企業の基幹業務の大部分がITに依存している昨今、度重なるITトラブルやセキュリティ事故により、ITサービスに対する品質保証や体制の強化への関心が高まっています。このITSM(ITサービスマネジメント)への取り組みの手段として、ITILのフレームワークを活用したり、ISO20000への対応を行う企業が増えています。他方では、ライブドアやカネボウに象徴される粉飾決算を防ぐためのチェック機能として、内部統制の構築と報告義務が課せられる新会社法が施行され、また、日本版SOX法ともいうべき金融商品取引法の準備が進められています。ここでもITの役割は大きく、内部統制フレームワークの基本要素の一つとしても「ITへの対応」が入っています。
上記に挙げた、ITILやISO20000、そして日本版SOX法は、ITの活用による「業務の有効性、効率性を高める」という点では同じベクトルを向いています。日本版SOX法は、負の社会的背景から誕生したイメージが強く、財務報告の信頼性や法令遵守といった企業に“ブレーキをかける”役割が大きく取り沙汰されていますが、実際は事業目的の達成というビジョンを持った上で、内部統制を構築・運用する責任を求めており、「業務の有効性及び効率性を高める」観点に立ち、“アクセルを踏み”ながら、時に“ブレーキ”を求めるものです。
事業の業務プロセスの確認、評価、改善とITとが紐付けられ、企業活動の見直し機会が与えられることは、事業目的の達成のため、ITの活用を体系的に考えるいい機会と思います。
日本版SOX法の内部統制概念が、COSOの内部統制概念の目的に加え「業務の有効性・効率性」を追加している意図には、「リスク(risk)」の意味の理解を促そうとしていることを感じます。riskには、「危険を冒す」という意味もありますが、「あえて〜する、思い切って〜する」という意味もあります。企業活動において、事業目的の達成のためには、例外は必ず存在します。この法は、単に機械的にチェックをしなさいというのではなく、機械的チェックで埋められない部分を理解した上で、社員に対し“動の中に礼を持つ”ことを求めている気がします。この意味で、社風や社員教育、スキルという「人」がつくるものの健全性にも注文を出している法と感じます。
また、内部統制という言葉が一般化したため、Internal Controlという英語はあまり見かけませんが、この「control」は、生産性の向上を考え、企業内の「リスクを管理」することを行う意と同意で使われています。ここからも上述の追加はこの意を汲み、企業活動を健全にし、ドライブをかけることができればという思いがあると想像します。
さて、ITIL「フレームワーク」やISO20000「規格」、そして日本版SOX「法」は、言わば「枠」です。左記「枠」は、業績を左右する業務プロセスにおいての参考、決まりとなり、その与えられた枠組みを利用し、自社に反映することになります。また、その実現に合わせたITインフラの整備を実施したり、ベンダーなどが提供する様々な有効なツールを検討できます。企業内文化においても、業務プロセスを見直す訳なので、ある程度の影響は受けると想像できます。
但し、「枠」は「枠」であり、その役割から外れたものには、対応できるわけではありません。特に今、顕在化しつつあるのは、「枠」に関わる様々な「人」の力量や能力の問題です。上記の、“「人」がつくるものに対する健全性”に対し、具体的な教育手法を「枠」が提供をするわけではありません。また、ビジネスとして「枠」を利用しコンサルティングする、もしくは情報システム部門担当者、CIOなどの「人」のスキルや、「枠」に沿ってサービス業務を提供する現場の「人」のスキルなど、事業目的の達成に対しても大きく関わってくる「人」の育成に目が行き届かず、問題になっているところがあります。
今後、「情報サービスマネジメント下における人材育成とは」という視点から、現場に近い有識者の方々からのコラムを掲載していく予定です。現在、今後進められていく情報サービスマネジメントの中での人材育成に対する一助になれば幸いです。
|
