ERM/CMT/BCPの実態とソリューション


リスク対策.comは6月12日、インテックス大阪・国際会議ホール(大阪市住之江区)で『BCP実践セミナー in KANSAI~組織の災害対応力を高める事業継続の展開手法~』を開催した。企業の危機管理・BCPをテーマに組織への展開策や訓練手法などについて、企業の取り組み事例を紹介した。日本アイ・ビー・エム株式会社(以下、日本IBM)のGTS事業本部システムズ&レジリエンシー企画部長の内山豊和氏は「日本アイ・ビー・エムが取り組む危機管理とは~ERM/CMT/BCP※の実態とソリューション」と題して講演した。以下、内山氏の講演内容を抜粋し掲載する。

※ERM…Enterprise Risk Management=全社的リスクマネジメント、CMT…Crisis Management Team=災害対策、BCP…Business Continuity Planning=事業継続計画

リスクマネジメントの考え方
日本IBMでは1990年ぐらいからリスクマネジメントという考え方を導入しています。当初は各部門でどんなことができるかを考え、それを積み上げていくようなボトムアップのプロセスで運用を開始しました。その後、9.11米同時多発テロなどを経て、2010年にERM、BCP、CMTの3つの柱でリスクマネジメントを構成するという流れが確立し、現在に至っています。 

リスクマネジメントの考え方は、リスクを洗い出し、特定、評価、軽減策を考える。また、それを実装する中で、BIA(事業影響分析)を行い、定期的に評価・改善を行っています。万が一、脅威が発生し対策が必要となった場合は、それに加えて現場対応、緊急時対応を行うクライシスマネジメントチームが個別に組織され、対応にあたります。リスクマネジメントを管理するチームと、クライシスマネジメントを行うチームは、共通の人もいますが、状況に応じて別の人間が対応することもあります。 

事業リスクの評価は、リスクマップを用いて1つの表にまとめています。縦軸に事業への影響度、横軸に事業計画で定めた期間内で想定される発生頻度をとり、5段階で分析。これを「Tier1」、「Tier2」、「Tier3」(表参照)に分けてマップに落とし、対応の重要度を順位づけることで、全社レベルで取り組むリスクを決定しています。数値化が難しいリスク場合も必ずエグゼクティブや取締役が検討・合意事項としてこの評価を行います。


リスクマップは、状況変化に応じて見直しも行っています。例えば、首都圏直下型地震については、東日本大震災前とその後では評価が異なり、政府発表の発生確率などに応じて再評価を実施しています。サイバー攻撃も以前は愉快犯的なものが多く、事業への影響度は低く発生頻度も高くないと考えていましたが、最近は金銭目的や機密情報狙いの犯罪も多くなり、重要度や緊急度が高まっていると考え、リスク評価のレベルを上げています。常にマップのどの位置にリスクがあるのかということを見ながら、次の対応策を考えています。 

優先順位づけが終了したら、発生頻度が高く事業への影響が高いリスクに対しては、BCPをしっかり定義し対策を考えます。一方で、発生頻度が高くても事業に対してのインパクトがさほど大きくないものは、社員に対する定期的なプロセスの改善を行うことで、リスクをできるだけ最小化しようという形で対応を決めております。影響度は、金額とか人命以外にも風評なども加味し測定、対応を検討しています。

危機対応ポリシーと体制
危機対応におけるIBMのポリシーは3つあります。1つ目はお客様の影響を最小化するということです。お客様ができるだけ被害に遭わないよう、またお客様に迷惑をかけないようにするということに注意します。そして最低限の企業機能維持ということで、会社として存続することを重要視することが2つ目、もうひとつは、社員の職場における安全確保および家族の安否確認です。この3つの軸のもと、責任ある企業行動をとり、メッセージを発信し、それを実行するための体制や方針などを細く定めています。 

リスクマネジメントをERM、BCP、それから災害対策を行うCMTの3つで構成していますが、関連はあったとしても、組閣されるチームは、若干メンバーが異なっています。ERMに関しては、会社を運営するチームの機能の一部として検討が行われますので、参加するメンバーは経営責任者およびそれに関与する人になります。特徴的なのは、リーダーは社長ではなく経営責任者、いわゆるCFO(最高財務責任者)がリードするということです。CFOの責任のもとにリスク査定を行い、それに上級役員がアドバイスを行い、ここで全社のリスクを考えます。ERMの中で、特別に定義されたリスクに対しては、BCPを策定しますが、BCPは事業運営となるので、それぞれの事業の責任者がトップマネジメントとして参画、各部門からBCPのリーダーを選出し、その中で対策を検討しています。災害が発生した場合の災害対策に関しては、どういう基準のもとに誰がどのような行動を起こすというポリシーを決め、現場のリーダーに極力権限を移譲して、現場の判断の中で対策を行うというような仕組みが取られています。 

リスクマネジメントは、自分たちが立てた計画を確かめながら足りないところを足していくための手続きで、繰り返し行っていくことが大事だと思っております。BCPは、持つことが目的ではなく、ちゃんと使えるように身につけていることが非常に重要と考えます。そこの勘違いがないよう、社員への周知や徹底も必要です。そのための社員教育とリハーサルは非常に重要な活動だと認識しており、定期的に実施をしています。 

災害対応では、やはり初動が重要で、最初に誰がどうイニシアチブをとって、どのような命令系統を持つのかということを決めておくことが肝要だと思います。その上で実際に現地で起こっている状況を的確に共有し、それをもとに判断を柔軟に下せること、その体制をいかに最初に作り上げられるかということも非常に重要と考えます。

ITの脆弱性が及ぼす事業への影響
BCPを考える上では、それを取り巻くITも密接に関係してきます。例えば、業務復旧の目標を2週間とした場合、ITはいつまでに復旧させなければならないという考えも必要となってきます。IT対策を専門部署任せにせず、ITの脆弱性が及ぼす事業への影響なども正しく理解し、IT担当者と平時からコミュニケーションをとり、災害に備えることも重要です。ITが復旧するタイミングで業務の復旧準備ができていることが非常に重要なポイントだと思います。どれくらい時間の猶予があれば、業務側は安心して復旧に入れるのか。この辺を是非、担当者とディスカッITションをしてもらいたいと思います。BCPを実行する段階でITが止まるということも、リスクの1つとして頭の片隅に置いてBCPを考えいただきたいと思います。