グローバルな企業価値向上を実現する
金融機関のITガバナンスとは
「わが社ならでは」のITガバナンスの定義が重要
金融庁は昨年より、「金融モニタリング基本方針」を発表した。この中では、テーマ別の「水平的レビュー」として、「ITガバナンス」をはっきりと提示しているのが大きな特徴だ。
有限責任監査法人トーマツ金融インダストリーグループの鵫巣香穂利氏は、「金融庁も金融機関のITガバナンス構築に注目しています。また、金融機関各社も取り組みを進めるところが増えています」と話す。
鵫巣氏は大手金融機関をはじめ、さまざまな業態、規模のシステムリスク全般にかかる評価やアドバイザリー業務に多数従事した経験を持つ。特に、経営統合やシステム更改のプロジェクトリスクやシステムリスクの分野では国内の第一人者だ。「ITガバナンス強化への機運が高まる一方で、その定義となると、金融機関各社、さらに同じ企業の経営層の中でも認識が異なることが多いのです」。
鵫巣氏によれば、たとえば金融庁と経済産業省のITガバナンスの定義、さらに米国のISACA(Information Systems Audit and Control Association/情報システムコントロール協会)が提唱する事業体のITガバナンスのためのフレームワーク「COBIT」のITガバナンスの定義はそれぞれ若干異なるという。「つまり、ITガバナンス構築に取り組むためには、各社においてまず、『わが社のITガバナンスとは何を指すのか』をきちんと定義し、社内で統一した認識を持って始めることが大切になります。」
経営層はもとより、経営トップから指示を受けて執行する側のリーダー、さらには外部のパートナーなども含めて、同じ方向を見て構築を進めることが大事だという。
ITガバナンスは経営者が主導して取り組むべき課題
ところでITガバナンスと言うと、個人情報の保護などITのリスク管理やセキュリティ強化などがイメージされる。これまでのリスク管理や内部統制とはどう違うのだろうか。
鵫巣氏は次のように説明する。「セキュリティの強化などは、あくまでもITガバナンスのためのプロセスの一部です。『ガバナンス』は、日本語で『統治』と訳されるため、上から押さえつけられるような印象がありますが、本来は『舵を取る』という意味なのです。つまりITガバナンスとは、システムを効率的、安定的に運営するようにマネジメントをしながら、企業の達成すべき目標を実現することで、ITから最適な価値を生み出す取り組みのことなのです」。
そのためには、事業全体を意識し、「資源最適化」や適切な「戦略管理」などのプロセスに基づいてITを包括的にカバーできるよう、ITガバナンスを構築、強化することが肝要である。多くの金融機関ではITガバナンスを強化するうえでの課題の一つとしてIT人材の確保をあげている。しかし、システム開発・運用の多くを外部ベンダーに依存している状況ではスキルのある人材を確保し、育成するということになると、IT部門の対応だけで解決するのは容易ではなくなる。
「『ITガバナンス』という言葉に『IT』が付くので、システム部門が主導するイメージを持つとすれば誤りです。むしろITガバナンスは、経営が主導して取り組むべき課題なのです。もちろん、IT部門の方のスキルやノウハウは当然必要ですが、さらに経営に近い、経営企画部門などの方々も一緒になって取り組むといった姿勢が不可欠です」と鵫巣氏は話す。