ＩＴガバナンスとＣＩＯの役割　　　　　　　　　　2011.02.01

　金融商品取引法の内部統制義務化によってＩＴガバナンスの重要性が再認識されている。適正な財務情報の提供だけでなく、ＩＴ投資の効率と効果の管理、ＩＴに係わるリスク管理やコンプライアンスも内部統制の対象である。ＩＴガバナンスを確立するために必要な管理の仕組とＣＩＯの役割について考えてみる。

　金融商品取引法によって「財務報告に係わる内部統制の整備および運用状況の有効性について」の評価と報告が義務付けられるた。ＩＴは適正な財務情報を提供する道具に止まらず、企業活動のインフラの一つとして経営者による公正、透明な統治対象とされている。取締役は、ＩＴ部門やその長に委ねることなく、ＩＴの戦略立案、企画、開発、運用、保守というライフサイクル全般における資源の活用とリスク管理が適切に実施されていることの監督と説明責任を負うことになる。

　金融業界は、わが国産業界の中で最も進んだＩＴ利用産業である。しかしながら、１９８０年代の第３次オンラインの頃から、ＩＴ部門は企画、開発、運用に機能分化され、別会社化も行なわれた。加えて１９９０年代に始まった基幹業務システムの外部委託化は、大半の地域金融機関が採用するところとなり、経営陣にとってＩＴを全体統治することが難しくなっている。とはいえ、顧客を始めとした外部にＩＴによるサービスを提供するにあたり、そのＩＴを運用するのが内部であるか外部であるかは、その金融機関の債務履行責任の範囲とは関係ない。顧客等に約束した債務履行責任とその道具としてのＩＴ管理責任は金融機関にある。サービス内容が多様化・複雑化しつつ、サービス提供の場所・時間が拡大しつつあるためＩＴ統治が難しくなる一方で、経営責任が増大していることに留意が必要である。

　金融商品取引法に待つまでもなく、金融庁の検査ガイドラインでは、以前からシステムリスク管理態勢等に関する経営陣の内部統制を求めている。しかし、残念ながら金融機関におけるＩＴ能力の劣化は否定できない。原因は、ＩＴに係わる機能を分化しすぎたこと、外部委託による内製力の低下、安全性と業務継続性重視の結果として技術革新への対応遅れ、ベテラン技術者の定年退職などである。一方でセキュリティ強化などの制度案件やネットバンキング、リスク管理システムなど戦略案件が続き、時間と費用の制約もあって都度対応を繰返したことにより、ＩＴ全体が複雑化しすぎた。障害が発生した際の対応力が懸念される事例が増えているばかりでなく、小規模金融機関ですら数十のサブシステムをもち、その管理ができなくなっている。

　新システム開発においては、ベンダーへ全面的に依存する事例もあり、自社の根幹業務の設計すら委ねる状況が見られる。ベンダーとの責任分担が不明確であり、開発の受託契約すら曖昧なまま開発投資を続け、紛争に至る例もある。そもそも取締役会において、ＩＴ投資に関する必要充分な議論がなされているのであろうか。その記録は残っているのであろうか。制度案件であれば内容精査もなしに承認していないだろうか？同業他社が実施しているとの理由だけで投資を決定していないだろうか？

　一方、数多くのシステムが日々、無事に稼働しており、上述のようなトラブルがニュースになること自体が、金融業界全体としてはＩＴ運用がうまくいっている証左と考えることもできる。その裏には金融機関ＩＴ部門とＩＴベンダーの担当者達の大変な苦労と努力がある。しかし、それも限界に達しつつあるように感じられる。経営とＩＴ部門の軋轢が表面化した事例、長年パートナーであったＩＴベンダーとの協力関係が傷つく事例が増えている。以心伝心によるＩＴ管理が機能しなくなっているようだ。そこに法的義務化に押されて、ＩＴの実態を知らぬままに、経営トップが形式的な管理強化を図れば、ＩＴ部門と利用部門、ＩＴ部門内、金融機関とＩＴベンダーの各関係が悪化することは明らかである。

　ＩＴガバナンスを機能させるためには、有能なＣＩＯと管理の仕組が不可欠である。しかしながら、ＣＩＯを育成する人事プログラムが存在する金融機関は稀であり、管理の仕組が整備されている金融機関も殆どないのが実態である。

　ＣＩＯに求められる資質は有能な経営管理者と同様である。ＩＴ関連知識だけが特殊と言える。ただ、それも実装技術など詳細レベルである必要はない。技術やプロジェクト管理における目利き力が必要と言って差し支えない。以前は、ＩＴ関連知識が最も重要で、それに分析力、交渉力、人柄、構想力などが求められた。今日では、どれも同等に求められる時代である。ＩＴ関連知識の重要性が下がったのではなく、ビジネス関連資質の必要性が増したということである。

