• Search in Protiviti.com

Risk Oversight vol.67 ​ 取締役会にIT事項を説明する

取締役はIT事項についての説明を受ける際に、メッセージ を完全に理解しているでしょうか。あるいは、メッセージは あまりにも複雑で理解できないものでしょうか。以下では、 取締役会に対して IT事項の説明を行うにあたっての 3 つ の関係について論考します。それぞれの関係は、最高情報 責任者(CIO)と最高情報セキュリティ責任者(CISO)が説 明内容を整理する上で、また取締役が得るべき情報に対す る方向性に関する洞察を提供します。

今日の環境において、多くの企業は、それらのビジネスモデル がテクノロジなしでは機能しえないことから、実際には「テクノロ ジ・ビジネス」であると言えます。革新的なテクノロジは、市場に おいて差別化をもたらす要素であると同時に、破壊をもたらす 要素でもあります。テクノロジの進歩によって、ビジネスモデル の価値が半減するまでの時間は急速に短くなっています。こ れまではテクノロジに依存すると考えられていなかった産業は、 今テクノロジによって変質しつつあります。テクノロジの影響を 受けない企業はほとんど存在しません。例として、ロンドンのタ クシーやウーバー(Uber)が挙げられます。オンライン予約や、 モバイルデバイスによってタクシーの現在位置を把握し、どこか らでもタクシーを呼び、ユーザー登録情報を管理できることは、 重要な差別化要素です。結論は、テクノロジはもはや単なる 手段ではないということです。

日本語版PDF        英語版PDF

取締役から、組織が直面するITリスクに関する自身の理解が十分ではないとのフィードバックを受けることがよくあります。このフィードバックは、プロティビティが開催したラウンドテーブル やお客様の会社の取締役との対話から得られたものです。

全米取締役協会が行った2013 〜 2014 年の公開会社ガバナ ンス・サーベイによると、取締役が経営者から提供を受ける情 報の中で、ITは質と量の両面で最も満足度が低い分野とされ ています。

取締役会はITが重要な企業資産であることを理解する必要 があり、ITに関連する機会やリスクは取締役が理解できるよう な方法で伝達されなければなりません。取締役はITリスクが その重要性を増していることを直感的に認識しています。ソー シャル・ビジネス、クラウド・コンピューティング、モバイル・テクノロ ジやその他の進展は、費用対効果に優れたビジネスモデル を創造し顧客体験を高めるための重要な機会を提供します。 それらはまた、破壊的な変化や、プライバシーとセキュリティに 関するより大きなリスク、サイバー攻撃に対するより多くのエクス ポージャーを生じさせる可能性があります。

これらの変化によってもたらされる新たな課題は、実際におい て、会社が管理すべき目標が “ 移動し続けている”という状況 を作り出しています。新たなテクノロジによる破壊的革新の速 度は突発的な災害ほどではありませんが、影響の持続性とい う意味では、変化に乗り遅れた組織にとっては致命的となる可 能性があります。

また、CIOとCISOの取締役会(ドイツのように二層制が採用さ れている場合にはスーパーバイザリー・ボード)との関係は変わ り続けています。これらの動向は、現在および将来において CIOやCISOが取締役会に対して説明を行う際に直面する 環境や期待を要約するものであり、取締役会との意思疎通を ビジネスモデル、戦略、および/あるいはリスクとの関係におい て位置付けるものです。

主要な考慮事項

多くの組織において、CIOとCISOは少なくとも年に一度、ITに 関する状況について、全員が出席する取締役会あるいは監 査委員会への説明を行っています。以下は、この説明を行う にあたっての3  つの方法です。

