• Bookmark

車の両輪―監督とシェアードIT―による日本の金融グループのためのグループITガバナンス態勢モデル

Yuichi (Rich) Inaba, CISA 著

COBIT Focus | 31 July 2017 English

Yuichi (Rich) Inaba 日本における独占禁止法が1990年代後半に改正され、持株会社を設立し企業グループを形成するとこが容易になったことにより、日本の金融業界では、近年、金融グループすなわち金融コングロマリットが多く形成されている状況にあります。


現在では、グローバルレベルで新しい技術が進展するにつれて、ITはますます効果的、効率的な業務運営に貢献し、デジタルトランスフォーメーションが実践されるだけではなく、革新的な技術を活用した新しいビジネスモデルの創出なども続々と実現されています。


このような状況において、日本の金融グループの持株会社は、革新的なスタートアップ企業との経営統合や、全てのグループ会社がグループシナジーによる効果を享受できるように、持株会社に集約したシェアードITサービスをグループ会社へ提供することによって、ステークホルダーへの価値を創出する機会を求めています。


ますます重要となるグループITガバナンス

2016年以前の日本では、銀行法1 の規定によって、金融グループに対しビジネス上の制約が課されていました。これらの制約によって、デジタルイノベーション企業すなわち金融技術(フィンテック)企業へ投資し、フィンテックセクターをさらに拡大することへの構造的な障害となっていました。この投資制限はまた、グループ内の重複IT業務をITサービス子会社が運営するシェアードITサービスに集約することも妨げていました。


日本の金融庁(FSA)は、技術の進展のような環境変化に対応して銀行法を改正する取り組みを始めました。その結果、2016年に銀行法が改正され、これらの規制による障壁は排除されるに至りました。


その結果、日本の金融グループはフィンテック企業の買収や、ITサービス業務のグループ内集約に向けた動きを加速させました。これらの動きにより、グループITガバナンスの重要性が増してきています。このような変革の波にさらされている金融グループの持株会社は、株主、グローバルのお客様、グループ会社の経営者や従業員、グローバル経済社会、FSA、世界各国の規制当局を含むステークホルダーへの価値を創出するため、グループITガバナンス態勢を確立し強化する必要があります。


グループガバナンスの一領域としてのITガバナンス

このような規制環境において、金融グループの持株会社がそのグループステークホルダーへの価値を創出するためには、金融ビジネスを営むグループ会社に対する効果的なグループガバナンスを確立することが必要になります。現在の新技術が進展している時代においては、事業体の運営においてITが重要な機能を担っていると同じように、ITガバナンスは事業体ガバナンスの重要な要素となっています(図表1)。2


図表1 — グループガバナンスにおけるITガバナンスの位置づけ
図表 1


金融グループの持株会社は2つの主要な必須機能、すなわち、グループ会社の監督とシェアードITの執行を実施する必要があります。この監督とシェアードIT執行は、金融グループをグループステークホルダーへの価値創出へとドライブするような、車の両輪と見ることができます。この考え方は、他のすべてのガバナンス領域に適用できる一般的なものですが、この記事ではITガバナンスについてのみ説明しています。


車の両輪:監督とシェアードIT

金融グループとの一連の様々な議論を経て、グループITガバナンスの本質は持株会社によるグループ会社のIT経営についての監督とシェアードITの執行であることが明らかになりました(図表2)。


図表2 — グループITガバナンス態勢モデル
図表 2

  • グループ各社のIT経営の監督—持株会社による監督は、ガバナンス態勢の設計および運用を行うことによって実現されます。ガバナンス態勢の設計には、グループ会社のITガバナンスのためのフレームワークの設計が含まれます。ガバナンス態勢の運用には、グループのテーマ/戦略の設定およびグループ会社の監督が含まれます。
  • シェアードITの執行—シェアードITサービスは、グループ内における共通業務や重複業務を持株会社により執行されるシェアードITサービスへと統合することによって実現されます。通常は、主な業務が他のグループ会社へのIT サービス提供であるグループ会社へアウトソースされます。シェアードITとは、主に財務報告システムや人的資源(人事)管理システム、中核のビジネスアプリケーションシステムなどの共通システムの開発および運用を含むだけでなく、グループ会社へのプロジェクトマネジメントオフィス支援や COBIT 5 で定義されているその他のプロセスの導入支援など、IT経営への支援サービスも含まれます。従来のシェアードシステムサービスに加えて、シェアードITは持株会社が買収したスタートアップ企業によるデジタルイノベーション、すなわち、フィンテックサービスの提供を含むこともあります。シェアードIT(すなわち、シェアードシステムやフィンテックサービスなど)を執行するのは、持株会社の責任です。

