建設業界においても情報システム(IT(Information Technology))を有効に活用して業務の効率化をすることは、業績向上のためにも必要不可欠となっています。

一方、最近の報道でも明らかなように機密情報の漏えいや個人情報の流出、また自然災害や人的ミス、 システムの処理能力不足などから起こる大規模なシステム障害が原因で企業の活動休止が相次いでおきています。つまりITの利用を促進し、かつ適切に管理するということは、 経営の大きな課題になってきているといえるのです。

そこで本稿では、経営者の皆様が、情報システムを利用し管理するにあたっての3つのキーワード「ITガバナンス」「システム管理基準」「CIO」について考えていきます。

社内の情報システムについて以下の設問について考えてみてください。

1	：	社内にどれだけの情報システムが動いているかを把握していますか？
2	：	それぞれの情報システムは、誰がどのような目的で使用していますか？
3	：	情報システムが突然動かなくなったときに企業に与える影響はどの程度ですか？

「ITガバナンス」とは、組織の目標を達成するために、ITにかかわる業務を統制してITの価値を最大化させるものです。 通商産業省(現　経済産業省)からは、1999年に『企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、 あるべき方向へ導く組織能力』と定義されており、コーポレート・ガバナンスの中のひとつといえます。

例えば、前述の3つの設問に対して回答がすぐにできるときには、「ITガバナンス」がある程度構築されているということができます。

特に、最後の設問には、企業活動の休止だけではなく、社会全体に影響を及ぼす可能性も秘めているため、影響の有無を把握し、 その影響に対する対応策を検討するなどが必要です。

「ITガバナンス」を有効に機能させるためには情報システムへの投資の有効性の評価や情報システムの企画・管理・運用する仕組みを整備する必要があり、 そのガイドラインとして、「システム管理基準」の利用が有効です。

経済産業省は2004年10月に従来の「システム監査基準」を改訂し、「新システム監査基準」と「システム管理基準」を策定し、公表しました。 また「システム管理基準」の策定にあたっては、システム管理のフレームワーク「COBIT(Control Objectives for Information and related Technology)」を参考にしたといわれています。

なお、COBITは1996年に米国情報システムコントロール財団(ISACF : Information System Audit and Control Foundation)によって策定されました。

「システム管理基準」では、企業が情報システムに係るリスクのコントロールを適切に整備・運用する目的として、以下の4項目をあげています。

1	：	経営方針や戦略目標の実現に貢献する。
2	：	目的を実現するよう安全、有効、効率的に機能する。
3	：	内部及び外部への報告する情報の信頼性を保つように機能する。
4	：	関連法令、契約または内部規程等に準拠する。

「システム管理基準」には、企業が経営戦略に沿って効果的な情報システム戦略を立案し、「全体の最適化計画の作成」などが実践規範として287項目にわたり提示されています。 また附則には、情報セキュリティの確保も記載され、「ITガバナンス」の構築のガイドライン作成の参考になるといえます。

「ITガバナンス」を活用するためには、情報システム部門がIT戦略(注1)を理解し、実行することが必要です。

その情報システム部門と経営者の橋渡しの役割を担うのが「CIO」となります。

「CIO」とは最高情報責任者やIT担当役員、情報統括執行責任者ともいわれ、企業における経営理念にあわせた情報化戦略の企画・立案などを実行する最高責任者です。

「CIO」には情報システム部門を統括するだけではなく、企業全体の情報戦略推進する責任者として、経営者に代わり情報化戦略の方針を具現化する役割があります。

具体的な役割として、企業の「IT資産管理(注2)」、「ビジネスプロセス管理(注3)」、「情報管理(注4)」と「品質管理(注5)」をIT面で統制し、また最近では、事業継続や内部統制をITの面から実現する責任者となります。

民間企業では、「CIO」は専任よりも兼任としてその役割を担っている場合が多く、また政府各府省では、官房長などが「情報化統括責任者(CIO)」となり、2002年には「各府省連絡協議会」を設置し、「CIO」の役割が着目されています。

また、「ITガバナンス」の確立や経営を混乱させるようなリスクを軽減するためには、経営者と「CIO」のトップマネジメントによるIT戦略に関する議論や意思決定が行われることが必要です。そのために一般的には役員や執行役員が選任され、経営及び事業変革の代理人として期待され、経営者に次ぐ重責を担っています。

「ITガバナンス」を浸透させるためには、「PDCAサイクル(注6)」を確立させ、継続的な改善を行わなければなりません。

現在では、情報システムにまつわるリスクを適切にコントロールすることが企業の経営課題となり、経営者やCIOが情報システムに対して果たす役割と責任は今まで以上に重大です。

そしてIT戦略やITへの投資の有効性の確認とIT組織体制を成熟させ、「ITガバナンス」を有効に機能させることがISOなどの第三者認証の取得と継続、そして事業継続や内部統制にも通じることになり、社内の統制環境を整えることにつながります。

さらに、将来株式上場を目指している企業であれば、「J-SOX法」対応も必要になりますし、上場審査でも内部統制は厳格な審査項目のひとつとなっています。今のうちに「内部統制」を整備することは、どのような規模の会社であっても不利益となることはないはずです。

(注1)	：	IT戦略…経営戦略に従って、ITへの投資や管理を戦略的に行うこと
(注2)	：	IT資産管理…企業内にあるIT資産(ハードウェアやソフトウェア)の設置や利用状況を全社的に管理し、資産配備の最適化やソフトの不正防止、セキュリティを向上させること
(注3)	：	ビジネスプロセス管理…下記の3点を総合的にIT面で管理し、業務プロセスの変化に柔軟に対応できるようにすること 1 ： 業務プロセスのデザイン 2 ： 業務プロセスに合わせてシステム間のデータフローの決定 3 ： 個々のシステム間でのデータの受け渡しを定義する
(注4)	：	情報管理…機密情報、営業情報などの社内の重要情報を管理すること
(注5)	：	事業継続…災害時に重要業務を動かす基幹情報システムを休止させない、また万が一、基幹情報システムが休止した場合に目標復旧時間内に再開させること
(注6)	：	PDCAサイクル…Plan(計画)→Do(実行)→Check(点検・評価)→Act(改善)の4つのプロセスを実施すること。 最後のActでは、Checkの結果からPlanへ継続(定着化)、修正、破棄のいずれかを選択し、次回のPlanに結びつける。 このらせん状のプロセスによって、情報システムの品質の維持・向上および継続的な改善活動を推進すること