1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. IT&オペレーション
  6. 日系金融機関のグローバルITガバナンスにおける課題

日系金融機関のグローバルITガバナンスにおける課題

2016年12月号

金融ITグローバル推進部 上級コンサルタント 奥山晋平

国内の金融機関では、海外金融機関のM&Aの実施や海外拠点の再編・強化等のグローバル展開に取り組んでいる。その際、ITの側面においてもガバナンスが課題となる場合が多い。必要な対応を円滑に進めるためには、相手を尊重したコミュニケーションがもっとも重要である。

日系金融機関のグローバル展開とITガバナンス

 日系金融機関では、国内市場の飽和を背景に、M&Aを活用し短期間でグローバルビジネス基盤を構築する動きが加速している。また、あわせて既存の海外支店・現地法人等(以下、拠点)の整理・再編などを通じ、海外戦略を見直すケースも増加している。しかし、各国のビジネス環境や言語・文化は様々であるため、既存の拠点のガバナンスについても簡単にはいかず、ましてや買収先や提携先の基盤を十分に活用し、グループとして最適なガバナンスを確立することは容易ではない。また、当局においてもグループガバナンスの強化を重要視している(※1)。こうした中、グローバル展開を進める金融機関の経営戦略においてITは重要度を増しており、グローバルITガバナンスの態勢整備は喫緊のテーマとなっている。

 ここでITガバナンスの定義を確認してみよう。国際的な非営利団体ISACA(※2)が発表したITガバナンスのフレームワークであるCOBIT5(※3)によると、ITガバナンスとは「効果の実現と、リスクレベルやリソース活用の最適化とのバランスを保つことによって、事業体がITから最適な価値を生み出すこと」と定義されている。

 COBIT5ではITガバナンスをITマネジメントの上位に位置づけている(図表)。本社IT管理部門の役割はこのガバナンスの部分であり、「方向付け」「評価」「モニター」を行うことである。「方向付け」とはIT管理方針の策定と展開を指す。「評価」とはITリスクの評価、「モニター」とは不備に対する改善計画のモニタリングである。拠点のIT管理部門の役割はマネジメントの部分で、「計画」「構築」「実行」「モニター」の実施である。

 一方、金融庁ではITガバナンスを「金融機関において、経営戦略上重要な領域に適時・適切なシステム投資を行い、導入したシステムを効率的・安定的に運用すること、また、これらを適正に統制し、組織的に取り組むためのマネジメント態勢」と定義している。金融庁の考えるITガバナンスフレームワークも目的とするところはCOBIT5と同義といえよう。しかし、実装に向けたアプローチ・方法論では異なるところも多く、ITガバナンスの実装におけるギャップとなる。

実務で直面する課題と解決のポイント

 グローバルITガバナンスについて金融機関から聞く課題として多いのは、本邦の基準がそのまま拠点で適用できるか、また拠点での基準の適用にどの程度関与すべきか、の2点である。言い換えると、監督機能(本社)と執行機能(拠点)との最適な関係の模索、態勢の構築といえる。ITガバナンスの整備は、①本社基準の整備(方向付け)、②各海外拠点の状況等の把握・ITリスクの評価(評価)、③改善のモニタリング(モニター)のステップで中期的に取り組むのが一般的である。

 ①本社基準の整備(方向付け)

 まず、本社側でのITガバナンス関連規程・基準と外部標準(COBIT5等)を比較し、外部標準に対する本社側の準拠状況を明確にする。そして、今後のグローバル標準のベースとして本社基準が活用できるのか、不足や実施内容で見直すポイントがないかを確認する。

 日系金融機関は、金融情報システムセンター(FISC)のガイドラインを参考に自社の管理ルールを定めている場合が多い。FISCのガイドラインは、時流に応じて適宜更新が図られているものの、クラウドサービスの利用などのIT技術の進化に十分対応できていない側面もある。しかし海外では、クライアントサーバシステムはもとより、クラウドサービスの利用も進んでいる。こうした技術的な違いのほか、拠点は様々な規模・業態にわたるため、本社基準が拠点にとって過度に厳しいものとなっている場合や、拠点側で重要と考える観点が不足していることもある。

 そのため、基準を拠点に一律に適用するのではなく、共通で遵守すべき必須事項と推奨事項などとを識別すべきである。必須事項は、本社でガバナンスの基本となる領域やリスクが高いと認識しているテーマ(システムリスク評価、ID管理、職責分離など)から選定するとよい。

 ②海外拠点の状況等の把握・評価(評価)

 拠点の存立形態には様々(日本の支店、M&A子会社、日本海外拠点の子会社、関連会社等)あり、拠点のITリスクの評価を行う場合にも、一律に同じアプローチではうまくいかない。特にM&Aによりグループに加わった海外拠点の立場からすると利害関係の異なる本社IT管理部門に対して心理的に距離があり、情報の正確な把握すら容易ではない場合もある。また、拠点がビジネスラインの配下に位置づけられる場合は、ビジネスラインと調整を実施する必要もある。さらに、地域統括拠点がある場合、統括拠点の活用を考慮する必要が生じる。

 拠点によっては、本活動と外部監査や内部監査との違いを明確に理解していない場合もある。一見コストがかかるように思えるが、本社IT部門の役席者が拠点を訪問し、現地の管理者にITガバナンスの方針・背景などを丁寧に伝達して意見交換を行ったうえで、評価フェーズに入ることが効果的である。

 評価の方法論としては、本社が直接評価を行う場合と拠点の自己評価結果をもとに評価する場合に大別できるが、拠点の規模・特性に応じて、適切に監督できる方法を柔軟に組み合わせるとよい。

 ③改善のモニタリング(モニター)

 拠点の評価を実施した結果、基準に劣後する事項については、拠点に改善計画を提出させ、本社でモニタリングを実施していくことになる。本社基準への対応にあたっては、拠点側のリソースが不足する場合もあるため、実情に合わせてフォローアップを行うことが重要である。

 拠点からの信頼を獲得するためには、日常のコミュニケーションのなかで拠点の要望を吸い上げ、本社の適切な担当者へ連携する、などの基本的な行動が効果的である。実効性のあるITガバナンスを確立するためには、相手を尊重したコミュニケーションを継続し、拠点と適切な信頼関係を構築することが重要である。

1) 2015年7月金融庁「金融モニタリングレポート」グループガバナンス(p25)。
2) 1969年に設立され、180ケ国に14万人の会員を有するNPO団体。
3) ITガバナンスおよびITマネジメントに関する包括的なフレームワークで2012年に最新版であるCOBIT5が発表された。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

奥山 晋平

奥山晋平Shinpei Okuyama

金融IT グローバル推進部
上級コンサルタント
専門:金融機関のリスク管理

注目ワード : クラウド

クラウドに関する記事一覧

このページを見た人はこんなページも見ています