今回と次回は,内部統制を確立するためのマネジメントについて考えてみましょう。
「チョット,言わせて」コーナー:
内部統制に関する規定を作成して守らせるというが。
CIOが,お膝元の情報システム部門を統制するには,どのような手段が有効なのでしょうか。まず,規定を作成することは,避けて通れません。例えば,「情報システム部門の業務マニュアル」とか,「情報管理業務規定」(以下,この名称を使う)などといわれます。
「個人情報保護規定」や「情報セキュリティ管理規定」が既にある場合でも,「情報管理業務規定」を作成する必要があります。
この大きな特徴は,ITプロセスのすべてについて,マネジメント・フレームを示すとともに,使用する具体的な書式,チェックリスト,運用の手順などを網羅していることにあります。
CIOは,これらの規定を定めて「ただ,守れ」というだけで,よいはずはありません。
このことは,ISOの品質マネジメントシステムや環境マネジメントシステムを導入するときにも,同様のことが言えます。審査員や監査人および内部監査での指摘事項をその都度,是正することだけを何度繰り返しても,情報システム部門の内部統制は,確立できない可能性が高いのです。これは,ISOの認証取得企業が,不祥事を繰り返す現実が物語っています。
CIOは日常のマネジメントを変えなければいけない
立派な「情報管理業務規定」を苦労し,コストを投じて作り上げたとしても,ITプロセスと情報システム部門の日常の業務が,このルールによって運用されていなければ,内部統制が確立されているとはいえません。
つまり,日常行われているITプロセスに関連する「情報管理業務」のマネジメントを着実に改善することによって,結果的に内部統制を確立していくことが,CIOのマネジメントに求められているのです。
下の図を見てください。
PDCAでは力不足
マネジメントというと判で押したように,「Plan-Do-Check-Action」を唱えるのが一般的です。しかし,よく考えてみると,この考え方では,審査員や監査人からの指摘事項を「その都度,改善対応すればよい」イコール「場当たり的でもよい」ことになりがちです。
実際に,内部統制の先輩格であるISOのサーベイランスや更新審査には,このような現象が多く見られているのです。
つまり,管理者が,ルールを定着させようとPDCAを唱えただけでは,ルールが日々の業務に定着しないのは明白です。例え,PDCAを「実行しているつもり」でも「場当たり的」「その場しのぎ」になっていることに,気づかない管理者が多いのです。
CIOは,マネジメントを見直す必要があります
ITがこれほどまで世の中で騒がれていないうちから,「マネジメントはPDCAサイクルをまわす事だ」と教えられてきたわけですが,少し疑ってかかってもよいかも知れません。
これまで述べたように,必死になってこのPDCAサイクルをまわしてきたけれど,前述したように,決してうまくいっていないのですから。
次回の後編は,どのように見直したらよいかを説明します。
CIO川柳コーナー
前回の川柳である「任せたら アウトソーシング ひどいもの」の意味するところを説明します。
情報システム部門に「アウトソーシング」を提案してくる会社は,コンサルタント会社,コンピュータ・メーカー,コンピュータ・ディーラー,ソフトウエア・ハウス,SIerなどのITベンダーなどシステム・パートナがほとんどです。このような会社は,提案段階で「安心です,任せてください!」を連発するのが,通例です。
ところが,現実に「任せたら」,トラブルも後を絶たないのです。トラブルの種類も個人情報や機密情報の流出,システムダウン(停止),品質不良,大幅な納期遅延,委託費をめぐるトラブルなど,様々であり「ひどいもの」です。
アウトソーサーの技術者数の不足,技術力の不足などが根本にあるだけでなく,依頼元である情報システム部門の,システムパートナーとの関係をマネジメントする力の低下,現場部門への教育不足などを指摘できるでしょう。
次の句は,次回に解説します。皆様も,考えてください。
