企業組織では、倫理観が失われやすいものです。企業の目的が収益を上げることである以上、その構成員は収益を上げるための活動を行います。判断するための情報が具体的で、法令や一般的なマナー、ルール、社会的な規範に照らし合わせて、単純・明確に判断できる場合、コンプライアンス違反を起こす可能性は低いでしょう。しかし、不完全な情報、さまざまな立場、矛盾する責務などが複雑に絡んだ場合、意図するかしないかは別として、コンプライアンス違反を起こす可能性が高まります。
もう1つは社内ルールの問題です。社内ルールそのものがコンプライアンス違反である場合は問題外です。しかし、社内ルールはコンプライアンス違反でないにもかかわらず、コンプライアンス違反を誘発するケースがあります。それは、社内ルールが複雑で、その複雑なルールをGovernment型で厳格運用しているケースです。そして、ITシステムは社内ルールに基づいて構築されています。
企業が誕生したときの社内ルールは、それほど複雑ではなかったはずです。しかし、時間の経過に伴って社会環境の変化、事業内容の変化および組織構造の変化が起こります。ここで、その変化に対応してルールを生まれ変わらせておけば、複雑化することはありません。しかし、ルールを作り変えるには大きなエネルギーが必要です。つぎはぎを繰り返すことでルールを複雑化させてしまうことは、ある程度不可避です。
問題は現実に即していないルールを放置し、その一方でGovernment型により厳格運用することです。Government型で厳格運用し罰則を厳しくすることで、多くの構成員はルールを守るでしょう。しかし、ルール違反はなくなりません。目の前の問題を解決するために、多少のルール違反をしなければならない場合、多少のルール違反なら問題ないと考えても不思議ではありません。ルールが古くて現実に合っていないわけですから。
ITを通したコンプライアンスの実現ということを考えた場合、一般には、
法令などの把握
↓
社内ルールの整理
↓
社内ルールへの反映
↓
ITシステムへの反映
という順番をたどります。また、システム監査、内部統制監査などの当事者以外の視点を加え、PDCAサイクルを回していかなければなりません。
加えて、CIOやプロジェクト・マネージャ、ITアーキテクトの視点としては、どのような操作(一般ユーザーだけでなく特殊な権限を持つ運用者、DBAなども含めて)を行っても、「例外なく」コンプライアンスの枠内に収まるようなシステムを作るようにマネジメントする必要があります。
「関係者一同が利益を享受できる形で自らを統治」するITガバナンスを実現するためには、図4のようなGovernance型の対話と参加を作り上げ、社内ルールとITシステムを見直す「PDCAサイクル」が必要です。
今回は、ITガバナンスとコンプライアンスの関係についてお話ししました。ここでは割愛しましたが、コーポレートガバナンスとITガバナンスの関係では、コーポレートガバナンスを行うための重要な要素の1つとしてITガバナンスがあり、実務面だけでなくコンプライアンス面でも大きな役割を果たしているということを感じていただけたものと思います。
次回は、「業務力」と「ITスキル」の関係について述べます。
▼著者名 營田(つくた) 茂生
日立ソフトウェアエンジニアリング株式会社
セキュリティサービス本部 シニアコンサルタント
大学時代は構造化プログラミングを学ぶ。日立ソフト入社後、 主として保険、証券会社システムのシステムエンジニアリングに従事後、現在は「セキュア・プロジェクト・オフィス」コンセプトの展開を推進中。
Copyright © ITmedia, Inc. All Rights Reserved.