CIO／CISOだけの仕事じゃない、CFO視点で考えるテクノロジーリスクとIT投資管理の落とし穴

セキュリティインシデント発生時は、CFOも説明責任を負う

　冒頭、EY新日本有限責任監査法人 Technology Risk事業部 プリンシパルの竹中淳一氏は、「テクノロジーリスクはCIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）の守備範囲だと思われがちだが、CFOをはじめ財務担当者にとっても関係が深い問題だ」と指摘した。

　背景にあるのは、テクノロジーが今や事業を維持し、組織が生き残るために欠かせない経営の根幹を成す要素へと進化している現実だ。重大なセキュリティインシデントが発生し、ビジネスの継続が困難になってしまったり、決算発表を延期せざるを得なかったりといった、重大なインパクトを及ぼすケースも実際に発生している。

　テクノロジーリスクの類型は大きく2つあると竹中氏。1つ目は、「DX推進にともなう新システムの移行失敗」、2つ目は「サイバー攻撃」である。どちらも最悪の場合はシステムや事業の停止に至り、財務数値に多大な影響をもたらす。

　財務への波及がどれほど深刻かは、データにも表れている。竹中氏が示した調査結果（図1）によれば、サイバーインシデントが発生した企業の平均株価は、発生後0日から30日でマイナス0.5％以上、60日でマイナス1.0％以上、90日でマイナス1.5％と悪化し続ける傾向がある。対応が長引くほど、企業価値への影響は拡大する。このリスクは、ITだけの問題として語れるものではない。

　見落とされがちなのが、インシデント発生後の「責任の連鎖」だ。決算延期への対処にとどまらず、会計監査人との対応、内部統制の不備が生じた場合の是正、そしてアクティビストを含む投資家への説明責任まで求められる。「この説明責任は、CFOも担うことになる」と竹中氏。つまり、テクノロジーリスクはCIO任せにできない問題ということだ。

　IT投資をめぐる問題も、CFOが考えるべきアジェンダである。DXの進展やサイバーセキュリティの強化、AIの普及拡大を背景に、企業におけるテクノロジーへの支出は膨張を続けている。システム開発プロジェクトは想定外の追加要件によって長期化しやすく、ベンダーフィーやコンサルフィーがいつの間にか膨れ上がるケースは珍しくない。また、多額のコストをかけたものの、最終的に思うような効果が得られなかったり、導入そのものが失敗するリスクもある。

　これらを防ぐことが企業防衛につながる。問題は、誰がその投資の継続・見直し・中止を判断するかだ。竹中氏は、「IT部門やユーザー部門にとっては、自身が旗振り役である分、その上げた旗を下ろすのはなかなか難しい」と指摘する。そこでCFOの出番となる。クラウドやAIの普及で見えにくいコストが増え続ける今、CFOが積極的にIT投資のガバナンスに関与することが必要だ。