ガバナンスは「いい加減」が良い？

先週金曜日のエントリーで、パスワードのルールを厳しくしすぎて逆効果だった例を挙げました。これに関連して、ちょっと前に読んだ「その情報システムが企業不祥事を誘発する」という記事を思い出しました。

要は、欧米型の内部統制がガチガチに利いたシステムは使い勝手が悪い→「カスタマイズ」して内部統制をはずしてしまう→不正をチェックできなくなる→ﾏｽﾞｰというお話です。

「（略）一切の例外を認めないようなガチガチのシステムは，利用者にとっては使い勝手が悪い。内部統制と利便性はトレードオフの関係にある。 」と書いてあって納得してしまいましたが、本来は内部統制はてんびんの片方に乗せるような話ではないので、トレードオフの関係にあるというのは正しくないですよね。とは言え、現実には利便性優先で内部統制が犠牲になることもあるのは確かでしょう。

そういえば大昔に「日本の商慣習に適合したERPパッケージを開発したので是非話を聞いてほしい」とある人から言われたので、説明を聞いたところ、「このパッケージでは、価格を決める前に発注処理をすることができます。」と言ってました。「それじゃあ会計システムと統合している意味ないじゃん。て言うか、ERPじゃないじゃん。」と心で突っ込みを入れながら聞いてました。

この例は内部統制なさ過ぎの例かもしれませんが、一般に、内部統制やガバナンスを厳しすぎずゆる過ぎずのちょうどいい塩梅で適用するのは非常に難しい課題だと思います。EA（エンタープライズ・アーキテクチャ）などでも、あまりにも厳しい標準化を適用しようとすると、立派なバインダーはできたけど誰も守らない（守れない）という状況（いわゆる、シェルフウェア（＝キャビネの肥やし））になるという話を聞いたことがあります。

内部統制やEAの話を聞いたり記事を読んだりしても、この辺の厳格性と現実性の折り合いをどうつけるかという話があんまり出て来ない気がするんですが、このへんをまじめに研究されてる方はいらっしゃるのでしょうかね？

#タイトルの「いい加減」というのは「ちょうどいい加減」という意味です。ちょっと言葉遊びしてみました。