情報システムのリスクを可視化、管理高度化の起点に
研究員 石川恵太郎
2008年1月10日(木曜日)
情報システムの障害発生リスクを適切に把握・管理されているお客様はまだ少数と思われます。本稿では、大手銀行X社様においてシステムリスク管理の高度化をご支援した先行事例をご紹介します。
国際業務を行う銀行がリスク管理に関して先行するのは、自己資本比率に関する国際統一基準(新BIS(*1)規制)が課せられているためです。2008年3月からは、これまでの信用リスク、市場リスクに加え、オペレーショナル(事務)リスクに対しても適切な計測と管理が求められます。システム障害による損失は、オペレーショナルリスクに含まれます。収益性を高めるには、これらのリスクを効果的に低減する必要があります。
これに対して我々がご支援した内容は、以下の3点です。
- (1) 障害発生予測モデルを構築し、システムごと、障害種別ごとの障害発生可能性を数値化
- (2) 社外とのベンチマークによる適正システム品質水準の設定
- (3) システム障害の原因分析による障害発生構造の把握
X社様では全社のシステムのリスクアセスメントを年一回実施し、リスクを4段階で評価していましたが、アセスメントの改定や実施に多くの人員・費用・時間を費やしたものの、アセスメント結果に基づく障害予測・評価では障害発生実績と乖離するシステムがあり、十分な効果が得られているとは言えませんでした。
しかし(1)のモデルによって格段に高精度かつ精緻な予測・評価が可能となり、また(1)を通してチェックすべきアセスメント項目や属性が明らかとなったため、効果的なシステムリスクの把握・管理と管理工数の低減が同時に実現可能となりました。
また(2)によって費用対効果の目安を、(3)によってこれまで十分にアセスメントできていなかった種類の障害に対する手掛りを得ることで、今後、さらに効果の高いシステムリスクの管理が期待されます。
システムリスクの管理は金融業界に限った話ではありません。鉄道会社の自動改札システムや航空会社の予約・発券システムなど、昨今のIT社会では一企業のシステム障害が広く社会に影響を与えてしまうリスクは増大しており、今後は多くのお客様でシステムリスク管理の重要性が高まると考えられます。
本件のような、リスクの定量的な分析、評価、管理などをご検討される際には、ぜひご相談いただければ幸いです。
注釈
(*1) BIS : Bank for International Settlements (国際決済銀行)