　いま多くの企業は、ITの投資効果（リスク・リターン）への意識を強め、有効な投資判断と確実な効果刈り取りができるマネジメントのプロセスと仕組みの確立を目指している。この「IT投資のマネジメント」は、従来の見積評価やシステム開発工程管理のような、「決められたシステム提供のQCD（品質・コスト・納期）のリスク管理」とは異なる。いま求められているのは、ITの提供価値と事業への貢献という視点からの「企業価値を生み出すためのリスク・リターンの管理」である。これは、従来の視点に加えて、IT投資におけるリスク・リターンの評価とその説明責任の遂行に重点を置いた考え方である。

　このようなIT投資マネジメントは、画一的な投資管理技法を当てはめるだけではうまくいかない。IT投資におけるリスク・リターンを評価するためには、他の戦略投資と同様に、自社の事業戦略や経営哲学を反映した判断が必要である。すなわち、リスクの最小化とリターンの最大化を通じて企業の存続と長期的な成長を支えるという視点から、マネジメントの仕組みを考える必要がある。

「COSO ERM」とIT投資マネジメント

　ところで、企業マネジメントの最も重要なフレームワークとして、米国のCOSO（トレッドウェイ委員会組織委員会）が定義する内部統制モデルがある。COSOは米国会計士協会などからなる任意団体で、1992年に作成された内部統制の一般モデルは、企業マネジメントのスタンダードとされている。

　COSOは現在、変化が速くしかも複雑化する経営環境のもとで、期待できるリターンが不確実化し、安定的な経営がますます困難になりつつある情勢を踏まえて、拡張版にあたるERM（エンタープライズリスクマネジメント）フレームワークへの改定を進めている。新時代のマネジメントフレームワークであるERMは、IT投資のマネジメントを考えるにあたっても重要な示唆に富んでいる。

　ERMとは、事業目的達成の合理的な保証のために、経営者や従業員によって行われ、あらゆる領域に適用されるリスク管理のプロセスである。ここで事業目的とは、言うまでもなく利害関係者に対する事業価値の提供である。

　ERMが重要なポイントとしているのは次の3点である（図1参照）。

（1）事業のリスクとは、損失の可能性だけでなく、事業価値を生み出すためのリターンの機会を逸することも含んでおり、企業の本来的な存在目的に適合する概念としてとらえる。

（2）投資効果に影響を与える潜在的な事象を事前に認識し、対策を実施する。

（3）総合的・横断的なポートフォリオの視点でマネジメントを行う。

　このERMの考え方をIT投資マネジメントにあてはめれば以下のようになる。

（1）収益増、利益拡大の機会を追求する「攻め」のマネジメントのために、従来からIT投資において評価されてきたシステム開発上のリスクだけではなく、ITによって実現できる事業上・戦略上の効果（リターン）を多様な側面で評価し、その上で投資および廃棄の判断を行う。

（2）IT投資によるリターンの最大化を阻害する要因、促進する要因を事前に洗い出し、価値を減らす「危険」と増やす「機会」に適切に対処する。また、IT投資案件の事後的な評価を、将来のリターンをより大きくするために継続的に行う。

（3）事業レベル、経営レベルの視点から全体最適を意識した投資評価を行う。すなわち、個々のIT投資案件の評価だけでなく、事業戦略や経営戦略におけるIT投資案件の位置づけや役割を踏まえた上で、IT投資全体の評価を行う。

　各社がそれぞれのIT投資マネジメントの仕組みを検討する場合、上記のポイントを念頭に置いて、自社の経営管理システムや財務部門における投資制度との調和を図ること、公式の経営管理の仕組みとして組み立てること、そして事業活動の一環として、PDCA （Plan－Do－Check－Action）サイクルをIT 投資プロセスに組み込み、連続した事業活動として機能させることが肝要である。