Home
Coded Chords

技術無知が経営リスクになった理由

この記事はIT部門を持たず、非技術部門だけでベンダーに作らせた業務システムを所有し運用している組織について想定しています。きっとランサムウェアで危機に見舞われているアサヒビールやアスクルを見て震え上がって、何をすればいいか焦っている組織も多いと思います。そんな組織が行なうべき第一歩として業務システム台帳の整備について解説しています。

By Toshiyuki Yoshida

No IT dept

業務システム台帳とは何か

「業務システム台帳」とは、組織が所有する業務システムを記録し、一覧化する台帳です。重要なのは、各システムの内部構造や技術的な詳細を管理するものではないということです。

具体的には、台帳にはシステムの以下のような基本的な属性を記録します。

  • システム名。組織内で一意に識別できる名称(例。財務システム、販売管理システム、人事管理システム)
  • 業務プロセス。システムがサポートする業務プロセスの名称。これにより、システムが組織にどのような価値を提供しているかが可視化されます。前提として、組織が業務プロセスの台帳も整備していることが望ましいです
  • 業務プロセスオーナー。これも重要な属性です。システムの責任者が誰で、予算を管理しているかが明確になります。これがないと、システムに関する意思決定やライフサイクル管理が曖昧になります
  • 重要度。システムが事業継続計画(BCP)の対象となる重要システムなのか、停止しても業務への影響が限定的なシステムなのかを分類します。リスク管理や投資の優先順位を決定するために不可欠な情報です

業務システム台帳は、ITガバナンスの最も基本的な構成要素です。組織が自分が何を所有しているか理解していなければ、適切な投資判断、リスク管理、コスト最適化は始まりません。

業務システム台帳の重要性

近年、ランサムウェアに攻撃される企業が増えています。ランサムウェアはシステムとデータを暗号化し、業務を数ヶ月にわたって停止させます。このような危機的状況において、業務システム台帳が存在しなかったらどうなるでしょうか。

何が破壊され、何を復旧すべきかを誰も把握できません。どのシステムが業務にとって最も重要でしょうか。各システムのデータバックアップはどこにあるのでしょうか。そもそも組織全体でいくつのシステムが稼働していたのでしょうか。この基本的な情報がなければ、復旧作業は極めて混乱し、事業再開は大幅に遅れることになります。業務システム台帳は危機管理のための最も基本的なインフラです。

もう一つの重要な側面は、会計要件に起因します。請負契約で開発されたシステムは無形固定資産として減価償却する必要があり、運用段階での機能強化も資産計上の対象となります。しかし、会計資産台帳だけでは、どの機能強化が資産計上に値するかといった業務システム固有の判断は難しいです。会計資産台帳と整合性のとれた業務システム台帳が必要です。

なぜ組織は業務システム台帳を維持できないのか

多くの組織は他社の災害を目撃し、危機感に駆られて台帳の整備を始めます。しかし、ほとんどの場合、台帳は作成された瞬間から忘れ去られ、やがて古くなり、闇に葬られます。

例えば、ある部門が独自にシステムを調達したが、台帳には登録されません。別のシステムは対応する業務プロセスを拡大するために大規模な機能強化を行ったが、台帳には反映されません。このようにして、台帳は徐々に現実と乖離し、役に立たなくなり、最終的には廃棄されます。

なぜこのようなことが起こるのでしょうか。マーフィーの法則は「うまくいかなくなる可能性のあることは、うまくいかなくなる」と述べています。しかも、我々はITガバナンスの確立に失敗した機能不全の組織について語っているのです。そのような組織において、人々の善意と勤勉さに頼る運用は、いずれ必ず失敗します。

では、どうすれば台帳を維持できるのでしょうか。鍵は金の流れです。部門のシステム調達も、大規模なシステム強化も、必ず金銭取引を伴います。この金の流れを捕捉できれば、台帳の変更を見逃さないトリガーとして利用できます。

業務システム台帳を維持する仕組み

前節で述べたように、鍵は金の流れを捕捉することです。業務システムに関連する財務プロセスは、予算編成、支出(調達)、固定資産会計の3つです。これらのプロセスに台帳の更新を組み込むことで、台帳を自動的に維持する仕組みを確立できます。

