するということは、もはや考慮の対象
外としてよいであろう。むしろ、ITと如何
33
2003予防時報212
につきあっていくか、すなわち、ITに伴うリスク
ネットにより様々な知識がデジタルの形で保存さ
を如何に低減していくかが問われていると言えよ
れるようになった。企業や組織はデジタルで情報
う。そのためには、ITに伴うリスクを以下に低減
を提供すると共に、これを活用する必要がある。
するかがポイントとなる。
このための投資は、知識の共有化という目に見え
ITガバナンスに係るITのリスクを以下に述べ
る。
ない投資であり、今までの製造装置のように、導
入すれば生産性がすぐにあがるものではないた
め、投資効果の測定が難しい。
①企業や組織は、新しい環境に対して適応し、新
また、ファイアーウォールやウイルス対策ソフ
たなITリスクを考慮したビジネスモデルを実現す
トの導入など、ITリスク低減のためのIT投資も必
る必要がある。すなわち、企業や組織は、ITを活
要となる。これは、なければ被害を受けるという
用する能力を身につけ、ITをベースにして業務を
ものであり、リスク対策ということでIT投資判断
大きく変革していくことが必須となる。これに対
が甘くなる可能性がある。これについては、IT全
応できないと、競争環境に対応できず市場からの
体の投資とのバランスから、例えば、IT投資の全
撤退を余儀なくされる。
体の10%というようなシーリングを設けるなどの
また、ITがとまったことで企業のシステム全体
工夫が必要であろう。
が停止することのないような工夫が必要となる。
さらに、ITを利用するために、新たに招いたITリ
③ITやインターネットにより、企業や組織はお互
スクを明確にする必要がある。
いに深く関連するようになった。とくに、企業の
例えば、インターネットを利用するようになる
付加価値連鎖がバリューチェーンとして定義され
と、ウイルスや不正侵入などを考慮しなければな
るようになった。これに伴い、多くの企業や組織
らない。また、業務の継続を保証するためにITに
のバリューチェーンの一部のリスクがチェーン全
対してのリスク管理を徹底する必要がある。
体に大きな影響を与えるようになった。すなわち、
企業や組織の相互依存が高まり、自分が管理でき
②ITを活用するに従い、企業や組織は、ITに対す
ないリスクによって、自己の存在が問題となる。
る投資が必要となる。また、ITは適切に運用して
これはY2Kのときに、米国がリーダーシップを
いくためにはITの管理者の採用、ITのセキュリテ
とってY2Kのリスク回避を図ったように、社会全
ィ対策、など様々なコストを新たに負担せざるを
体として対応することが要請されていることを見
得ない。
ても明らかであろう。したがって、ITによるチェ
とくに、1990年代の後半から普及したインター
34
ーン全体の効率性の追求と、これによってもたら
2003予防時報212
されるマイナスの要因を注意深くバランスしてい
や組織に対するイメージを高め、株主も喜ぶ。そ
く必要がある。
のためには、積極的に情報を公開するとともに、
とくに、チェーンの一部のリスクによって自社
が経営破たんにならないような工夫が必要とな
これによって、競合他社にイメージ戦略で勝つこ
とも重要である。
る。しかし、複数のチェーンが複雑に絡むと全体
のガバナンスや投資効率が極端に悪くなる可能性
⑤業務を維持し成長させるためには、企業や組織
もあるので、この戦略判断は極めて重要である。
は個々のおかれた環境に適合し、戦略目標を達成
すなわち、CIOの責務というよりは、CEOならび
するためには、ITを活用して、知識を集積し(ノ
に取締役会の判断事項でもあろう。今後の経営者
レッジマネージメント)
、これを基にITの能力を
の会議では、ITに関するガバナンスは避けて通れ
より拡大していくことが必要となる。
ない。
⑥さらに、ITリスクを軽減するためには、他社の
④企業や組織は、ITを通じて、あらゆる局面でお
ITの活用事例を、より学習する必要がある。とく
互いの情報や IT に深く依存するようになってい
に、ITリスクへの対応の失敗事例は様々な観点で
る。そのため、企業や組織の情報公開に関するパ
重要である。これによって、未然にITリスクを軽
フォーマンスを高める必要がある。
減できるからである。企業評価/価値へのこれの
この場合、ただ単に、ホームページで企業の
影響が、ますます大きくなって来ている。
PRをすればよいと考えてしまう。しかし、情報
公開は言うほど簡単な話ではない。これを誤ると、
おわりに
企業のイメージを著しく害してしまう。長年かか
って築きあげた信用を消費者への情報公開対応ミ
以上に述べたように、ITガバナンスを今後積極
スから損ねてしまう可能性がある。東芝が消費者
的に活かすことが今後の企業や組織の重要な戦略
対応で大きな問題を起こしたのは周知の事実であ
である。これを実現するためにはITリスクに対す
る。
るきめ細かい対応やITリスクに対する正しい認識
情報はコントロールするものではない。下手に
が重要である。ITリスクに対し、ガバナンスと適
情報をコントロールしようとすると失敗するリス
切な投資を行って、より企業や組織を発展させて
クも大きい。これは、とくに、一般ユーザを顧客
いって欲しい。
にする企業については必須のことである。情報を
うまく社会に公開し、アピールすることで、企業
35
Fly UP