開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/07/30

あなたの会社のリスク指標(KRI)は、なぜまったく役に立たないのか

ガートナー ポール・プロクター氏が解説

現在、リスクを評価するためのさまざまな指標が提供されている。しかしガートナー リサーチ部門 バイスプレジデント兼最上級アナリストのポール・プロクター氏は「中にはとても悪い、不適切な指標も数多く出回っている」と指摘する。では、どのようにしてそれを見極めればよいのか。また、KRI(Key Risk Indicator:重要リスク指標)をどう設計すべきか。プロクター氏が解説する。

執筆:レッドオウル 西山 毅

執筆:レッドオウル 西山 毅

レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama

photo
企業のリスクはどう評価するべきか

あなたの会社のリスク指標は、なぜまったく役に立たないのか

photo
ガートナー リサーチ部門
バイスプレジデント 兼
最上級アナリスト
ポール・プロクター氏
関連記事
 「ガートナー セキュリティ&リスク・マネジメントサミット2015」で登壇したプロクター氏は、「御社が使っている指標には、まったく役に立っていないものがある。今使っている指標について、まず3つのテストにかけて欲しい」と現在使用しているリスク指標を見直す必然性を強調し、現在、使用しているリスク指標が有用かどうかをチェックするための3つの項目を提示した。

 1つめが“その指標が先行指標であるかどうか”で、「その指標を使えば、自社に損失が発生する前に何らかの問題が起こり得ることを教えてくれるものかどうか」だ。

 2つめが“その指標がビジネス上のインパクトに対して、正当化可能な因果関係を持っているかどうか”で、「つまりその指標が変動した時に、誰かがアクションを起こさなければならないという因果関係を、きちんと持っているかどうか」ということである。

 そして3つめが、“その指標が、実際に自社の意思決定あるいはアクションに影響を与えたことがあるかどうか”だ。

「すべての指標をこの3つでチェックし終えれば、指標の数はずっと少なくなっているだろう。しかし残っている指標はとても強力なものだ。企業はこうした強力な指標をより多く作成することが重要だ」

 またプロクター氏は、優れたKRI(Key Risk Indicator:重要リスク指標)の条件として、「明確に定義されており、ビジネス成果との間に正当な因果関係を持っていること」を挙げた。

 たとえば、「先月発生した『攻撃』の回数」は、「一般的だが価値がない」と指摘。さらに「パッチ未適用の脆弱性の数」については、役に立つ可能性はあるが、具体性に欠け、「オペレーション上の意思決定の指針にはならない」とした。

なぜITリスクはビジネス上のリスクだと認識されないのか

 それではITオペレーション上のリスク指標を、どのようにして企業の意思決定者に関連性のある指標にすればいいのか。

「よくITオペレーションにおける重要指標を提示することがある。しかし企業の経営陣は、その指標にはまったく関心がない。そこでエグゼクティブが関心を持つものに置き換える必要がある」

 CRO(Chief Risk Officer)もしくはCISO(Chief Information Security Officer)、CIO、ビジネス部門という3つの対象者を考えた時、たとえば、会社のサプライチェーンに何か問題が起きた場合には、この全員が気に留め、そこから問題は解決されていくことになる。

 これに対して、重要なシステムに重要なパッチを当てる日数が30日から60日、90日へと延びていってしまった時にはどうか。

「誰も気にしない。というのも、これは技術的な問題であり、技術担当者が対応すればいいだけの話ということになるからだ。たとえ120日、150日へとさらに延びたとしても、だ」

 そこでプロクター氏は、KRIをビジネス上の問題へと結び付ける必要性を訴える。

「たとえばITリスク上の赤信号が、CIOの黄色信号になるように、そしてビジネス部門の黄色信号になるようにつなげたらどうか。これで技術的な問題が、ビジネス指向の問題へと置き換わることになる。いったんビジネス上の問題になれば、すべてが修正される」

 ただしITリスクをビジネス上の課題へとマッピングするためには、事前に各問題間の関連性、すなわち“各対象者が気にする課題のつながりがどうなっているのか”を十分に把握する必要がある。

 たとえば、ある自動車メーカーの組み立てラインでは、90秒ごとに1台ずつ、車が送り出されてくるが、ITが原因で、ある一定時間、組み立てラインがダウンした場合、40台ある車の在庫が無くなることに直結する。その問題はIT側ではなく、経営幹部に報告される。

「ここで非常なポイントは、すべてのITのダウンタイムが報告されるのではなく、ビジネスに最も影響度の高いITのダウンタイムだけが報告されるということだ。KRIを実際のビジネスパフォーマンス上の問題、つまり経営幹部が気にするものにつなげなければならない」

【次ページ】ビジネスに影響を与える「先行リスク指標」の具体例

BCP(事業継続) ジャンルのセミナー

BCP(事業継続) ジャンルのトピックス

BCP(事業継続) ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!