  • 事業との関係において説明を行う─ CIOあるいはCISOは、 商品やサービスの市場への提供においてビジネスモデルが どのようにテクノロジを活用しているかや、破壊的な変化か ら生じる機会とエクスポージャーについて説明を行います。 事業と関係づけて説明を行うことにより、以下のような質問 に対する回答が提供されます。
  1. 当社は破壊的な可能性を持つテクノロジの業界レベル での進展について理解しているか。新たなテクノロジ を適時にビジネスに組み入れることができるよう、変化を 十分に先取りしているか。
  2. 新たなテクノロジが、事業目標を達成するために効果 的に導入されているか(例えば、顧客ロイヤルティの達 成、品質改善、時間短縮、コストとリスクの削減、および 技術革新の推進など)。
  3. 当社の業務は、持続的な競争優位を確保するために 必要な革新的変化を予測し、プロアクテイブに革新を 推進しているか。
  4. 事業活動を行うバリュー・チェーン内において、競争の 状況や顧客の期待、戦略的なサプライヤーおよび/あ るいは流通チャネルとの関係を変えうる新たなテクノロ ジは何か。現行の業務やテクノロジの破壊的な変化に対してエクスポージャーはどの程度であり、予測可能 な将来における事象によってどの程度その有用性が 限定されているか。
  5. テクノロジに関する能力について、アナリストや株主、一 般公衆との対話において共有すべき側面があるか。 そうであれば、その共有が行われているか。共有が行 われていないのであれば、それはなぜか。
  • 戦略の実行との関係において説明を行う─ CIOあるいは CISOは、戦略的イニシアティブが如何にして重要なテクノ ロジによって推進されているかや、それらの様々なテクノロジ の有効な機能を確保するためのコントロールの整備と実施 を組織がどのようにして促進しているかについて、明確な説 明を行います。戦略の実行との関係において説明を行うこ とにより、以下のような質問に対する回答が提供されます。
  1. 戦略的イニシアティブの実行において重要なテクノロジ は何か(例えば、成長、利益の改善、技術革新とプロセ スの改善など)。
  2. これらのテクノロジの有効な機能をどのように確保して いるか。
  3. 組織がこれらのテクノロジに対して行う投資への適切 なリターンの実現を確保するために、IT 部門と事業部 門はどのように協働しているか。
  4. 戦略を実行するためにこれらのテクノロジを導入する 上で、どのような課題に直面しているか。これらの課題 は、戦略的イニシアティブの成功にどのような影響を与 える可能性があるか。
  5. 戦略的イニシアティブを実行するために必要な信頼性 と適時性のある情報とデータを入手しているか。
  • リスク低減との関係において説明を行う─ CIOあるいは CISOは、事業に対するより広い視点で、テクノロジから生じ る可能性のある特定のリスクや、テクノロジの利用によって 部分的に低減される特定のリスクを識別します。リスク低減 との関係において説明を行うことにより、以下のような質問 に対する回答が提供されます。
  1. ITから生じる最も重要なリスクは何であり、それらのリス クがレピュテーションやブランドイメージを含む事業にど のような影響を与えるのか。これらのリスクに対する許 容度を評価しているか。
  2. 重要なリスクを受容できる水準まで低減しているか。 低減できていると考える根拠は何か。
  3. 重要なテクノロジコンポーネントに依拠したリスク対応に よって低減している重要な事業リスクは何か。このテク ノロジコンポーネントは有効に機能しているか。有効に 機能していると考える根拠は何か。

目的は、上記の3つの関係の全てにわたって取締役と共感でき るIT事項に関する説明を行うことにあります。

  1. 事業との関係:破壊的な変化を管理しているか。
  2. 戦略との関係: 寄与する価値ならびに投資に対するリ ターンを最大化しているか。
  3. リスク低減との関係:リスクが事業とレピュテーションに与 える影響を管理しているか。

上記の論考は次の2つの恒久的な原則に基づいています:(1) 事業目標はITの目標でもある、そして(2)ITリスクは事業リス クを意味する。これらの原則を用いることにより、上記の事業、 戦略、およびリスク低減との関係を踏まえた視点は、CIOにどの ように取締役会と対話すべきかについての洞察を与えるととも に、取締役にCIO から期待すべき情報が何であるのかについ ての洞察を与えます。

てきぱきとして、専門用語を用いずに、上記の事業、戦略、およ びリスク低減との関係に触れ、それらとの関係における問いに 答えることにより、取締役会との継続的な対話を促進すること ができるでしょう。この点に関して、CIOあるいはCISOは以下 の事項を行うべきです。

