日本版SOX法ではKPIならぬ「Key Risk Indicator」が必要になる？（2/2 ページ）

2005年7月、金融庁が日本版SOX法の草案を公開した。草案にはITガバナンス、すなわちIT活用による内部統制の確立が明記された。内部統制とBIの関係について考えみよう。

[梅田正隆，ITmedia]

ビジネスプロセスを可視化したい

　さて、内部統制の評価および監査は、企業経営者と外部監査機関の責務になる。IT部門の役割は、ITで経営者をサポートすることだ。日々の経営情報はBIツールでレポーティングするとして、全体統制や業務処理統制についても、統合管理ツールやアプリケーション管理ツールなどで何とかなりそうだ。

　内部統制の有効性の評価については定量的に計れないため、ITでモニタリングするのは難しい。ただし、「リスクの評価と対応」ならできそうだ。草案によれば、リスクの評価と対応とは、組織の目標達成に影響を与えるすべてのリスクを識別、分析及び評価することであり、リスクへの対応を行う一連のプロセスのことだ。

　おなじみのいわゆるPDCAサイクルというやつだ。財務上のリスクは、KPIで財務評価指標を設定しておけばダッシュボードで管理する。危険域に入りつつある指標について、ドリルダウンして原因を突き止め、対応策を講じる。できればビジネスプロセス監視ツールが欲しい。一連のビジネスプロセスを可視化し、各プロセス上を流れる現在のビジネスデータをひもづけてレポートする。

　こうするとプロセスにおけるボトルネックを察知できる。そのボトルネックがITリソースの不足に起因する場合は、統合管理ツールでそのプロセスにリソースを追加してやる。ということは、ビジネスプロセス監視ツールと下位レイヤの統合管理ツールが連携してくれると都合がいい。ビジネスプロセス側とインフラ側を管理ツールでサンドイッチにして丸かじりしたいのだ。そんなことできる？