• 会員限定
  • 2016/09/12 掲載

野村證券のリスクマネジメント術、どのような「KRI」や「KCI」を設定しているのか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
3か年計画でシステムリスク管理のベストプラクティス確立を目指す野村證券。3年目を迎えた現在では、Key Control Indicator(KCI:重要コントロール指標)とKey Risk Indicator(KRI:重要リスク指標)を活用したシステムリスク管理を行い、その状況をシステムリスク・ダッシュボードを介して経営陣に報告している。具体的にどのようなレポーティングを行っているのか、またダッシュボードからの情報を実際のシステムリスクの低減にどう結び付つけているのか。野村證券 ITリスク企画課 エグゼクティブ・ダイレクターのジョン・モア氏が解説した。

執筆:レッドオウル 西山 毅、構成:編集部 松尾慎司

執筆:レッドオウル 西山 毅、構成:編集部 松尾慎司

レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama

photo
野村證券
ITリスク企画課
エグゼクティブ・ダイレクター
ジョン・モア氏

野村證券はどのようにリスクを可視化しているのか

関連記事
 野村證券がシステムリスク・ダッシュボードの運用を開始したのは、約1年半前のこと。モア氏は、「システムリスク管理のための仕組みは、膨大な量のデータを生成する。そこでそれらのデータをスキャンし、レビューして、コントロールがどのように機能しているのかを知る必要があった」と取り組みの背景を説明する。

 その際に同社は、リスク管理の対象となる4つの領域を設定。それが運用、開発、セキュリティ、管理/統制で、順番に本番稼働しているシステムに関わるリスク、開発フェーズでのリスク、ITセキュリティに関わるリスク、そして自動化やテストなどに関わるリスクだ。

 さらにこの4つの領域にはそれぞれにリスク管理の対象となるビジネスプロセスがある。たとえば運用の領域なら、システムオペレーション、ビジネス継続と災害復旧、アルゴリズム取引管理とモニタリングだ。また管理/統制の領域なら、ベンダー管理、ユーザーIDと論理アクセスなどが挙げられる。

「システムリスク管理の仕組みは膨大な量のデータを生成する。これをそのまま経営幹部に見せても理解しづらい。そこで我々は、プロファイルスコアというものを設定した。各リスクプロセスに点数を与えて、そのプロセスのリスクがどれぐらいのレベルなのかを可視化するものだ。この点数を見ることで、どこに照準を当てなければならないかが一目瞭然になる」

どのようなKCIやKRIを活用しているのか

 それでは野村證券は、具体的にどのようなKCIやKRIを活用しているのか。

「たとえば運用領域のビジネス継続と災害復旧のところでは、まず災害復旧の要件が明確に定義されていないアプリケーションの数を見ている。またフェイルオーバーテストが実行されていないアプリケーションの数も重要で、一次システムから二次システムに切り替えることができるのかなどを少なくとも年に1回はチェックしている。さらには事前に定義したRTO(目標復旧時間)が満たされていないアプリケーションの数や、フェイルオーバーの手順書が文書化されていないアプリケーションの数、その文書の内容がまったく更新されていないアプリケーションの数も指標となる」

 また管理/統制の領域におけるユーザーIDと論理アクセスに関する指標は3つで、正式に承認されていないアカウント数、役回り以上の権限が与えられているアカウント数、個人ユーザーアカウントに付与されてしまっている管理者権限の数だ。

 さらにベンダー管理に関する指標としては、評価と分類が終わっていないベンダーが占める割合、リスク評価を実施していないベンダーが占める割合、スケジュール内に完了していないリスク対策の占める割合、提供サービスの振り返り会を実施していないベンダーの占める割合だ。

 同社ではこうした指標を設け、各々を勘案して導き出される各領域のKRIをシステムリスク・ダッシュボードの中でパーセント(%)で表示し、さらに違反件数をKCIとして表している。

「実際のシステムリスク・ダッシュボードでは、たとえばユーザーIDと論理アクセスについては3つの指標から導き出されるKRIが99.4%、KCIが440といった数値で示されることになる。つまりこの領域では、99.4%の割合で目標が達成されているということだ。ちなみにKCIが440というのは、指標を満たしていないアカウント数が440あるということだが、当社には約10万のアカウントがあり、比率としては非常に低いものだ」

 さらにダッシュボードでは、こうした違反を復旧するために必要な時間も、KRIの隣に欄に表示されている。

【次ページ】野村證券のリスクマネジメントを支えるIT製品群とは

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます