　ITの効率性を確保するには、カネの側面に加えてモノの側面からの管理も重要である。システムは、目には見えないが、建物と同様に長期固定資産であり物理的な構造物である。同じカネをかけても作り方と使い方が悪いと、不良資産化し長期にわたって足枷となる。そのため、CIO（最高情報責任者）には、次のような観点から専門家の目でしっかり目利きをする責任がある。

（1）技術や製品の選択は適切か。業務の要求に適した、コスト効率性の高い、十分な信頼性が確保できる、寿命の長い、標準的なものを選んでいるか。

（2）IT資産の全体構造設計は適切か。システム全体の青写真は描けているか。それに基づいて個々のシステムは整合性をもって作られているか。バラバラのシステムをその場その場の判断で作ってしまい非効率になっていないか。

（3）施工管理は適切か。設計は良くても、作る段階での施工管理（プロジェクトマネジメント）が不適切だとシステムの品質・コスト・納期は守れない。

（4）ITサービスの管理は適切か。良いシステムが作れても、その運用の仕方が適切でないと、品質の良いサービスとはならない。

（5）IT資産の活用度は適切か。システムそのものは良くても、使う側が業務にうまく活かせないと、使われないシステムや効果を生まないシステムになる。

（6）システムの改廃は適切か。いったん作ったシステムでも、業務の前提が変わったり運用効率が低下したりしたら、そのまま使い続けないで改訂や廃止をタイムリーに行うべきである。

ITリスク管理（CROの説明責任）

　リスクとは不確実性のことである。新たな内部統制の考え方では、機会への対応ができないポジティブリスクと、脅威への対応を怠るネガティブリスクという、両面の不確実性への対処が求められている。ITは事業のすべての局面に関わっているので、ITリスクは事業そのもののリスクと表裏一体のものとなっている。このため、CRO（最高リスク責任者）にとってITはきわめて重要な管理の対象である。

　ポジティブリスクの観点では、ビジネスの変化に即応できるITの備えはあるかが問われる。事業の進展に応じて、機能の拡張や着脱が可能な柔軟なシステム構造になっているかということである。

　ネガティブリスクとしては、経営不全、業務不全に陥るおそれに関するオペレーショナルリスクが注目されている。金融機関に対するバーゼルII（リスクを正確に反映させるための見直しがされた自己資本に関する新BIS 規制）や、米国のサーベンス・オクスリー法（いわゆる企業改革法）のような、内部統制の強化を求める国際標準や法令が、オペレーショナルリスクへの企業の対応を加速させている。ITが関わらないオペレーショナルリスクはほとんどない。内部統制の基準と照らしてどの業務プロセスに不備があるか、その業務プロセスを支えている業務システムはどれか、その業務システムを使っている利用部門はどこで、提供しているIT部門やベンダーはどこか、現在実行中のどのプロジェクトに影響があるか、こういったトレースが速やかにでき、整合性をもったリスクへの対処ができる必要がある。

　もちろん、ITリスクにはITの運営そのものがもつ不確実性への対処も含まれる。技術革新への備えはあるか、ITプロジェクトの不確実性への対処は適切か、ITサービスの継続性は確保されているかといった、ITそのもののリスクへの対処も当然求められている。

企業全体としてのIT活用体制が必要

　以上のように、ITの説明責任はCIOだけの問題ではなく、COO、CFO、CRO、それを束ねるCEO（最高経営責任者）という経営陣全体の問題である。企業がITを有効に活用するには、CIOやIT部門がしっかりしているだけでは不十分である。経営者、各事業部門、IT部門、利用者自身、監理部門が一体となったIT活用体制が築かれる必要がある。そのためには、経営者のIT説明責任の一環として、このような各部門における、ヒトに関するマネジメントの重要性も忘れてはならない。