持株会社は個々のグループ会社のIT経営を監督する一方で、グループ会社のIT経営の一部は持株会社の提供するシェアードITの執行に依存します。この種の監督と持株会社によるシェアードITの執行は、まさに車の両輪として、グループ全体の効果的、効率的な業務を実現し、グループシナジーによる効果実現へとドライブするためのキーとなるものです。


さらに、監督機能を発揮する過程において、グループ会社へのシェアードITサービスを改善するためのフィードバックとして利用できるような、新しいステークホルダーニーズを掘り起こすことができることに注目すべきです。


グループITガバナンス態勢の構造

グループITガバナンス態勢の構造は、図表3に示されるように監督とシェアードITの執行から構成されます。当然ながら、グループITガバナンスの内容は、ステークホルダーニーズに基づくものであり、グループごとに異なるものです。その態勢はCOBIT 5によって提供されるガイダンスを活用して構築すべきです。


図表3 — グループITガバナンスの構造
図表 3


ガバナンス態勢の設計

第一に、持株会社はグループ会社を監督するためにフレームワークすなわちガバナンス態勢を設計する必要があります。図表3のセクション1.1に構築すべき項目を記載しています。


COBIT 5のフレームワークはITガバナンスのための5つの指針となる原則を提供しています。それらの原則のうち、原則4「包括的アプローチの実現」について、COBIT 5で定義されるイネーブラーモデルと共に、フレームワーク設計に対する優れたガイダンスとして検討されるべきです。


基本方針により、グループITガバナンスのための原則と方針を定義すべきです。これにより、COBIT 5の原則・ポリシー・3 フレームワークイネーブラーだけでなく、場合によっては文化・倫理・行動イネーブラーを構築することにもなります。


組織構造設計は明らかに組織構造イネーブラーの構築を意味します。


残りの構成要素、すなわちプロセスについては、プロセスイネーブラーが該当します。COBIT 5のプロセス参照モデル のうち、特に、評価・方向付け・モニタリング(EDM)プロセスについては、これらプロセス構築に関する有益なガイダンスとなります。


ガバナンス態勢の運用

第二に、持株会社はフレームワークすなわちガバナンス態勢を運用する必要があり、これにはグループのITテーマ/戦略の策定や個々のグループ会社のIT経営の監督が含まれます。


持株会社はグループ全体がどこに向かうべきか、その方向付けとしてITテーマを選択すべきです。このアクティビティはCOBIT 5の原則「ステークホルダーのニーズを充足」のガイダンスにより勧められています。ステークホルダーおよび彼らのニーズが特定され、ガバナンス目標が価値創出に設定され、ステークホルダーニーズから事業体達成目標、そして、IT達成目標すなわちITテーマ/戦略に展開されます。言うまでもなく、ガバナンスチームの経験に基づき特定されたグループの経営課題は、ステークホルダーニーズの一部として経営戦略の対応テーマとして組み込まれます。続いて、情報、サービス・インフラストラクチャ・アプリケーション、人材・スキル・遂行能力などの各資源イネーブラーの活用を含むアクションプランの策定が、グループのITテーマ/戦略として設定されます。


そして、持株会社はグループ会社のIT経営を監督すべきです。これは、グループのITリスク管理、グループ会社とのコミュニケーション、個々のグループ会社のIT経営のモニタリングから構成されます。


日本のFSAでは、金融システムは最も重要な社会インフラの一つであり、その信頼性とセキュリティが極めて重要であると考えていたので、ITガバナンスの主要な役割として、グループ全体のリスク管理に強い関心がありました。グローバルの観点では、国際決済銀行がガイドライン「銀行のためのコーポレートガバナンスの原則」4 を最近発行しており、これにはグループ全体のITリスク管理が、持株会社のグループガバナンスの重要な機能の一つであると記載されています。このような状況において、グループのITリスク管理を、個々のグループ会社のIT経営の監督機能に必要な最初の項目として特定しました。さらに、コミュニケーション管理やグループ会社のITガバナンスとITマネジメントのモニタリングが実施されるべきです。


シェアードITの執行

最後に、持株会社はグループシナジーを実現するためにグループ会社へのシェアードITサービスを提供するべきです。シェアードITは、インフラシステムやアプリケーションシステムのサービス、あるいは、グループ個社のITマネジメントプロセスの構築のための支援サービスなどが考えられます。


最近のFSAによる規制緩和により、金融グループは、グループシナジーの効果としてコスト削減や成果の最大化のために、共通あるいは重複した業務をIT子会社が運営する、シェアードITサービスに統合することが可能になりました。


さらに、シェアードITサービスはITガバナンス以外の領域のガバナンスを実現するツールとすることもできます。持株会社のビジネス部門やコーポレート部門は、それぞれの領域のガバナンス態勢を構築しており、そのためにシェアードITシステムを導入し、グループガバナンスを効率的に実施するために個々のグループ会社に対しその利用を要求するかもしれません。例としては、グループ財務報告ガバナンスのためのグループ経理システム、グループ人材の能力開発ガバナンスのためのグループ人事管理システムなどが挙げられます。


