Tweet

リスクに対応できるモニタリング技術とは

杉浦 司

2008/11/18

第9回｜1　2｜次のページ

リスク（脅威とぜい弱性）は絶えず変化する

　当たり前のことだが、リスク（脅威やぜい弱性）は絶えず変化する。

　しかし、この当たり前のことが現実では忘れられていることが少なくない。いままで平穏な生活を過ごしていた社員があるとき急に借金に追われるようになって、悪事を働くように脅されるといった話は、「まさかうちでは起こらないだろう」と済ませておいていいものだろうか。

　そこまで“日常的にはあり得ない話”でなくても、いままで売れていた商品の売れ行きが急に悪くなったり、頼りにしていた得意先に突然逃げられたり、思いもよらない不良品によって損害賠償を迫られるという程度の話であれば、どこにでもあり得るだろう。

　リスクは絶えず変化していくのに、肝心のリスク対策は“最初に設定したまま”という状況は、果たしてそれでいいのだろうか。

■モニタリングしない恐ろしさ

　絶えず変化するリスクに対して、最初に設定したリスク対策が有効性を失わずに効果を発揮し続けているか監視することを、モニタリングと呼ぶ。

　しかし、モニタリングといっても、ただ見ているだけでは意味がない。

　変化に気が付かないチェックやレビューはモニタリングと呼ばない。問題がないかをチェックすることが本来の役割であるにもかかわらず、印鑑を押すことが仕事になってしまって、揚げ句の果てには担当者に印鑑を預けてしまう承認者すらいたりする。

　承認者によるレビューという、変わるはずのない前提条件ですら不変ではないのだ。モニタリングの対象にはモニタリングのための業務自体も入る、ということを忘れてはいけない。その典型的な例が名ばかりの内部監査であり、取締役会であったりするわけだ。

　長年点検していない業務や、聖域のような形で第三者による評価が入っていないような部署はないだろうか。前回紹介した武田信玄の例のように、経営陣も例外にすべきではない。監査役であろうが、内部監査室であろうが、モニタリングは本来必要なのである。

バリデーション（妥当性確認）とベリフィケーション（有効性確認）

　モニタリングと一口でいっても、実は大きく分けて2つの類型がある。1つはバリデーション（妥当性の確認）であり、もう1つはベリフィケーション（有効性の確認）と呼ばれるものである。

　一般的なモニタリングの多くはベリフィケーション、主に“検証”と呼ばれる類型として実施されている。ベリフィケーションとは、ある目的を果たすために整備した仕組みが計画・設計した通りの効果を果たしているか“有効性”を確認するものだ。

　これに対して、バリデーションとは、その目的に対して整備された仕組みがそもそも正しかったのか（妥当性）を確認するものである。ベリフィケーションが、「Are we building the product right?（正しく物を作っているか）」を問うものとすれば、バリデーションは、「Are we building the right product?（正しい物を作っているか）」を問うものである。

　「モニタリングがしっかりできている」組織の多くは、ベリフィケーションのことを指しており、バリデーションはあまり意識していないことが多い。

　バリデーションの考え方は、「あらゆる計画や設計は仮説にすぎず、また前提条件も一定ではないのだ」という科学的立場から出てきたものだ。バリデーションを意識しない企業では、自分たちの考えたことに間違いはないのだという慢心や過信が存在している。バリデーションされていない計画や設計をどんなにベリフィケーションしたところで、結局、何の意味もないのだということに気が付かないのはなんと愚かなことだろうか。

第9回｜1　2｜次のページ

	Page1 リスク（脅威とぜい弱性）は絶えず変化する バリデーション（妥当性確認）とベリフィケーション（有効性確認）
	Page2 情報セキュリティで求められるモニタリング 内部統制で求められるモニタリング

＠IT情報マネジメント メールマガジン　情報マネージャのための情報源（無料）