提升治理的要点

伊藤哲也　合伙人

德勤东京事务所　企业风险管理服务

在经营活动中利用IT这一做法最初起源于利用大型计算机提升简单事务的处理效率，此后发展为用IT支持经营决策，IT也逐渐进化为一种经营上的战略资源。客户端服务器型系统的出现使系统小型化，且系统导入成本缩减；而在此进程中，各式各样的业务及部门开始使用系统，也出现了因各部门系统规格不一且系统较为零散、东拼西凑而妨碍了企业整体效率和管理水平的情况。为了应对这种情况，我们需要实行具有统一性且有秩序的治理。

日本于1999年3月由通商产业省（现经济产业省）发布了《如何提升企业IT治理》一文，将IT治理定义为“以构筑企业竞争优势为目标的IT战略的制定、实施和管控，以及将企业向目标方向引导的组织能力”。此外，2014年7月公布的《金融监测报告》又将其定义为“整合IT战略与经营战略或事业战略，以更为有效稳定地运行已导入系统的管理层姿态”。在这些定义中，经营者均以IT战略为轴心对组织进行管理和控制。

对此，作为全球观点被引证的IT管治协会提出的COBIT（注：COBIT（Control Objectives for Information and related Technology）由ISACA^®开发的有关信息及其相关技术的管理和治理框架。1996年发行初版，2012年发行的第5版为最新版。ISACA^®的活动在世界范围内开展的同时，实际上也成为业界标准。）中，认为IT治理“应当通过实现效能及优化风险水平和资源利用，使企业能够从IT中创造出最佳的价值”（2012年4月《A Business Framework for the Governance and Management of Enterprise IT》），将重点放在创造价值上，从不同的角度对IT治理进行了定义。COBIT最初也是从IT审查的角度构建的，但每次修订其范围逐渐扩大，增加了IT控制及IT治理的内容。最新的COBIT 5已经涵盖了企业IT治理的内容。

近年来，企业治理的强化更多地是通过设立社外董事等人事措施的实施而受到瞩目，但社外董事本身仅是一种手段，我们同样应考虑其目的。2014年5月自由民主党的日本经济再生本部公布的《日本重振展望》中提到，“以跨国企业为中心，考虑资本成本，强化企业治理，并让其致力于持续提高企业价值十分重要”，且修改公司法的宗旨中也提到“通过设置社外董事等途径谋求强化对公司经营的审查，及公司及其所属企业集团的运营的进一步优化”，由此可以认为通过强化治理来实现企业价值的提高已经成为一种社会性的需求。加之IT作为经营中重要的课题之一，IT治理也自然属于企业治理的范畴，有必要考虑其对企业创造价值产出的贡献。

为了实现价值创造，灵活利用COBIT的框架对提升IT治理是十分有效的手段。IT治理可被看作是在经营者的主导下，为使系统有效稳定地运行，最终实现企业目标而进行管理的过程，即从IT出发产出最佳价值的手段。

将IT治理与提升企业价值相结合，不仅应考虑“风险管理”或“安全防护”等领域，同时也应考虑整个企业，考虑合适的“战略管理”或“资源最优化”等流程。最重要的是建立一种高度，使IT全面覆盖这些管理范畴。

战略管理应当“为了向所期望的未来商业环境迈进，提供现有业务环境及IT环境，以及未来的方向及策略的整体情况”。战略管理作为确定企业治理“统一性”及“应有姿态”的方针，也应当披露IT战略并确定发展方向，调整各部门利益关系，开展系统的管理。此外，保证资源最优化的定义是“为以最佳成本有效地支持企业目标，确认是否可利用合适且充分的能力资源（人员、流程、技术）”，需要企业紧跟发展迅速的IT步伐，及时确认是否能以最适合企业自身的方式充分运用IT。

构建IT治理时需要考虑方方面面，本文着重以管理流程、支持管理的组织、人才及监测体制为重点进行讨论。

COBIT5的框架定义了五个原则，第五个原则强调了“管理和治理的明确区别”。管理层的任务主要是在被委任的范围内按部就班地执行计划、构建、实施、监测等一系列流程；而与之相对的治理则更进一步，“对利益相关者的需求、状况及选择行为进行评价（Evaluate），根据优先顺序和决策进行定向（Direct），对成果、合规及既定方向和目标的进展进行监测（Monitor），从而保证企业目标的实现”，重点是在这三个流程中控制IT管理层面的一系列流程，并构建相关体系。

