組織の不祥事や社員の不正防止で問われる人事の役割 ISACA東京支部 五島浩徳会長
ITと事業活動が密接になる中で従来の仕組みや考え方だけでは対応が難しい局面が多くなっている。ITマネジメントの専門家であるISACA東京支部会長の五島浩徳氏に、堅牢で継続可能な組織運営に向けて企業に求められている視点や人事を含む管理層の役割などを聞いた。
【プロフィル】
2014年Asia-Pacific CACS in Tokyo議長。米大手コンピュータメーカーに入社後、システム設計・導入に従事。外資系企業でのITの責任者を歴任し、IT関連のガバナンス、リスク管理、コンプライアンスに関して深い経験を持つ。ITガバナンス、リスク管理、セキュリティマネジメント、監査の資格を保有する。 不祥事を起こす組織には、GRC(Governance、Risk、Complianceの略)、いわゆる「ガバナンス」「リスク」「コンプライアンス」を統合した視点が不足していると思います。 健全な組織を維持していくためには、GRCに沿った仕組みをつくり、企業活動をモニタリングし、評価、改善していくことが必要で、グローバル企業や多くの日本企業でもGRCに沿った組織運営が進み始めています。 特に、現在ではほとんどの企業はITのシステム抜きでは事業活動ができなくなっています。全ての社員がネットワークにつながりメールやインターネットを閲覧し、業務アプリを操作している状況の中で、サイバーセキュリティ対応や個人情報の保護など、企業に求められる組織運営のレベルは今まで以上に高度で専門的になっています。 ところが、企業による情報漏えいなどがニュースになっていても、「うちは大丈夫だろう」という何の根拠もない、妙な安心感を持っている方が多いように思われます。日本企業では、GRCに対する理解や具体的な取り組みがあまり進んでいないことを心配しています。 日本企業には、性善説によるマネジメントが根付いていることが大きいと思います。そのため、社員が不正を行った時に「あんなことをする人ではないと思っていました」というコメントが出てきます。
私は以前、グローバル企業でシステム部門の責任者を務めていましたが、“Need to Know, Need to Access”という「本当に必要な人にだけ知る権利やアクセスを与える」の原則で運用をしていました。 IT部の最高責任者の私ですらシステムにアクセスするための最高特権は与えられていませんでした。経営幹部であっても特権は与えず、リスクやコンプライアンスを無視した社員の不正行為を防ぐ仕組みがありました。
また、一人の社員に多くの権限を与えない職務分掌も重要なルールでした。例えば、見積もりを取り、発注を行い、支払いの承認を一人の社員に行わせる組織やシステムがあれば、不正が起こる可能性は大きくなるのは当然です。 このような、役割に応じて権限を認可し、運用を監視するのは人事や情報所有者(給与データなら人事部、財務データなら経理部など)の責任でありITは単にそれを実施するだけです。 企業にとってIT化やグローバル化は事業を成長させるための大きなテーマとして、投資の加速が必要になると思います。一度、情報漏えいや大きなIT障害、不祥事が起こると影響する範囲は広く、企業の存続にかかわることにもなります。
ですから、まずはGRCの方法論をしっかりと学び企業文化の一部に統合することが今後の成長・継続活動に大変重要です。その方法論はグローバルなスタンダードを拠り所にすべきです。 ITと事業活動に関する実践的活動支援と研究において世界をリードするグローバルなNPO組織で、世界90カ国210都市以上で支部を展開するISACA(イサカ)では、監査・セキュリティ・ガバナンス・リスクマネジメントの領域で実践的管理能力を保証する4つの資格認定を行い、多くのグローバルで認められた企業運営関連のフレームワークを提供しています。
【プロフィル】
2014年Asia-Pacific CACS in Tokyo議長。米大手コンピュータメーカーに入社後、システム設計・導入に従事。外資系企業でのITの責任者を歴任し、IT関連のガバナンス、リスク管理、コンプライアンスに関して深い経験を持つ。ITガバナンス、リスク管理、セキュリティマネジメント、監査の資格を保有する。 不祥事を起こす組織には、GRC(Governance、Risk、Complianceの略)、いわゆる「ガバナンス」「リスク」「コンプライアンス」を統合した視点が不足していると思います。 健全な組織を維持していくためには、GRCに沿った仕組みをつくり、企業活動をモニタリングし、評価、改善していくことが必要で、グローバル企業や多くの日本企業でもGRCに沿った組織運営が進み始めています。 特に、現在ではほとんどの企業はITのシステム抜きでは事業活動ができなくなっています。全ての社員がネットワークにつながりメールやインターネットを閲覧し、業務アプリを操作している状況の中で、サイバーセキュリティ対応や個人情報の保護など、企業に求められる組織運営のレベルは今まで以上に高度で専門的になっています。 ところが、企業による情報漏えいなどがニュースになっていても、「うちは大丈夫だろう」という何の根拠もない、妙な安心感を持っている方が多いように思われます。日本企業では、GRCに対する理解や具体的な取り組みがあまり進んでいないことを心配しています。 日本企業には、性善説によるマネジメントが根付いていることが大きいと思います。そのため、社員が不正を行った時に「あんなことをする人ではないと思っていました」というコメントが出てきます。
また、一人の社員に多くの権限を与えない職務分掌も重要なルールでした。例えば、見積もりを取り、発注を行い、支払いの承認を一人の社員に行わせる組織やシステムがあれば、不正が起こる可能性は大きくなるのは当然です。 このような、役割に応じて権限を認可し、運用を監視するのは人事や情報所有者(給与データなら人事部、財務データなら経理部など)の責任でありITは単にそれを実施するだけです。 企業にとってIT化やグローバル化は事業を成長させるための大きなテーマとして、投資の加速が必要になると思います。一度、情報漏えいや大きなIT障害、不祥事が起こると影響する範囲は広く、企業の存続にかかわることにもなります。
ですから、まずはGRCの方法論をしっかりと学び企業文化の一部に統合することが今後の成長・継続活動に大変重要です。その方法論はグローバルなスタンダードを拠り所にすべきです。 ITと事業活動に関する実践的活動支援と研究において世界をリードするグローバルなNPO組織で、世界90カ国210都市以上で支部を展開するISACA(イサカ)では、監査・セキュリティ・ガバナンス・リスクマネジメントの領域で実践的管理能力を保証する4つの資格認定を行い、多くのグローバルで認められた企業運営関連のフレームワークを提供しています。