　評価の高いＣＩＯの共通項を見ると、面白い傾向が見られる。第一に、信頼関係の構築に成功していることである。経営陣、利用部門、部下、ITベンダーなど関連する全ての人々、組織と共通の目標、実行、評価のフィードバックがうまくいっている。第二は、業務遂行能力である。必要な知識技能、仕事の進め方、経験に優れている。第三は、情報技術管理力である。アーキテクチャ、ネットワーク、プラットフォーム、運用保守などインフラ技術を重視している。プログラミングや最近話題の新技術など個別技術が成功要因ではない。必要な個別技術を持つ部下や外部委託先を活用できれば良いのである。インフラ関連知識は、数ヶ月ほどＯＪＴと学習を続ければ、その専門家を利用できるようになる。

　法制度が要求するＩＴガバナンスの対象は、財務面とリスク管理であるが、これに表面的形式的に対応すると本当の効果はえられない。ＩＴに係わる管理対象を可視化することが必要である。具体的には、ＩＴプロセスの全体管理、ＩＴコンピテンシーの予実管理、テクノロジー・インフラの整備、コミュニケーションの有効性の四つである。

　第一のプロセス管理であるが、図１の例にあるように、大きく８つのカテゴリーに分類できる。金融機関によって、また、ＩＴのライフサイクルによって、プロセス毎の重要度が変わるが、各プロセスを定義、分類し、成熟度を測定しながら、改善を加えることが必要である。ＣＯＢＩＴやＣＭＭなどの管理手法が利用できるだろう。何よりも、継続的なプロセス管理が重要である。

　第二のコンピテンシー予実管理であるが、ＩＴ関連スキルだけでなく、組織として必要な能力を抽出・整理して、担当者の育成計画を含めたコンピテンシー調達計画の立案実施が必要である。ここでは、内製化すべきもの、外部委託できるものの区分も重要である。コンピテンシーの事例としては、流通業との協業に必要な決済業務処理能力や人間関係、セキュリティ管理に必要なＩＳＭＳ準拠態勢やセキュリティ団体との関係などがある。また、堅確な事務プロセス設計の為のノウハウ蓄積や独創的商品サービスを開発する革新的組織風土もコンピテンシーに含まれる。

　第三のテクノロジー・インフラとしては、レガシーかオープン系か、或いは、COBOLかJavaといったことだけでなく、開発基盤と運用基盤双方に留意したネットワーク、データベース、アプリケーションなどのプラットフォームをどうするかの問題が大きい。各インフラ技術には長所短所があり、全体最適を図るためにアーキテクチャの整備も不可欠である。

　第四のコミュニケーションは、対顧客、対メディア、対利用部門、対経営陣、対ベンダー、そしてＩＴ部門内の意思疎通とベクトルの合致が目的である。より多くの意見を聞き、出来る限り反映しようとして失敗することが多い。各組織には必ずオピニオン・リーダーが存在し、彼等は業務執行能力も高い。こうした人々を抽出して、組織的、個人的なコミュニケーションを目的指向的に強化することが必要である。

　これら可視化された管理の仕組があれば、ＩＴの効率と効果を最大化する施策を見出せる。また、定量的・定性的に経営の判断材料となるだけでなく、行政や株主への説明に必要なデータも入手できる。

　プロセス管理の仕組ができれば、リスク管理への適用も可能である。どこにどのようなリスクが存在するか、それを回避・代替・極小化する施策の期待効果と必要コストが妥当な範囲かなどの情報が、経営の判断材料として入手できるだろう。大規模障害対策や事業継続計画（ＢＣＰ）など定量的効果を算定できない課題にも有効である。また、セキュリティ・リスクも注目度の高いリスクであるが、様々なリスク管理手法と基準（図２）があり、公的組織が推奨している。しかし、全体管理の仕組がないままに個別導入すると、管理負担が増す危険性がある。一度、全体管理の仕組を作ってから、各手法への応用を図ることが効果的だろう。

　ＩＴに関連する他のリスクとして、事業戦略とのミスマッチ・リスク、ビジネスプロセスとの不適合リスク、システムインフラ・リスク、プロジェクト・リスクなどがある。障害リスクやセキュリティ・リスクが風評被害の側面が強いのに対して、これらのリスクは発生頻度が高く、その経済的損失も巨額となる。リスク管理では優先付けが重要である

　こうした管理の仕組や有能なＣＩＯを確保するには、膨大な時間・費用・努力が必要であり、地域金融機関等には人材、費用などの制約が大きすぎると考えるかもしれない。しかし、小規模な組織であれば、全体が見えて管理も容易である。それを仕組として整備することは難しくはないし、網羅性を高めることもできる。ＩＴの適用範囲はますます多様化、複雑化する。外部委託も増えるであろう。全体が見えなくなって管理不能化する前に、ＩＴガバナンスの基盤構築が望まれる。

NS