開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/08/20

野村證券が取り組む「リスクベースの意思決定」、新たに取り入れたKCIとは何なのか

国内証券最大手の野村證券では、現在システムリスクを管理するべく、ベストプラクティスを確立する取り組みに注力している。今年度からはBIツールなどを組み合わせて、KCI(重要コントロール指標)を駆使したITリスクダッシュボードによるリスク管理を本格稼働させた。その取り組みについて、野村證券 ITリスク企画課 エグゼクティブ・ダイレクターのジョン・モア氏が明かした。

執筆:レッドオウル 西山 毅

執筆:レッドオウル 西山 毅

レッド オウル
編集&ライティング
1964年兵庫県生まれ。1989年早稲田大学理工学部卒業。89年4月、リクルートに入社。『月刊パッケージソフト』誌の広告制作ディレクター、FAX一斉同報サービス『FNX』の制作ディレクターを経て、94年7月、株式会社タスク・システムプロモーションに入社。広告制作ディレクター、Webコンテンツの企画・編集および原稿執筆などを担当。02年9月、株式会社ナッツコミュニケーションに入社、04年6月に取締役となり、主にWebコンテンツの企画・編集および原稿執筆を担当、企業広報誌や事例パンフレット等の制作ディレクションにも携わる。08年9月、個人事業主として独立(屋号:レッドオウル)、経営&IT分野を中心としたコンテンツの企画・編集・原稿執筆活動を開始し、現在に至る。
ブログ:http://ameblo.jp/westcrown/
Twitter:http://twitter.com/redowlnishiyama

photo
野村證券
ITリスク企画課
エグゼクティブ・ダイレクター
ジョン・モア氏

資産→ビジネスプロセス→ビジネスパフォーマンスで考える

関連記事
 「ガートナー セキュリティ&リスク・マネジメントサミット2015」で登壇したモア氏は冒頭、「長年、非常に受け身だったと言わなければならない」と切り出した。

「インシデントそのものに対して、法規制の審査に対して、そしてビジネス側からのさまざまな質問事項に対して受け身だった。その結果、我々は包括的なリスク管理の枠組みを経営陣に対して提供することに非常に苦しんでいた」

 同社のベストプラクティス確立への取り組みは今年で2年目となるが、モア氏は「まだまだ受け身であることがあるが、その回数は少なくなってきている。そして今経営層からは、リスクベースの意思決定を行い、これを先導するように言われている」と現在の取り組みテーマを説明した。

「リスク管理に対して、リソースを投下して意思決定を行い、それが自社のリスクプロフィールにどういう効果をもたらすのかを説明せよという“ファシリテータ”としての役割を求められている。非常にワクワクする会話ができるようになってきた。今の仕事を非常に楽しんでいる」

 リスク管理のベストプラクティスを確立するためには、今の立ち位置を確認して、今後のロードマップを描く必要がある。そしてリスク管理を考える際には、基本となる3つの原則があるという。それが「資産ベース」「ビジネスプロセスベース」「ビジネスパフォーマンスベース」だ。

 まず「資産ベース」では現有資産の状況、つまり各システム環境内のサーバやアプリケーションといったアセットごとにその状況を明らかにし、これを継承するのかどうかを考える。

 次に「ビジネスプロセスベース」では、リスク管理のビジネスプロセスのシンプル化を目指す。この業務には今誰が関係していて、どんなミーティングが行われ、どのような話がされているのかなどを洗い出して整理する。これによって理想的なビジネスプロセスが浮かび上がってくる。

 さらにもう一歩進めた「ビジネスパフォーマンスベース」では、ビジネスパフォーマンスに影響を与えるKRI(Key Risk Indicator:重要リスク指標)を定義し、その改善を目指す。これが最終的なKCI(重要コントロール指標)につながるものだ。

「値としてKRIを設定し、その改善を目指すことは素晴らしいが、実際に達成するまでには多くの努力が必要だ。まずは立ち位置と目標が大切だ。資産ベースからスタートし、次にビジネスプロセスベースへと一歩一歩踏み固めていくことが重要だと考えている」


経営サイドには数字だけでなく、物語を語ることも大事

 ただし、モア氏は「目標を設定する際には、特にサービスを提供しているビジネスサイドの人たちがどこに行きたいのかを念頭に置かなければならない」と強調する。

「昨年から1つ、大きな学習をした。さまざまなメッセージを繰り返し伝達していたが、最終的にまったく浸透しなかった。3回話したがそれでもダメだった」

 その時、モア氏はガートナーのレポートから“セキュリティ指標をよりビジネスの的を射た指標に研ぎ澄ませ”というヒントを得た。

「とにかく基本に立ち帰るということが大切だと再認識した。一体誰がその指標を受け取る人なのか、あるいは効果を享受する人なのかを明確に理解しておかなければならない。次に自分たちが持っている指標により磨きをかけていく。それらは事業部の人たちが分かる言葉で説明しなければならない」

【次ページ】KCI(重要コントロール指標)を見える化するために活用したIT製品とは?

金融業IT ジャンルのトピックス

金融業IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!