ITと事業活動が密接になる中で従来の仕組みや考え方だけでは対応が難しい局面が多くなっている。ITマネジメントの専門家であるISACA東京支部会長の五島浩徳氏に、堅牢で継続可能な組織運営に向けて企業に求められている視点や人事を含む管理層の役割などを聞いた。
ISACA 東京支部
五島 浩徳 2015-2017年度会長兼理事
2014年Asia-Pacific CACS in Tokyo議長。米大手コンピュータメーカーに入社後、システム設計・導入に従事。外資系企業でのITの責任者を歴任し、IT関連のガバナンス、リスク管理、コンプライアンスに関して深い経験を持つ。ITガバナンス、リスク管理、セキュリティマネジメント、監査の資格を保有する。
いくつかの企業で存続が危ぶまれるような不祥事が発生しています。共通する特徴は何でしょうか。
不祥事を起こす組織には、GRC(Governance、Risk、Complianceの略)、いわゆる「ガバナンス」「リスク」「コンプライアンス」を統合した視点が不足していると思います。
健全な組織を維持していくためには、GRCに沿った仕組みをつくり、企業活動をモニタリングし、評価、改善していくことが必要で、グローバル企業や多くの日本企業でもGRCに沿った組織運営が進み始めています。
特に、現在ではほとんどの企業はITのシステム抜きでは事業活動ができなくなっています。全ての社員がネットワークにつながりメールやインターネットを閲覧し、業務アプリを操作している状況の中で、サイバーセキュリティ対応や個人情報の保護など、企業に求められる組織運営のレベルは今まで以上に高度で専門的になっています。
ところが、企業による情報漏えいなどがニュースになっていても、「うちは大丈夫だろう」という何の根拠もない、妙な安心感を持っている方が多いように思われます。日本企業では、GRCに対する理解や具体的な取り組みがあまり進んでいないことを心配しています。
なぜGRCへの理解や取り組みが進んでいないのでしょうか。
日本企業には、性善説によるマネジメントが根付いていることが大きいと思います。そのため、社員が不正を行った時に「あんなことをする人ではないと思っていました」というコメントが出てきます。
私は以前、グローバル企業でシステム部門の責任者を務めていましたが、“Need to Know, Need to Access”という「本当に必要な人にだけ知る権利やアクセスを与える」の原則で運用をしていました。
IT部の最高責任者の私ですらシステムにアクセスするための最高特権は与えられていませんでした。経営幹部であっても特権は与えず、リスクやコンプライアンスを無視した社員の不正行為を防ぐ仕組みがありました。
また、一人の社員に多くの権限を与えない職務分掌も重要なルールでした。例えば、見積もりを取り、発注を行い、支払いの承認を一人の社員に行わせる組織やシステムがあれば、不正が起こる可能性は大きくなるのは当然です。
このような、役割に応じて権限を認可し、運用を監視するのは人事や情報所有者(給与データなら人事部、財務データなら経理部など)の責任でありITは単にそれを実施するだけです。
GRCに沿った具体的な取り組みを進めていくためには何が必要ですか。
企業にとってIT化やグローバル化は事業を成長させるための大きなテーマとして、投資の加速が必要になると思います。一度、情報漏えいや大きなIT障害、不祥事が起こると影響する範囲は広く、企業の存続にかかわることにもなります。
ですから、まずはGRCの方法論をしっかりと学び企業文化の一部に統合することが今後の成長・継続活動に大変重要です。その方法論はグローバルなスタンダードを拠り所にすべきです。
ITと事業活動に関する実践的活動支援と研究において世界をリードするグローバルなNPO組織で、世界90カ国210都市以上で支部を展開するISACA(イサカ)では、監査・セキュリティ・ガバナンス・リスクマネジメントの領域で実践的管理能力を保証する4つの資格認定を行い、多くのグローバルで認められた企業運営関連のフレームワークを提供しています。
また、ISACAでは月例会やオンラインコースなどを通じGRCに関する責任者や社員への教育機会も提供しています。
ISACAの資格はITの専門家のためのものと思われがちですが、もはやITを使わない仕事はない現代では、今まで以上に多くのビジネスパーソンがガバナンス、リスク、コンプライアンス、セキュリティ、監査等の理解を深める必要があります。
東京支部には現在3200人の資格取得者が会員となり、企業の様々な部門の第一線で活躍しています。年3回行われる資格試験には毎回300人以上が受験し、実践的な資格として注目度が高まっています。
組織の不祥事や社員の不正を防ぐために人事は何ができるでしょうか。
例えば、海外子会社を監査する際に専門資格がないと現地で相手にされない場合がありますので、そうした仕事に携わる社員の資格取得を支援することが必要です。
人事が推奨する資格リストにISACAの資格を入れ、取得すると報奨金を出すという企業も多くあります。
特に、2015年6月の金融庁の監督指針では経営・マネジメント層に対して、システムを含むリスクに対する理解やリスク軽減の方策を求めており、「ITの話はシステム部門に任せている」ということではなく、人事が積極的に関わって、GRCの視点を持って経営・マネジメントが担える人材を育成していくことが急務となっています。
また、実は情報漏えいで最も多いのは内部犯行です。内部犯行の多くの傾向としては、少しの情報の抜き取りを何度か試して発覚しないことを確認した後に大量の情報を抜き取ります。
内部犯行の重大性や小さな不正の兆候もモニターしているという啓発を社員教育として行うべきです。
ISACAの資格は、人事の仕事にも役立つように思います。
IT時代における組織と人のマネジメントを実現していくためには、まず人事がGRCについて理解しておく必要があります。個人情報の取り扱いも重要になっていますので、人事の方が資格を取得することも有効です。
セキュリティの問題に対して「システムで防げばよいのではないか」という意見を聞きますが、全てをシステムでカバーするには莫大なコストや導入の時間が掛かります。
そして、システムを運用するのは人です。自社の組織や社員の行動が本来どうあるべきなのかをしっかり考えないと、どこに投資すべきかもフォーカスできません。そのためにも、GRCの方法論を理解している人材が不可欠になっているのです。