PR

私が考えるITガバナンス

 IT(情報技術)ガバナンスもよく使われる経営用語であるが、用語の定義もさまざまで実態として分かりにくいところがある。まして情報技術や情報の環境に疎い経営者にとってはバズ用語(実態感のない流行り言葉)と受け止められかねない。少なくともITガバナンスはCIO(最高情報責任者)や情報システム部門に与えられた統制権限のようなものを意味するものではなく、組織として持っている機能や能力であることは間違いない。

 私はITガバナンスには、3つの機能が求められていると考えている。
(1) 全体最適を追求できること
(2) 情報コストをコントロールできること
(3) 情報リスクをマネジメントできること

 全体最適を追求するということは、多様化するマーケットニーズに対応し、部分最適による経営効率の限界を打破し、組織全体の競争力を高めるため部門間やグループ企業間を調整し、組織横断的な仕組み作りやプロセス処理を構築することである。

 コストをコントロールするということは説明を待たないであろう。一方には増大する情報コストがあり、他方では標準装備の経営インフラとして投資効果が見えにくくなっているなかで情報投資に求められる経営判断が重要性を増す。従って従来のようにシステム部門に任せきりにするのではなく、経営者自らが投資内容を理解し判断に関与しなければならない。

 現業部門の要求をそのまま受け入れていては全体最適も図れないし、情報コストのコントロールもできない。企業の体力に合った投資枠内で効率的な情報システムを装備するためには、投資ポートフォリオを明確にして重要度に応じた整備計画が必須である。

 情報リスクは電子媒体ばかりでなくさまざまな形で表れるが、企業のリスク管理の一環として行われるべきものである。特に情報システム関連では外部からの侵入や破壊攻撃、高度化するコンピュータウイルスの障害、社内や社外関連先からの情報の漏えいなど信用や財産・利益の損失につながるリスクがある。

 しかし、頻度とその影響度からいえば、情報システムそのものの障害リスクも大きい。その事象は経営のインフラになったことによって24時間365日稼働を要求される情報システムが増え、高度な運用の品質を求めるからである。障害の予防もさることながら、発生時の対応、事後の処理など統制の取れたリスクマネジメントが欠かせない。BCP(Business Continuity Plan:事業継続計画)においても情報システムの保全や早期復旧は大きなテーマである。

ITガバナンス実践のための要素

 ITガバナンスを実践するためには必要ないくつかの要素がある。まずITガバナンスには経営者の直接関与が必要である。ITガバナンスは経営トップに求められる責務と言ってもいい。経営トップが積極的に取り組むことが、企業活動の方向性を明確にして機能を高めることになる。そしてITガバナンスを実践するには推進する組織が必要である。

 推進組織の責任者はCIOであるかそれに準ずる位置づけの職責者である。推進組織は縦割り組織に対して横串を入れられる位置づけが必要で、経営のスタッフ的な役割を担う。そのような位置づけにあるCIOオフィスであるとか、経営企画部門であるとか、システム部門であることが望ましい。

 従来型の管理部門や多部門と横並びに置かれた情報システム部門ではなかなか実践力を発揮できない。推進組織をシステム部門が担うのであれば役割の変化を認識しマインドチェンジと構造的な見直しが必要である。全体最適を求めることから部門間調整は必須であるが、統制権限でまとめようとすれば抵抗は必至、推進組織は孤立しかねない。

 推進組織に権限があるとすれば、口出しができるコミュニケーション権限である。統制のための理念を明確にして常に客観的な視線で調整に当たれば信頼感が生まれる。

 もう1つ重要なことは確実なプロセスを実行するためのルール作りである。投資意思決定のルールを明確にし、プロセス管理を体系化し、レビューの仕組みを作ることである。内部統制におけるIT統制は個別に対応するものではなくITガバナンスの仕組みのなかに組み込まれるべきものである。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料