  • 事業を理解していることを示す─上記3つの適切な関係を 用いて、関連性のあるIT 関係の目的、目的を達成するため の計画、計画を実行するための組織的能力、および進捗を 測定する方法まで掘り下げを行います。今日の世界におい て、テクノロジはその革新を通じて事業の変革と成長を促進 しますが(事業との関係)、十分な保護とコントロールが行わ れなければレピュテーションを破壊してしまう可能性もありま す(リスク低減との関係)。取締役には、相互に関連する上 記の関係の双方について助言を求めるべきです。
  • 取締役会のニーズに焦点を当てる─取締役会は、CIOあ るいはCISO    管轄部門の運営と管理がどのように行われているかについての詳細を知りたいとは考えていません。求 められない限りは、そのような説明を行う必要はありません。
  • IT面での影響や尺度だけではなく、事業面での影響や尺 度について説明を行う─事業の全体を視野に入れ、事業 への影響に焦点を当てる必要があります。例として、「当社 のシステムの 99 パーセントは 10日以内に修復可能」という 尺度が挙げられます。この尺度は、データのセンシティビティ や残り1 パーセントのシステムの障害が事業に与える影響に ついての問いには答えていません。
  • 聞き手に照準を定める─取締役会に対する説明の目的を 理解することが重要です。取締役会議長に説明の方向性 を確認する必要があります。また、取締役会に対して説明 を行ったことがある人々から、様々な取締役の経歴や性格 について情報を得るべきです。
  • 簡潔で要を得た説明を行う─取締役は全ての情報を欲し ているわけではありません。取締役が知る必要のある事 項に焦点を当て、それ以上の説明を行う必要はありません。 複雑なナレッジは注意深く共有すべきです。取締役が記憶 に留めるべき事項を特定し、それらの事項の重要性を説明 することが必要です。質問を受ける時間も確保すべきです。 午後の遅い時間に取締役会への説明が予定されている場 合には、説明を手短に行うように求められる可能性があるこ とを念頭に置く必要があります。

取締役会は、CIOとCISOに対する期待を明確にする必要が あります。取締役のニーズ、取締役が理解していない事柄、そ してITにおける課題と関連する事業リスクのうち取締役にとっ て最も大きな関心事は何でしょうか。また、より重要な問いは、 取締役はCIOやCISOに、何との関係においてIT 事項につ いて説明を行ってほしいのかということです。さらに、ITは元 来複雑なものであることに鑑み、取締役の CIOやCISOに対 する期待は現実的である必要があります。このため、説明に 割り当てられた時間は、取締役の説明に対する期待と釣り合 いが取れているべきです。

以下は、事業体の活動に内在するリスクに関連して取締役会が考慮すべき事項です。

  • テクノロジがもたらす機会と破壊的変化を主導および/ない しは破壊的変化への対応を行う可能性は、戦略策定プロ セスにおいて考慮されているか。あるいは、テクノロジは単 に戦略実行の手段としてより狭義に捉えられているか。
  • 取締役会は、関連する機会とリスクを含むIT 事項や、それ らの機会とリスクを管理する上での組織の能力とプロセスに ついて、十分な時間を割いているか。
  • 取締役会はCIOとの定期的なコミュニケーションに満足して いるか。そうでなければ、今後のコニュニケーションが的を 射たものになるよう、取締役会はCIOに取締役会としての期 待を伝えているか。
  • CIO組織は、変化し続ける事業のニーズを効果的に支援し、 かつ競合他社(あるいは従業員)が破壊的な変化を生み出 すために新たなテクノロジをどのように展開しうるかも含めたテ クノロジの革新状況を有効に把握しているか。CIOは取締 役会がこれらの課題を理解する上での助けとなっているか。
  • 組織が直面するサイバー脅威が増加する中、取締役会はイ ンシデント対応の準備度合いについてCISOと積極的な対話を行っているか。
  • 重要なITプロジェクトについて、取締役会は、個々のプロ ジェクトがどのように戦略的目標を達成するのかについての 基本的な想定や、プロジェクトの成功尺度を理解しているか。 個々の重要なプロジェクトが予定どおりの成果を達成するよ うフォローアップは行われているか。

プロティビティは、情報システム投資に対するリターンを最大化 し、ITリスクを最小化するために、企業経営者を支援していま す。事業戦略との整合性を確保するために強固なITガバナ ンスとプログラム管理プラクティスを活用することにより、プロティ ビティはITインフラを通じてエクセレンスを推進し、支援アプリ ケーションやデータ分析、セキュリティへと推進します。

プロティビティの包括的なITコンサルティングサービスは、お客 様が優先順位の高い事業上の重要事項に対応する目的でテ クノロジを活用するのを支援するために、以下の3 つの主要領 域をカバーしています。

  • テクノロジ戦略と業務
  • セキュリティとプライバシーに関するソリューション
  • エンタープライズ・アプリケーションに関するソリューション

全ての関連情報は

こちらへ
Loading...