ITガバナンスと言ってもJ-SOXの話じゃないですよ。しくじると会社の屋台骨を揺るがす、もっとこわい話です。

監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。

日本企業と外資系企業の両方を監査して、違いを感じることがよくあります。
もちろん、どの会社も違うので「日本企業」「外資系企業」に大きくくくってしまうのは乱暴かもしれませんが、ざっくりと共通点はあるように思います。

日本企業のよい点もたくさんあるのですが、弱点と言えるものの一つがITガバナンスです。

ITガバナンス不全は何を招くか

ITガバナンスは、経済産業省の「システム管理基準」では次のように定義しています。

この定義を説明すると眠くなりそうですので、ここでは「組織体のガバナンス」、会社であればコーポレート・ガバナンスのうちITに関連する領域だとご理解ください。

このITガバナンスが不十分だと、どんな問題があるのでしょうか？

• ITに関連するリスクがどこにあるのか分からない

• ITに関連するリスクへの対応が不十分

• ITに関連するリスクへの十分な対応ができたとしても、継続しているかどうか分からない

そんな問題があると、何が起こるのでしょう？　例えば…

• ITのアウトプットにエラーが発生し、財務報告など後続タスクに支障をきたす

• サイバーセキュリティの甘いところを突いたインシデントが発生して事業継続が危うくなる

• 情報漏洩が起こるなど重大なコンプライアンス違反の原因となる

このような事態を防止したり早期に対応できるようにしておくために、ITガバナンスは重要です。

日本企業のITガバナンスの問題点

日本には、次の二つの問題を抱えている会社が多いように思います。

• 企業グループ内のITガバナンスのレベルの差が大きい

• 経営の中枢にITガバナンスの責任者がいない

すべての日本企業が同じ問題を抱えているわけではなく、会社によってこの二つの状況には差があり、また業種などによってそもそもリスクの大きさも異なります。

企業グループ内のITガバナンスのレベルの差が大きい

歴史的に、子会社管理の方針を「自主独立」としていた日本企業が多かったと思います。
これは、子会社に自由が与えられているというよりは、自分たちだけで何とかしないといけない、という意味の方が強いようです。

この方針の下で、親会社は大まかなガイドラインを作り、子会社はそのガイドラインに沿って規程類を作る、ということがITについても起こります。
子会社によって、さまざまなレベル感の規程ができることになります。結果としてITガバナンスのレベルもさまざま、となります。

また、システムの選定を子会社に任せていることもよくあります。場合によっては、情報セキュリティよりも使い勝手を重視したり、コスト最重視で選んだり、ということもあるかもしれません。
子会社が選ぶと絶対ダメと言うわけではないのですが、親会社からの監視は必要だと思います。ところが、親会社では子会社がどんなシステムを使っているかすら把握していないことがあります。

経営の中枢にITガバナンスの責任者がいない

CIO（Chief Information OfficerまたはChief IT Officer）を置く会社は増えてきました。
しかし、肩書だけCIOと呼ぶ人を作っても何も変わりません。

CIOが機能するためには、3つの要件があると考えています。

• ITに詳しいこと
  当たり前のようですが、人事異動の玉突きでITを知らない人が就任することもあります。技術革新の激しい領域なので、最新の情報を追いかけていることも重要です。

• ビジネスに詳しいこと
  会社の事業に詳しいこと。企業のITは事業運営を支えるだけでなく、ITを使って事業を革新することが求められています。

• 経営の中枢に位置していること
  他部門の要請に応じてITサービスを提供することに責任を持っているだけでは、情報システム部門のトップと変わりません。経営者の一人として動し、社内でもそう認知されていることが必要です。

CIOが機能しているかよく分かるのが、新しいシステムを導入するときです。

「現場のニーズを最大限充たすように、現場の負担を最小限にするように」が最優先になっているように見えることがあります。
既存のシステムをリプレースすればよいとか、経営全体への影響が小さいような現場のツールであれば、それでよいのでしょう。

ところが、全社的な業務革新のためにシステムを入れるはずが、「メニューは変えないでほしい」「アウトプットのイメージは同じにしてほしい」などの現場の声に押されて、どんどんトーンダウンしてしまうことがないでしょうか？

結局、外付けのモジュールをカスタムメイドでたくさん作ることになります。
「全社的な業務革新」に役立たないだけでなく、システム本体のバージョンアップもままならない状態になります。

CIOの有無だけが問題ではないとは思いますが、CIOが力強く機能していれば…と考えてしまいます。

ITガバナンスに問題が起こっているときに現れる症状

日本企業にありがちなITガバナンスの問題を踏まえて、こんな症状があれば要注意、というチェックリストを作ってみました。
項目は3つだけです。

❶ ITに関する規程類の作成は各子会社に任せられており、親会社と同じレベルの規程が運用されているかは確かめられていない

❷ 子会社のOS、データベース、基幹システムがバラバラ

❸ システム導入時には、現場に負担をかけないことを最優先にしている

おわりに

現在の財務諸表監査や内部統制監査は、ある程度のITガバナンスが機能していることが前提となっています。
IT統制の手続に苦労する会社は、ITガバナンスが十分でない可能性大です。

逆に事業会社にいらっしゃる方が、監査人がやたらとITの細かいことを求めてくると思われていたら、たまたま細かすぎる監査人に当たった可能性もありますが、貴社のITガバナンスの問題を示唆しているかもしれません。

日本企業のよいところは残しつつ、ITガバナンスのような弱点を克服することが日本経済にとっても大きい課題のように思います。

最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはX/Twitter（@teritamadozo）でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。

てりたま