IT統制後のIT戦略

更新日: 2008/10/17
公開日: 2008/10/07

通知

企業として内部統制は必要不可欠なものであり、その実現に重要な役割を持っているのがIT統制だ。IT統制はIT組織に新たな課題を与える一方、全社的にITの存在意義を確認するきっかけともなっている。この機会に経営の方向性と合致した情報システム自体を見直す活動を強化し、IT組織自体の役割を明確にしていくことが大切だ。IT統制だけに留まらず、次の段階に踏み出すために、何が必要なのか、どのような事を実行すべきかのポイントを、事例を交えて説明する講演になった。

通知

Page 1

IT統制が与えたインパクト

株式会社日立コンサルティングシニアディレクター中村誠氏

　セッションの冒頭、中村氏は自らのクライアントの事例などから「今、内部統制対応作業のIT担当者の多くが疲弊している」と話した。なぜ今までドキュメントが無かったのか、スケジュールは守られているのかなど、責められているからだ。その結果、言われたことだけをやる「守りのIT」になってしまっている。そうすると逆にITのリスクが高まってしまう。

　これまでIT担当者は、効率的で効果的な情報システムを構築し、経営力の強化、価値向上につなげるべく努力をしてきた。しかし現実は、なかなか経営者の理解を得られないでいた。ITにはセキュリティのリスクがあり、うまく機能しないリスクもある。そこに出てきたのがIT統制だ。これはITの価値を経営者に分かってもらう大きなチャンスだ。

　加えて中村氏は「IT部門自身にもマネジメントの大切さなど、業務改善の必要性を強く意識させている」とIT統制のプラス面を指摘した。同時に業務組織もRCMや業務フローを書くことで、目先の作業だけでないフローの存在に気づくというインパクトを受けている。

現在のITの課題

　それでは、現在のITにはどのような課題があるのか。中村氏は、情報システムを社内に置いていた企業の典型的事例を紹介した。システムがコストセンターになっていたことから、コスト削減の要請が一番にあり、実態がよく見えないままに、保守・運用、開発も含めて情報子会社などにアウトソーシングした。本体側に残したのは、企画部門だけだ。人件費にも手をつけていったため、中心となる人材が流出してしまう。その結果、技術が空洞化し、機能の追加や変更が困難になるなど、情報システム全体が弱体化・硬直化してしまったというわけだ。

　現在、情報システム組織の中心は保守・運用業務になってきている。保守は、外部変化や担当ベースの要望に対応するため、システムを変更する作業だ。そしてシステムを安定して維持する作業が運用だ。

　保守・運用では、失敗が許されない。同時にスピードも求められ、忙しいために考えている暇がない。さらにJ-SOX対応とセキュリティ対策で、承認を求めて走り回る「スタンプラリー」が大変になっている。

　保守業務というのは、「サービス創造」だ。様々な粒度の様々な要望を聞いて解釈し、瞬時に対応策を企画する高度な業務スキルが要求される。さらに対象物は、自分が作ったものではない場合がほとんどだ。その一方、現状の義務を理解するための教育、育成が行われていない。

　そして中村氏が一番問題に思うのは、保守・運用が開発よりも一段低い位置に置かれている傾向があることだ。こういう環境で、本当にいい仕事ができるか、約束事が守れるか、非常に怪しい。

次の一歩は？

　IT組織を改革し、ITが企業価値向上に寄与できるようにするには、IT戦略の立案がポイントになるが、そこには二つの観点がある。一つはITを通じた、もう一つはITのマネジメント改革による経営への貢献だ。この両者を、整合を取って行うためには、エンタープライズアーキテクチャー（ITの方向性）と、ITのガバナンス（ITマネジメント）が必用だ。実行を支えるのは、身につけておくべき技術、知っておくべき情報、高いモチベーションを備えた組織の力になる。

　具体的にまず必用なのが地図と羅針盤だ。経営者、業務組織、IT組織が、ITに係わる日常の活動において、具体策の選択・優先順位を判断する上でのよりどころとする。IT戦略を実行する上ではやはり、経営者のリーダーシップが重要だ。まず経営の目指す方向を明確化し、全体の戦略策定の体制整備を行い、その上でIT戦略を策定する。

　一方IT組織はまずルールを作成し、システム開発と運用の見える化、効率化を行う必用がある。予算や人員が限られているため、効率化を原資として次のステージに向かう。そしてITリテラシー、活用のための施策を行い、情報システムの活用度を向上させていく。全体をマネジメントするプロジェクト管理、IT標準策定なども有効だ。

　その次のステージが、サービス組織への転換だ。情報システムを作る組織から、うまく使ってもらうためのサービス組織に脱皮し、そして経営に寄与するのだ。

攻めのITによる企業価値向上を

　IT統制の運用における基本は、ルールの策定と遵守だ。外部監査を受ける前の有効なチェック手法として、別工場など社内の別組織のIT担当者同士が、相互に第三者的に監査するというものがある。その際、用語やルールーが異なっていてはうまくいかないので、揃えておく必用がある。ルールが守れているかを調べるチェックリストも作成しておくといい。当然、ルール遵守のための要員教育も行わなくてはならない。

　ルールを守るのも、破るのも人だ。ルールを守るための仕掛けの導入や、投資があまり行われていない一方、IT組織への「責め」だけが厳しい状況は好ましくない。IT統制は「守るIT」だが、IT組織の価値を経営者に知らしめる効果はあった。今後はIT戦略の策定と実現による「攻めるIT」により、さらに企業価値を高めていかなくてはならない。

この記事は参考になりましたか？

印刷用を表示

IT Compliance Reviewスペシャル連載記事一覧: コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（後編）

PCI DSS最前線～全米が注目するセキュリティガイドラインを俯瞰する（後編）

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（前編）

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事