以日本企业中具体的课题和改善措施来说明以上流程的应用（见表1）。

表1　治理流程与日本企业课题范例

实践IT治理，需要有具有强大权限的组织支撑。同区分IT治理和IT管理一样，需要明确分离实际监督（董事会等）和执行（各事业部门等）的IT治理形态，并采取统一的方法向监督方准确、充分地授权。由此可以将从前零散的部分进行整合并推进。

然而，组织不仅仅是通过这种授权开展活动，由于治理的风格因所在国家及其法律制度的不同而各异，对于董事会是否能够担任实际IT监督及如何运营都需要慎重讨论。此外也需要考虑所授权的权限范围。欧美的跨国企业中实现了中央集权化治理的例子较多，相较之下日本企业则实行以某种单位划分的分权化，尤其对于IT采用交由各国乃至各公司管理的管理方式，且大多还未达到治理层面。考虑到IT要通过网络连接，发生事故时可能殃及其他，从风险管理的角度来说进行一定程度的治理是十分必要的。

实际应对方面，部分企业会以复核新技术的导入战略或IT项目的跨领域监测等为目的，在董事会下设置由该会成员组成的IT监视委员会。董事会及IT监视委员会作为监督方可严格确认执行方是否活用IT进行各种活动帮助提升企业价值，以此谋求进一步提升IT治理的实效性。

COBIT5认为，“在几乎所有的企业中，治理是董事会的责任，受会议主席的领导。”美国企业的治理风格是由会议主席在董事会上获得领导权，由CIO或系统负责委员担任执行者。领导者的作用是确保IT治理流程的落实，洞悉需求，为执行者提供战略上的选择，提供IT的定向并对成果进行监测。虽然并不建议由对IT技术一窍不通的人员负责，但具体负责人员也并不需要对IT十分精通。在这个职位上，反倒是能够纵览事业整体，能够具备调整各种利益关系的领导能力更加重要。例如，在企业的收购和合并中同时考虑IT方面的事宜，其意图并不是仅仅考虑IT。

此外，并不是说CIO、系统负责委员及系统负责部长等对确保系统稳定、有效运行的职责不再发挥作用，重要的是导入新技术时应仔细甄别。除了业务需求，权衡导入系统的性能、未来的延展性、运行的稳定性和可用性，以及安全和成本等要素仍旧是十分重要的业务。欧美型的CIO尽管有时需要领导商业模式的变革，但实际上大多并未起到该作用。在日本企业中也有业务、事务的责任委员或COO来兼任CIO的情况。

为构建IT治理并成立运营委员会，有必要建立相应的监测体制。为实现有一定秩序的治理，有必要制定统一的规定，因此需要逐一确定统一的对象和程度、报告对象、非常规事项的处理方案等。尤其在很多日本企业中都存在尽管规定十分严格但实际并未执行的情况，因此规定的通用化适度实施即可，而在此基础上增加沟通机会则效果会更好。随着企业规模的扩大，其所制定的规定、应遵守的法规等的数量也相应增多，相互依存的关系也变得复杂。此外，有必要针对这种复杂化快速地掌握风险状况、项目进度及投资组合的情况。因此，部分企业也开始导入系统化GRC工具等进行管理。对于日本企业来说，由于要遵循基于金融商品交易法的内部控制报告制度，很多企业依然通过表格计算软件来管理内部控制风险，因此，通过灵活运用管理工具，仍有改善的空间。

此外，还可有效利用内部监察，对于是否进行了报告，是否发生了意外等问题进行把握。内部监察的定位及所拥有的权限需要根据综合治理的体制进行重新评估。

在企业治理中，为满足各方利益相关者的需求，需要更加优化治理，更加清晰地说明各项职能。IT作为企业的一项关键要素，IT治理也有必要遵循这一趋势。尽管为实现更完善的治理，积极采纳全球化观点是一种十分有效的做法，但同时也有必要从不同制度或文化的差异出发，考虑现实的折衷策略。

参考文献

[1]企业风险44号《企业治理的世界潮流和对日本企业的影响》2014年7月。

[2]通商产业省《如何提升企业IT治理》1999年3月。

[3]ITGI“A Business Framework for the Governance and Management of Enterprise IT”2012年4月。

[4]内阁官房《日本复兴战略》改订2014（2014年6月24日公布）。

[5]ITGI COBIT^®5“Enabling Processes”2012年4月。