前回の記事で言いたかったことを簡潔にまとめると、「経営課題としての IT セキュリティは、リスクマネジメントに属する。」です。
経営者は、「経営」という壮大なテーマの業務を抱えています。
あまりにも壮大すぎて、その全容を明確かつ具体的に言葉で表現することは、少なくとも私には無理です。
ですが、「経営」の中の中心的な業務を(大雑把ですが)いくつかのテーマに分けて、「何々マネジメント」と呼ぶことができます。
そのうちの一つがリスクマネジメントです。
営業手腕には優れていても、数字に滅法弱いA社長がいたとします。
経理・財務などの業務はすべて担当者任せで、自分はひたすら営業活動に邁進するタイプです。
(言うまでもなくダメ経営者なのですが、事業が順調なうちは問題が表面化しにくいものです。)
| ある日、知り合いのB社長の会社が倒産したことを知ります。
なんでも、少し前に複数の取引先が立て続けに倒産したことに起因する、いわゆる連鎖倒産だそうです。 経営者仲間の間では、「あそこはもともと現金預金が乏かったから、持ち堪えることができなかっんだ。」と、噂されています。 A 社長は、それを聞いて急に不安になりました。 |
|
| そして、自社に帰って開口一番、経理担当者に尋ねます。 「うちの現金預金は大丈夫なのか?」 経理担当者がどんなに優秀でも、急にこんなことを聞かれてまともに答えられるはずがありません。 まず、社長が気にしているのが「目先(今月末)の支払い」なのか、「長期的な経営の安定化」なのかが分かりませんから。 よくよく事情を聞くと後者であることが判明したので、こう答えます。
経験豊富な経理担当者なら、自社の事業内容や毎月の入出金額から、「世間で妥当と考えられている現金預金の水準」をだいたい掴んでいるかもしれません。 しかし、現状の残高で本当によいかどうかを最終的に判断するのは、経営者自身です。 上の答えを聞いて「ああ、それならひとまず安心だ。」と考えるか、「安心できないから、もっと増やそう。」と考えるか、
|
|
| まったく同じことが、「リスクマネジメント」に含まれるあらゆる小テーマに対して言えます。
その中には、当然「IT セキュリティ」も含まれます。
|
|
なので、経営者が IT 担当者に「うちの IT セキュリティは大丈夫なのか?」と尋ねた場合にも、だいたい同じような答えが返ってくることが予想されます。
「現状はこうです。
世間一般と比べて〇〇なのですが、うちがそれで大丈夫と言えるかどうかは社長が決めてください。」
安易に「大丈夫ですよ。」などと答える担当者がいたとしたら、それはダメ担当者です。
事前に経営者が「大丈夫と言える水準」を定めていて、実際にその水準を上回っていることをちゃんと確認できている場合だけに限って、
「社長から言われたレベルには達していますよ。」と答えられるのですが。
経験豊富な IT 担当者なら、自社のどこに(IT セキュリティ上の)弱点があって、どうすれば埋められるのかをだいたい掴めているかもしれません。
しかし、「IT セキュリティの強化」には、「コスト増」や「業務効率低下」といった負の側面もあります。
どの程度で「大丈夫(経営者が納得できる)」とするかは、IT 以外の様々な要素も考慮しなくてはならない、まさに「経営判断」なのです。
おわり