予算編成

業務システムを運用または変更するには予算編成が必要です。一般的に、予算は予算コードまたは勘定科目コードと予算額で管理されます。したがって、予算編成プロセスでは以下の2つが必要です。

予算が業務システムに関連する場合、業務システム台帳のレコードとリンクさせなければなりません。この段階で業務システムが業務システム台帳に登録されていない場合は、新しいシステムとみなし、台帳に追加しなければなりません。このようにして、台帳にないシステムへの予算編成を防ぐことができます。

次に、予算編成プロセスの完了時に、運用中または運用予定のすべての業務システムに予算が配分されているかを確認します。予算が割り当てられていないにもかかわらず稼働している運用業務システムのオーナーには、予算配分を義務付けます。

重要なのは、台帳を維持するために台帳の更新を要求するのではなく、台帳と整合性がとれていなければ予算処理を完了できない仕組みを組み込むことです。

支出(調達)

業務システムの導入、変更、保守には必ず支出が発生します。IT部門が確立されていない組織では、これらの支出は通常、調達部門または経理部門を通じて処理されます。この調達プロセス自体が、台帳を維持するための最も信頼できるトリガーとなります。

業務システムに関連する発注や契約は、どの予算に紐づいているかで識別できるはずです。業務システムに関連すると識別された調達については、発注時と納品時の両方で業務システム台帳とのリンクと整合性を確保することを義務付けるべきです。これにより、「部門が独自にシステムを調達したが、台帳には追加されなかった」といった失敗パターンを防ぐことができます。

調達プロセスに台帳の整合性チェックを組み込むことで、多くの企業はこのチェックを迂回した調達を逸脱、つまり「BYPASS」として扱い、要求部門にペナルティを課します。将来的には、これらのチェックは組織のITガバナンスフレームワークの一部としても機能し、導入されるシステムが組織の意図するアーキテクチャに合致しているかを確認するレビューポイントとしても機能します。

固定資産会計

請負契約で開発された業務システムは、組織の無形固定資産として記録され、減価償却の対象となります。SaaSなどのサービスベースの契約は資産として計上されませんが、発注・納品されるシステムは会計上も適切に管理しなければなりません。

IT部門がない組織では「引き渡し」を捕捉するプロセスがないため、納品時に無形固定資産台帳の更新と業務システム台帳の更新をリンクさせる仕組みが不可欠です。システムオーナーは、機能強化が資産計上に値するかを判断し、経理部門に台帳の更新を依頼しなければなりません。この整合性チェックが完了するまで検収を完了できないようなプロセスを設計することで、両方の台帳が確実に更新されます。

この仕組みには2つの効果があります。組織の会計実務が正確であれば、無形固定資産台帳には資産計上が必要なすべてのシステムが正しく記録されているはずです。この台帳との整合性を維持することで、業務システム台帳の信頼性が高まります。逆に、会計実務が不正確な場合、業務システム台帳との整合性を確保する仕組みを確立することで、不適切な会計処理を防ぐことができます。

重要なのは、この整合性チェックを検収プロセスに組み込むことで、人間の善意に依存することなく、両方の台帳が確実に維持されることです。この検証なしには検収を完了できないようにすれば、更新は標準的なワークフローの一部として自動的に行われます。

結論

業務システム台帳すら整備していない組織は、たとえ危機感に駆られて作成したとしても、それを維持することはできません。作成した瞬間から劣化し始めることは明らかです。

重要なのは、それを維持する仕組みです。金の流れに伴う避けられないプロセス、すなわち予算、調達、会計に、台帳を更新・維持する仕組みを組み込むことが重要です。

逆に言えば、この仕組みを確立するだけで、ITガバナンスへの第一歩を踏み出すことができます。難しいことではありません。システムに関連する金の流れを捕捉すればよいだけです。それすらできないのであれば、あなたの組織はITガバナンス以前にコーポレートガバナンスの基本すら備わっていません。まあ、そうなのでしょうけれど。

English version