ITリスクの回避傾向を緩和する：マネジャーの教科書

ITはもともとハイリスクな専門領域なのだが、中には適度なITリスクを負うことさえ避けている組織もある。リスクに対してあまりに慎重過ぎる組織は、ITの持つ潜在的な恩恵をまったく受けられない可能性がある。

[John-Murray，Open Tech Press]

　IT（情報技術）はもともとハイリスクな専門領域なのだが、中には適度なITリスクを負うことさえ避けている組織もある。リスクに対してあまりに慎重過ぎる組織は、ITの持つ潜在的な恩恵をまったく受けられない可能性がある。

　ITリスク回避の方向から、ITパフォーマンスの向上をもたらし得る適度のリスクを受け入れる方向へと組織を軌道修正するにはどうすればよいだろうか。リスクを忌避する環境が組織の風土を反映したものだとすると、軌道修正は容易ではない。じっくりと時間をかけて環境を変えていく必要がある。

　その取っかかりの1つは、より高いリスクを取ることがビジネスにどんな利点をもたらすかを役員に説明するためのプレゼンテーション資料を作ることだ。この取り組みは、リスクの増大に伴って得られるビジネス上の見返りに注目して行う必要がある。こうしたプレゼンテーションの準備に役立つ具体的な事例として、見かけのリスクを理由に大きなビジネス機会を見送った結果、組織が不利益を被った例を幾つか紹介しよう。1つは、最近開発されたソフトウェアを利用する新しいマーキング・アプリケーションシステムを提案されたものの、購入に踏み切らなかった例だ。購入の検討に際し、経営陣が、これまでにないアプリケーションの購入はリスクが高すぎる、と判断したのだった。だが、ふたを開けてみると、このソフトウェアは効果を発揮することが分かった。その結果、早い段階に新システムを導入した組織は、その活用によって業務上の相当な強みを手にしたのだった。要するに、積極的により高いリスクを取った組織が、その決断のおかげで利益を得たというわけだ。

　もう1つの事例は、IT部門におけるプロジェクト管理研修プログラムを実施するための予算計画を経営陣が拒否したというものだ。この事例におけるリスクとは、この経営陣が理解していたとおり、優秀な社員に研修を受けさせれば、競合他社が彼らを引き抜こうと目をつけるかもしれない、という点である。その結果、研修を受けさせてもらえないのは経営層が自分たちのキャリア開発に興味がないからだ、と判断したこの部門の優秀な人材の数名は転職してしまった。

　利益拡大のために比較的高いとはいえ管理可能なレベルのITリスクを受け入れることを敬遠した結果、機会を失ってしまう事例を探し出すのは難しくない。役員向けのプレゼンテーションでは、その組織の内部でリスクを管理できることを十分に検証すれば、対処できるITリスクを段階的に高められることも説明する必要がある。

　より高いレベルのリスクを取るべき問題を探索することの承認が得られたら、今度は、増大するITリスクを管理するための計画を準備する。その手順は、幾つかの新しいアプローチを試し、どの程度うまくいくかを確認して、その経験を行かして先へと進む、というものになるだろう。

　計画の骨子は、増大するリスクに対して入念な管理を行うことを経営層に保証するものでなくてはならない。計画では、どんな分野であってもリスクの増大を受け入れることに伴う損得を検討する分析の問題に言及すること。この分析の一部として、通常のレベルを超えるリスクを伴うプロジェクトのすべてに対して成功と失敗の確率が明確にされる。当然、ITのどんなプロジェクトもある程度のリスクを伴う。ここで大事なのは、IT部門が、プロジェクトの推進によってリスクが増大することを認識しており、着手前にあらゆるリスクの増大に対して必要な予防措置を講じていることを経営陣に伝えることだ。

　失敗の影響を緩和するためのプロセスを計画に含めることも重要である。この計画で最も重要になるのが、プロジェクトの進行とともに成功の度合いを計測し、それ以降で起こり得るリスクのレベルを計測する手段を設けることだ。

　プロジェクトがうまくいっている場合は、ITリスクの増大を受け入れることの利点を人々に理解してもらうために、その成功を公表すべきである。ここで大事なのは、成功事例を獲得するためにできるだけ失敗のないプロジェクトを選び、IT部門にその成功経験を通じてITリスク管理能力に対する自信を深めてもらうことである。

