1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. IT&オペレーション
  6. デジタル時代のITガバナンス―ビジネスIT導入の統制と推進の…

デジタル時代のITガバナンス―ビジネスIT導入の統制と推進の在り方―

2016年11月号

金融ITコンサルティング部 上級システムコンサルタント 横田繁樹

デジタル化の進展により、企業ではITを活用した先進的なサービスで事業を拡大しようとする動きが活発化している。スピードを優先する業務部門が主導するビジネスITの導入にはリスクがあるため、IT部門も関与し、ビジネスITの統制と推進を図る対応を行うべきである。

 昨今、金融機関では、競争優位獲得のためにFinTechに代表される先進技術を活用し事業拡大に直接貢献するITサービス、いわゆる「ビジネスIT」への取り組みが喫緊の課題となっている。

 一方で、IT部門の多くは依然として既存システムの機能改善や制度対応、老朽化対応に追われているのが現状である。特に、中堅の金融機関では、基幹システムの共同化や外部サービスの利用によるITコストの削減を推し進めた結果、IT部門の要員までもが削減され、組織の縮小や技術力・目利き力の低下が顕在化していると考えられる。さらに、既存システムの維持保守のための調整や事務処理に多くの時間が割かれ、新しい技術・サービスの情報収集、スキルアップへの取り組みができないという課題に直面している。

 このような状況の中で、営業部などの業務部門は、ビジネスITの導入をIT部門に頼ることにより、かえって実現のスピードやサービスの充実面でリスクになると考える傾向にあり、IT部門を除外して、直接ベンダーとビジネスITの導入を推し進めようとする事例が増えている。

業務部門主導によるビジネスIT導入のリスク

 業務部門がIT部門抜きで直接ベンダーと協業し、ビジネスITを推進することについては、いくつかのリスクがあると考えられる。

 ビジネスITは顧客に近いところで展開されるサービスであるため、顧客の個人情報の取り扱いなど、セキュリティの確保が重要となる。特に金融機関においては、顧客情報が漏えいした場合、信用を大きく損なうことになる。しかし、業務部門がビジネスITを展開する場合、組織として守るべき情報、セキュリティの考え方、セキュリティポリシーの理解、技術面での対策などについて、十分な考慮がなされないままスピード優先でサービスが展開され、その後に顧客情報漏えいなど、セキュリティ事故が発生し、組織の信用が失墜する事態が懸念される。

 また業務部門は、ビジネスITを導入した際のビジネス価値については十分吟味するが、導入の実現性については深く確認するだけのスキルを持ち合わせていない。ベンダーのプロジェクト管理能力が低かったり、既存システムとの接続に技術的な問題が発覚したりすることで、ビジネスITの導入が計画通りにいかないリスクがある。

 その他にも、ビジネスITの拡張性や保守性が乏しく、導入後の利用者増加に柔軟に対応できなかったり、機能追加を容易に行えなかったりすることで、ビジネスの拡大を妨げるリスクが考えられる。

IT部門によるビジネスIT統制の必要性

 今後、業務部門がビジネスITの企画・推進を主導していくことが増えると想定されるなか、IT部門は既存システムの維持保守だけをしているわけにはいかない。業務部門が先進技術・サービスを戦略的に自社に取り込み活用していく際には、自社内におけるITの専門家としてIT部門が関与し、リスク低減を図るべきである。また、業務部門が求めるスピードを実現するために、ビジネスIT全体を統制する仕組みをあらかじめ整備することによって、ビジネスITの推進を図るべきである。

(1)ビジネスIT導入判断の対応

 ビジネスITの導入に際し、その適切性を判断するためIT部門が確認すべき主なポイントを3つ挙げたい。

 1つ目は、ビジネスITのセキュリティに関する確認である。ビジネスITが取り扱う情報の機密性を確認し、適切なセキュリティ対策が実施されるか確認する必要がある。巧妙化するサイバー攻撃への防御や検知のための技術的な対策だけでなく、アカウント管理やデータ管理の手順、セキュリティインシデント(セキュリティ上の脅威となる事象)の対応手順、セキュリティ管理体制など、運営面での対策も必要である。加えて、入退室管理が徹底されている安全な場所にビジネスITを設置するなど、物理的な対策についても確認すべきである。クラウド事業者に機密情報を預ける場合には、セキュリティ管理規定や運営体制について不備がないか確認する他、サービス利用終了時にデータの消去をどのように担保するかあらかじめ確認する必要がある。

 2つ目は、ビジネスIT導入の実現性に関する確認である。FinTechのベンチャー企業など、過去に取引がないベンダーを採用する場合には、技術力や革新性だけでなく、他社での利用実績や導入時に問題がなかったかなどを確認し、信頼できるベンダーであるか見極める必要がある。先進技術であるが故に実績が乏しい場合には、まずはトライアルを実施して事前検証することを業務部門に提言することが望ましい。

 3つ目は、ビジネスIT導入後の継続利用に関する確認である。ビジネスITは、収益面での効果が不確実であるため、まずは小規模で導入する場合がある。ビジネスITの導入後、想定以上に利用者が急増することも考えられるため、柔軟かつ迅速にシステム基盤を増強できる拡張性があるか、あらかじめ確認することが重要である。また、ビジネスIT導入後の機能改修や障害対応などの保守サポートの有無を確認しておくことも必要である。

(2)ビジネスIT導入に関するルールの明確化

 ビジネスIT導入の都度、IT部門が確認すべき事項を検討していては、業務部門が求めるスピードでの対応は困難であり、また案件を任された担当者のスキルに依存することで確認すべき点が漏れる懸念がある。そのため、ビジネスIT導入判断のためのルールを明確にし、チェックリストをあらかじめ整備しておくことが望ましい。そのリストに則って業務部門とビジネスITのベンダーがセルフチェックした結果をIT部門が確認することによって、業務部門とIT部門の社内調整を短縮化でき、双方の負荷を抑え、スピード感を持ってビジネスITを導入することができる。

 ビジネスIT導入に関するルールを明確にすべきである一方で、現状のIT部門の人的リソースとスキルでは限界があることは既に述べた通りである。喫緊の課題であるビジネスITの導入に向けてIT部門が早急に対応するためには、外部パートナーを活用する手段も考えられる。ただし、すべてを外部パートナー任せにせず、IT部門も一体となって取り組むことにより、ビジネスITの導入に関わる知見とスキルをIT部門内に意識的に蓄積していくことが重要である。

 金融業界を取り巻く環境が大きく変化している今、IT部門は企業価値の向上に貢献するビジネスITに関与し、経営層および業務部門から信頼される存在として価値を発揮し続けていくべきである。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

横田繁樹Shigeki Yokota

金融ITコンサルティング部
上級システムコンサルタント
専門:金融機関のIT部門運営強化、IT構想策定

このページを見た人はこんなページも見ています