IT統制を経営に生かすために - ITガバナンスとIT統制

近年、ITガバナンスの重要性が認識されるようになり、ITを経営に生かすためにITガバナンスの確立に取り組んでいる企業も少なくない。それでは、今まで企業が取り組んできたITマネジメントや、J-SOXへ対応するために整備・運用しているIT統制とはどのような違いがあり、どのような共通点があるのだろうか?

この疑問についてきちんと回答できなければ、本当の意味でのITガバナンスを確立することは難しい。今回は、経営に資するためのITガバナンスとIT統制の関係について考えてみる。

ITガバナンスとは何か?

ITガバナンスについては、ITガバナンス協会(IT Governance Institute、以下ITGI)が、次のように説明している。

「ITガバナンスは、経営陣及び取締役会が担うべき責務であり、ITが組織の戦略と組織の目標を支え、あるいは強化することを保証する、リーダーシップの確立や、組織構造とプロセスの構築である」(COBIT4.0日本語版p.9)

ここで注意すべき点は、ITガバナンスが、(1)組織の戦略や目標の達成と関係すること、(2)仕組みやプロセスを確立すること、とされている点にある。言い換えれば、この定義のように取り組めば、経営に資するITガバナンスを確立できるということになる。

ITガバナンスとIT統制の違いは?

IT統制は、前回までのコラムの中で説明してきたように、IT戦略やIT計画といったITにかかわる目標を達成するための仕組みである。つまり、組織内でITを経営目標の達成に向けてマネジメントしていく仕組みだと言える。

このように説明すると、上述のITガバナンスの説明とどこが違うのか疑問をもたれると思う。IT統制とITガバナンスの大きな違いとは、ITのステークホルダー(顧客や取引先などITの利害関係者)との関係を考慮しているかどうかという点にある。

ITGIは、ITガバナンスはコーポレートガバナンスの一部分だと説明している。コーポレートガバナンスではステークホルダーとの関係が重視されているので、ITガバナンスの概念でも取り上げなければならないはずである。

しかし残念ながら、コーポレートガバナンスで求められているディスクロージャーの視点や外部からの視点が、一般に理解されているITガバンナンスにおいては必ずしも明確になっていない。この結果、ITガバナンスとIT統制との違いが分かりにくくなっているといえる。

ITガバナンスは経営者の責任

経営者には、経営目標を達成する経営責任があるので、経営目標を達成するためにITを活用していくための仕組みを構築することも、当然経営者の責任だといえる。最近では、ITに関する経営者の責任が問われることが少なくない。

例えば、システムトラブルや情報漏えいが発生すると、経営者の責任が問われることになって、プレス発表で経営者が頭を下げたり、監督官庁に出向いて謝罪したりすることもある。また、IT投資に失敗した場合には、株主から責任を追及されることにもなりかねない。

このようにITガバナンスは、組織内のITを統制するだけでなく、ITのステークホルダーとの関係が重要になってくるのである。そこで、ITを単に統制するだけでなく、ITのステークホルダーとの関係を踏まえた、ITガバナンスを確立する責任が経営者に求められているのである。

ビジネスの視点でIT統制を整備

ITガバナンスを確立するためには、まず、組織内でITを活用していく仕組みであるIT統制を整備する必要がある。IT統制を整備するためには、ITGIのCOBITや、経済産業省の「システム管理基準」が求める統制項目(コントロール)が参考になる。

しかし、これらが示す統制項目をすべて整備しようとしても意味がない。過剰な統制になる可能性があるからである。

ITガバナンスでは、ITがビジネスに及ぼす影響を考えて、ビジネスの遂行に必要な統制項目を必要な水準で整備することがポイントとなる。ITリスクがビジネスに及ぼす影響を評価し、それに対応する統制項目を、ビジネス上必要な水準となるように検討することが重要である。

例えば、Webを用いたビジネスと店舗販売では、対象となるITリスクと統制項目は異なり、求められる水準も異なる。当然のことながら、Webビジネスの方がより多くの統制項目と高い統制水準が必要になる。

ITのステークホルダーの十分な考慮が必要

組織内のIT統制を整備しただけでは、本当の意味でのITガバナンスを確立することはできない。ネット通販などのネットビジネスや、SCM(サプライチェーンマネジメント)の発展によって、各社のITのステークホルダーは大幅に増加している。コーポレートガバナンスにおいて、株主、投資家、取引先などのステークホルダーが重視されるのと同様に、ITガバナンスでも、ITのステークホルダーを十分に考慮することが不可欠になる。

ビジネスの視点を重視したIT統制に、ステークホルダーへの配慮を加えることによって、本当の意味でのITガバナンスを確立できる。IT価値向上につながるITガバナンスとは、IT統制(IT管理)だけでなく、ITのステークホルダーを十分に配慮したITの活用を図る仕組みやプロセスを構築することである。これからは、ITのステークホルダーという外部の視点を重視することが、企業の価値向上のための必須要件になるのである。