年商規模とIT導入(&DX)能力には、大きな相関関係がある。一部ITベンチャーのような企業を除く一般的な(IT)ユーザ企業では、ある程度の規模がないとITシステムの導入・運用は難しい。
10年ほど前大手SIerの社長は「年商300億円規模なら、ERPがどんどん売れる。しかし100億円規模では(システム開発・運用を)引き受けるのは難しい」と言っていた。システムのコスト問題もあるし、要員の問題もある。日本企業のIT部門要員の比率は3%以下(*1)というが、30人規模の部門を持てるのは1,000人以上の大企業に限られるわけだ。
ところが大企業であっても、CIOを置かず(恐らくはIT部門に十分な要員を充てず)トラブルを招いた例がある。それが4~6月期利益半減の痛手をシステム更改の失敗で受けたこの企業。
システム障害のグリコ、CIOが不存在だった…純利益半減でデロイトの責任問題 | ビジネスジャーナル (biz-journal.jp)
記事を見る限り、コンサル&システムベンダーに丸投げだったと思われる。名のある企業なのでその情報を見ると、
・2023年の年商 連結3.3兆円 単独2.1兆円
・従業員 連結5,400人余 単体1,400人余
である。100億円のカベの33倍も売り上げがあるし、従業員の3%といえば160人以上になる。いくら業務にも詳しいコンサルファーム相手だとしても、個社の特徴や制約は社内でちゃんと取りまとめて、ベンダーに発注しなくてはいけない。適宜進捗を見て、問題があればそれを芽のうちに摘む、そんなことはCIOがやって当たり前である。
何度か申し上げたように、コンサルやベンダーは「自分がやってもできることだが、時間とかコストを節約するため」に使うのが正しい用法。それを全く考慮しなかったのが、今回のインシデントと減益につながったわけだ。3兆円企業でCIOがいない・・・当然CISOもいないだろう。今回は事故だったが、サイバー攻撃による事件だって起きかねない。犯罪集団からは、狙いやすい企業と見られたはずである。
*1:日本企業のIT部門の正社員は全社員の3%以下。それでも「スリムなIT部門」をお望みですか? | 経営のためのIT | ダイヤモンド・オンライン (diamond.jp)