組織のITリスク回避傾向の評価

　技術的なソリューションが生み出される速さと市場に与える影響力を考えれば、どんな組織もそれなりのITリスクを負わずにはいられない。その際のコツは、業務遂行に過度のストレスをかけることなく組織が対応できるリスクのレベルを見極めることにある。その方法の1つが、次に示すような、組織のリスク対応度を見るための幾つかの質問に答えることだ。

• リスクを受け入れることに組織がどれくらい寛容か。保守的な風土がある場合は、IT経験に乏しい組織のように、リスクを回避する傾向が強くなる。
• 新しいテクノロジーや別のITアプローチの導入や利用が奨励され、十分に受け入れられているだろうか。価値のあるアイデアは念入りに検討されているか、それともあっさりと拒絶されるだろうか。
• 現時点で受容されているレベルのITリスクに組織がどの程度うまく対処しているか。組織が必要とする成果物やサービスを提供する能力の点から、IT部門の成功の度合いを検討すること。

　これらの質問への答えから、企業のリスク回避傾向が高すぎると思われる場合は、続いて、リスク回避の問題を緩和するための計画を練る必要がある。その目的は、リスクのレベルと、より進んだテクノロジーにかかわるビジネスアプローチの利用を増やすこととの適度なバランスを見出すことにある。

ITリスクの回避傾向を緩和するヒント

　組織におけるITリスク管理計画の策定、実施、遂行に対して責任を負う人物を定めること。この責任者は、計画を周知するとともに、リスクに前向きな組織にするための取り組みの進捗を記載した定期報告を作成することになる。また、選ばれた人物は、もっと積極的な方法でリスク回避の問題に対処できる領域の提案にも関与する。

　組織内でアプリケーションのプロジェクト管理について十分な検討を行うこと。最初の問題は、形式的な手順が準備されているかどうか、あるいは、アプリケーション開発が「経験や勘」に頼ったものになっていないか、だ。形式的な手順がない場合、その選定と導入から始める必要がある。手順が用意されている場合は、そのプロセスが適切であるかどうかを判断する。効果的な手順の導入と利用によって、進めているプロジェクトに固有のリスクが抑えられる。

　新しいアプローチやテクノロジーの導入時には避けがたい誤りに対して寛容になること。前に進むときには誤りがつきものだ。こうした誤りから学び、状況の改善のためにその経験を生かすことが、組織全体の糧になる。

　ハードウェア、ソフトウェア、方法論、アプリケーション・パッケージの別を問わず、現状とは異なるIT業務の手法を調査するための予算枠を設けること。大げさなコミットメントなしに新しいアプローチを試すための予算が意思決定の前に得られることで、リスクを抑えながら新しい方向に進むことが容易になる。

　IT予算の1％をIT人材の研修と育成に当てること。また、この予算のうちどれだけが実際に研修と育成に使われたかを監視すること。

　ITの新しい利用法を取り上げた業界セミナーへの参加を妨げる要因はすべて排除すること。

　既存の問題に対する解決策を探ったり、IT部門の製品およびサービス提供の改善をねらった新しい手法を導入するために、ベンダーとの率直な議論を促進するプロセスを採用すること。

　テクノロジーの最先端を行くリーダーを目指すのか、そのすぐ後を負うフォロワを目指すのかを決断すること。

　これが決まっていないなら、IT部門は「構築か購入か」という方針に移行すべきである。多くの組織が持つITリスクの問題の1つは、ビジネス・アプリケーションを開発する唯一の安全策はすべてを自社開発することだと信じていることにある。「構築」という選択肢しかない場合、テクノロジーを扱う効果的な方法を生み出す機会が制限されてしまう。入念に選択されたアプリケーション・パッケージ群と適切なプロジェクト管理のプロセスが用意されていれば、構築よりもむしろ購入の方が、リスクを抑え、生産性を向上できる可能性がある。

まとめ

　例えIT機能がどれほどうまく管理されていようと、ITの失敗事例は事実上どんな組織にもあるものだ。重要なのは、結果的にITで失敗するかしないかではなく、ITリスクを管理できるアプローチを生み出すことにある。

原文へのリンク