Sphere System Consulting ltd. スフィアシステムコンサルティング株式会社

Vol.12 IT導入前にリスクを洗い出せ!

 コラム

IT導入前にリスクを洗い出せ!

 

私たちが自動車に乗る時のことを考えてみます。
自動車の運転をする人は、ほぼ必ず任意保険に入るはずです。それは、万が一の事故が大きな賠償金額を発生させることを理解しているからだと思います。

運転を始めてから10年間、一度も保険のお世話になる事がなかったとしたら、事故というリスクを上手くかわせている状態です。

安全運転さえしていれば保険の加入は必要ないということではなく、保険に入ったら安全運転しなくてよいということでもありません。
私たちは、安全運転(行為)と保険の加入(万一の対応)は別問題だと認識しています。

 

IT導入においても、自動車運転と同様に大きく2つリスクを考慮する必要があります。
1:システム障害時の対応(万が一止まった時の影響)

 →自動車運転の「保険の加入」と同じ。
2:内部統制の一部としてのIT統制(安全に運用する)

 →自動車運転の「安全運転」と同じ。
大きくこの2つの視点が必要です。情報システムも自動車運転と考え方は同じなのです。

 

例えば、今後もニュースになるであろう、セキュリティのリスクは「安全運転」に分類されます。人的要因の情報漏えいやサイバー攻撃などを防ぐことが、安全に運用する事を求められています。

 

保険の加入に相当する、万が一の対応を考えるとき、真っ先に考えるのは、そのシステムが停止した場合の影響度です。例えばシステムが1日停止したら損害はどの程度なのか?どの程度業務に影響が出るか?を事前に把握しておけば、リスク回避に必要な対策が見えてきます。

しかし、システムが大きくなって複雑になると、機能ごとにシステムが分割するケースが多くなります。
今後、確実にこの傾向は増えていきます。基幹系業務システムに加え、WEBシステムやスマホアプリなど業務の枠がどんどん広がっていくためです。
そうなると、各システム単位で停止した場合の周辺システムへの影響も考慮する必要があります。システム単体でのリスクは想像できたとしても、そこから派生する周辺への影響を忘れてしまいがちです。

 

これからは、システム単体だけで万が一の対応を考えても足りない時代なのです。
この観点を知っているかどうかが差別化となります。

 

私が経験した、とあるプロジェクトでは、スコープ(システム開発の範囲)から漏れたサブシステムが、老朽化により入れ替えが必要であることが途中で発覚しました。

急遽、予算編成して応急対応をしましたが、あくまでも予算範囲内の応急処置だったため、システム全体の中の弱点としてそのまま残ってしまいました。
最初にリスクの洗い出しができていれば違った対応ができていたであろう一例です。

 

私たちは、想像できる範囲でしかリスクを理解できません。
逆に、システム導入の検討段階で、できる限りの想像をしておけば、その後のリスクは怖くなくなります。

先ほどの自動車運転の例でも、万が一の事故が想像できるからこそ保険に加入します。
ですから、システムも同じように、最初にリスクを想像し尽くしてから対応を取ることが必要なのです。

 

リスクはかわし続けるものではありません。コントロールするものです。
リーダーは「耳に痛い情報」や「都合の悪い可能性」を警告する人物を遠ざけてはダメです。

 

リスクを最初から表に出せば、大勢の知恵を借りて対応が可能です。そして万が一の事態になっても慌てることはないでしょう。

 

どこまでのリスクを考えればよいかはその時点での状況によります。
しかし、忘れてはいけないのは、リスクは隠すものではなく明らかにさせて周智徹底させることで初めてコントロールすることができます。

 

皆さんの会社にはリスクを明らかにする風土や仕組みがありますか?

それは、情報システムでも同様に機能していますか?