これらの領域については、明らかに、COBIT 5のプロセス参照モデルが価値あるガイダンスを提供します。さらに、COBIT 5のイネーブラーモデルにより、シェアードITのガバナンスとマネジメントを構築するための組織的な視点が与えられます。


グループ会社に対する監督実践の事例

日本のある損害保険会社では、監督フレームワークの一部として、持株会社が個々のグループ会社のIT経営を監督しています。これは、個々のグループ会社のIT経営について、グループにとって重要なプロセスの能力度を改善させることをグループテーマ/戦略として設定し、グループ会社に対しそれらプロセスの能力度を向上させる計画-実行-チェック-アクション(PDCA)サイクルを実行することを方向付けし、グループ会社のPDCA活動のモニタリングを行うといった方法で実施されます(図表4)。5


図表4 — 日本の保険グループにおけるグループ会社の監督実践の事例
図表 4


グループ会社の観点では、以下のような5つのステップで構成されるPDCAサイクルを実行します。

  • 能力度のアセスメント
  • 改善のためのアクションプランの策定
  • 持株会社との調整
  • 結果の判断と報告
  • 能力度の改善

シェアードITサービス実践の事例

典型的には、シェアードITサービスはインフラシステムサービスやアプリケーションシステムサービスですが、それらを説明するような事例は得られていません。代わりに、支援サービス提供の事例を図表5で示します。


図表5 — 日本の保険グループにおけるシェアードIT(支援サービス)の事例
図表 5


前述の保険グループにおいて、持株会社はグループ会社へシェアードITサービスとしてITマネジメントの支援サービスを提供し管理しています。これは、プロジェクトマネジメントオフィス(PMO)の支援サービスやグループ会社のITマネジメントに関するその他の支援サービスが含まれています。これらのニーズについては、グループ会社の監督に基づくモニタリングの結果やグループ会社自身からの依頼によって特定されます。


一般的には、監督の結果により、持株会社はグループ会社のIT経営の改善のためにシェアードITサービスのニーズを認識することができ、監督の結果ニーズとして認識したシェアードITサービスを提供することにより、グループ会社のITガバナンスを改善します。このように、金融グループの持株会社は強力な車の両輪—監督とシェアードIT—により、グループITガバナンスを改善し、ステークホルダーへの価値を効果的に創出することができます。


結論

経済環境のグローバル化やデジタルイノベーションの進展に伴い、日本の金融グループではグループのITガバナンスとITマネジメントの態勢を確立、構築することによって、金融グループがグループステークホルダーへの価値を創出するために重要な役割を果たしてきています。


グループITガバナンスの本質は、グループ会社への監督とシェアードITサービスの提供です。グループ会社の監督およびシェアードITシステムの運用(およびそれら機能のサポート)は、車の両輪となって、持株会社がその金融グループを価値創出のためのより効果的なガバナンスを提供するようにドライブするものになります。


このようにして、日本の金融グループは現状の規制環境の下で、デジタルトランスフォーメーションによりグループステークホルダーへの価値を創出することができます。


著者注

本記事の内容については、著者の個人的意見を表明するものであり、有限責任監査法人トーマツの公式な見解を示すものではありません。


Yuichi (Rich) Inaba/稲葉裕一, CISA

有限責任監査法人トーマツ シニアマネージャー。ITガバナンスの種々の観点から金融機関へのアドバイザリーサービス提供に従事。前職では、日本を拠点とするグローバル保険グループの持株会社のマネージャーとして、COBIT 4.1 を活用したグループITガバナンス態勢の構築に従事。その後、当該保険グループのITサービス会社において、ガバナンス・リスク・コンプライアンス(GRC)、ITガバナンス、リスク管理、情報セキュリティ管理の分野における上級エキスパートとして、COBIT 5を活用したグループのITサービス会社のためのGRC態勢を構築。ISACA東京支部の基準委員として、COBIT 5関連文書の日本語翻訳および日本におけるCOBIT 5の提唱活動にも精力的に従事。


後注

1 Financial Services Agency of Japan, English Translation of Banking Act, Act No. 59, Japan, 1 June 1981, Japan
2 Inaba, Y., “Creating Value with an Enterprise IT Governance Implementation Model Using COBIT 5,” COBIT Focus, 23 May 2016
3 ISACA, COBIT 5: Enabling Processes, USA, 2012
4 Bank for International Settlements, Basel Committee on Banking Supervision, Guidelines, Corporate Governance Principles for Banks, July 2015
5 Inaba, Y.; H. Shibuya; “Executive Management Must Establish IT Governance,” COBIT Focus, vol. 1, 2013

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.