IT投資とITガバナンス

主任研究員 浜屋 敏

2004年1月

要旨

ITガバナンスが注目される3つの背景

ITガバナンスという言葉がいま注目されている第1の理由は、特に金融機関に顕著に見られる傾向として、企業の合併に伴うシステム統合などによる情報システム(IS)関連のリスクが、そのまま経営リスクに直結するという意識が経営者の間に広がっていることである。また、経営者の間で、コンピュータ・ウィルスや情報漏洩などのセキュリティに対する関心も高くなってきた。ITガバナンスは、このようなリスク管理の文脈で議論されることも少なくない。

一方、2番目の背景として、ITガバナンスにもっと積極的な意味を持たせようという考え方もある。これは、IT投資の効果を高めるためには、Plan-Do-Check-Actionという経営サイクルに沿った経営者のITに対する積極的な関与や、利害関係者の役割分担が不可欠であるという認識に基づいている。カンパニー制や執行役員制度といったコーポレート・ガバナンスの仕組みを採用し、事業の遂行と監視を強化することで事業の効率を高めようという企業が増えているが、その延長としてITガバナンスにも注目が集まっている。

IT投資の評価に対するニーズの高まりも、第3の理由として指摘できる。ERPパッケージの導入などのために行った多額のIT投資は本当に効果があったのか、という疑問を抱いている経営者も少なくない。IT投資の効果を測定する手法はいくつか知られているが、IT投資の効果は他の設備のようには金額換算することが難しいため、実務で利用できる決定的な手法は存在しない。そこで、厳密に金額換算することは無理でも、例えばバランス・スコアカードのように、なるべく定量化された指標を使って、IT投資と経営戦略との整合性を評価する方法が注目を浴びている。そして、そのような方法を効果的に活用するためには、経営全体におけるITの明確な位置づけを保証するための仕組み、すなわちITガバナンスが不可欠なのである。

ITガバナンスの構成要素

ITガバナンスは、簡単に表現すれば「ITに関する『舵取り』」のことであり、重要なポイントは、[1]「ステークホルダー(利害関係者)間の意思決定構造」と[2]「ステークホルダー間の意思決定・実施のプロセス」の2点である。

ステークホルダー間の意思決定構造とは、具体的には、IS部門の組織と、IS部門・経営陣・ユーザー部門の間の役割分担である。IS部門の組織とは全社的なIS部門と事業部別のIS部門、IS子会社の役割分担のことで、多くの企業では、アプリケーション開発などは事業部別のIS部門やIS子会社に権限委譲する一方、IS全体の企画や評価、インフラ開発、セキュリティ対策、技術標準などについては全社的なIS部門が集権的に決定するという役割分担が見られる。また、ユーザー部門との役割分担については、IT投資の評価について責任を持つのはISを活用して業務改善などを行うユーザー部門であることを定めている企業もある。

意思決定・実施のプロセスとは、経営陣・ユーザー部門・IS部門間のコミュニケーションのあり方のことである。例えば、米国の研究では、IS企画のためのコミュニケーションのあり方が、経営環境の変動の大きさやISの複雑さなどの要因に合致している場合、そうでない場合よりも良いIS企画ができていることが明らかにされている。今回いくつかの日本企業に対してヒアリングを行ってみると、例えば事業環境がそれほど複雑でなく、ISも比較的単純であるにもかかわらず、IS部門と経営陣やユーザー部門とのコミュニケーションが書類中心で公式度が高すぎるために、経営課題の解決に対するISの貢献度があまり高くない、という事例があった。

企業の競争力向上策と社会インフラとしてのITガバナンス

ITガバナンスのあり方は、企業を取り巻く経営環境や、その企業が持つ戦略や組織の特性に影響を受けるものであり、どんな条件のもとでも絶対的に望ましいITガバナンスがあるわけではない。しかし、環境に合致したITガバナンスを確立することができれば、ステークホルダーの満足度や経営戦略への貢献度といったISのパフォーマンスも高くなる。また、ITガバナンスを見直すことは、ISのあり方を通して経営戦略を見直すことであり、戦略を実現するためのコーポレート・ガバナンスのあり方を再検討することである。したがって、ITガバナンスの見直しが、直接・間接的に企業競争力の強化に結びつくことになる。

ITガバナンスには、経営リスクを最小限にする効果とIT投資の効果を高める効果がある。後者の目的をもったITガバナンスは企業が競争力を高めるために独自の努力によって改善されるべきものであるが、前者のリスク管理としてのITガバナンスは社会的なインフラとしての情報システムを正確にコントロールするという意味を持っており、個々の企業の競争力向上とは異なる要素がある。したがって、リスク管理としてのITガバナンスについては、個別企業の努力によって改善することはもちろん必要だが、例えばシステム監査の社会的な意義を強化するなど、個々の企業における取り組みを超えて、社会的なインフラとして確立していくための政策的な対応も必要なのではないだろうか。