ITガバナンスの不在は
不正会計に相応する

 取締役会は、コンピュータのY2K(西暦2000年)問題以降も、ITへの依存度の高さに神経をとがらせている。たとえば、コンピュータ障害やサービス妨害(DoS)攻撃、競争圧力、政府規制に準拠した書類の作成や保管を自動化する必要性などから、取締役会はITリスクを強く意識するようになった。

 ところが残念ながら、ほとんどの取締役会はいまなおIT投資やIT戦略に明るくない。IT投資が設備投資全体の50%余りを占めることすらあるという事実にもかかわらず、ほとんどの取締役会が、他社のベスト・プラクティスを──暗黙的にせよ、明示的にせよ──組み合わせたルールを採用する程度というのが現状だ。自社の業務がどれくらいコンピュータに依存しているか、自社の戦略にITがどれほど貢献しているか、もれなく把握している者はほとんどいない。

 これは、いたしかたない状況なのかもしれない。というのも、今日に至るまで、経営者の視点によるITマネジメント、すなわちITガバナンスに関する基準が存在しないからである。しかし、ITシステム以外ならば、たとえば取締役会内の各委員会は間違いなくコーポレート・ガバナンス上の役割を理解している。

 アメリカの場合、監査委員会に課された役割は、GAAP(一般会計原則)と各種プロセスによって成文化されており、さらにニューヨーク証券取引所とSEC(証券取引委員会)の規制によって規定されている。

 同様に報酬委員会は、一般的に理解されている原則に従って行動し、経営者報酬を専門とするコンサルティング会社を採用して、同委員会が実施した調査の結果を立証し、その決定内容を株主に説明している。

 ガバナンス委員会にも明確なミッションがある。取締役会の構成をチェックすることと、プロセスの改善を提案することである。たしかに、取締役会が設定された基準を満たせないことも少なくない。とはいえ、少なくとも何らかの基準が存在している。

 ITシステムの場合は、参照すべき知識体系やベスト・プラクティスがないために、ガバナンスそのものが存在していない。実のところ、取締役会のメンバーには、ITリスクとコストのみならず、競合リスクについても、適切な質問を発するうえで必要な基本知識が欠けていることが多い。そのため、IT資産を管理するCIO(最高IT責任者)は、好き勝手し放題といえる。取締役会におけるITガバナンスの欠如は危険である。これは会計の不正監査に等しいリスクなのだ。

 この危険を認識し、この問題に独自に取り組み、厳格なIT監視委員会を設置している企業もある。メロン・フィナンシャル、ノベル、ホーム・デポ、プロクター・アンド・ギャンブル、ウォルマート・ストアーズ、フェデックスなどの企業は、監査、報酬、ガバナンスの3委員会同様、取締役会にIT監視委員会を設置している。

 これらの企業では、IT監視委員会が、CEO、CIO、経営陣、取締役会を補佐しながらIT関連の事項について決定したり、コスト高のプロジェクトを管理したりしている。その結果、競争優位を獲得している。