③危機管理体制の整備と継続的改善 
リスク管理部門は、危機管理体制の整備とその継続的な改善のため、リスクマネジメントの観点から主管部門を支援するとともに、関係部門間の調整を行います。つまり、リスク管理部門は客観的な第三者として、コーディネーターや行司の役割を果たします。

④BCPの策定と継続的改善 
リスク管理部門は、上記の危機管理体制と同様に、BCPの策定およびその継続的な改善のために、主管部門の支援、関係部門間の調整を行うコーディネーターや行司の役割を果たします。また、必要な場合には自らBCPを策定します。

経営上の課題解決を「実現」する 
リスク管理部門は、経営上重要な個別のリスク対応策を改善・強化するために、リスク管理部門が全社横並びで観察し、対応策に不十分な点や改善すべき点はないか確認し、改善提言を行うことが必要です。そして時々の経営上の課題に対し、リスクという切り口から対応策を提言し、その実現のために必要な支援や調整を行い、対応策を実現することが求められます。経営者が懸念する時々の問題に対して、リスクという観点からいわばパッチを当てて、解決すること。これが事業会社におけるERMの実務で重要な機能です。実現力がポイントとなります。 

そのためには、「エンタープライズ“リスト”マネジメント」を避けることが必要です。ERMの導入後1年程度は、企業全体の重要リスクとその対応状況の洗い出しが中心となる場合が多いと思います。導入後2〜3年が経過すると、経営上の課題への対応が求められてきます。しかし、その段階になってもリスクリストの洗い出しに注力している場合が、まま見られます。しかし、ERMは企業の活動である以上、付加価値、つまり「実利」があることが不可欠です。経営上の課題への対応に貢献することが必要なのです。

社員のリスク管理能力の向上 
企業におけるERMの第4の役割は、社員のリスク管理能力の向上です。現場第一線におけるリスクマネジメントの実務で最低限必要な要素は、リスクに敏感に気付いて、関係者に確実に伝達することであり、それを実現するためには、リスクに対する“感度”“感性”やを磨くことが必要です。 そのためには、自社の重要なリスク顕在化事例1件を題材として、原因と、そこから得られる共有すべき知見について、リスクの気付きと伝達の2つの側面から、〜6人程4度のグループで議論してもらう方法が有効です。知識を詰め込むよりも、腹に落ちる議論でリスクへの感性を磨くことがとても重要です。

(資料提供:吉野太郎氏)

IBMにおけるERMと危機管理体制

講師:日本IBM BCPリーダー担当部長 齋藤守弘氏

1982年に入社して、30年以上日本IBMに勤務しています。最初はシステムエンジニアとして製鉄所を担当し、2004年から品質担当部長になりました。2013年からは全社のBCPを統括するリーダーを担当しています。 

簡単にIBMを紹介しますと、全世界170カ国に事業を展開している、代表的なグローバル企業の1つです。一般的には世界中で従業員が44万人、日本人はそのうち1万5000人と言われています。

日本IBMにおけるリスクマネジメント 
日本IBMのリスクマネジメントは、1995年の阪神・淡路大震災で大きく見直されました。全国のお客様にシステムを導入していただいていたので、保守サービスの部門が中心となってお客様の復旧に貢献するとともに、社内の復旧に取り組みました。 

その後、2000年前後からボトムアップ型のプロセスでリスクマネジメントとBCPを段階的に整備していきました。2008年にパンデミックが全世界で問題になりましたが、IBMもグローバル企業としてそのあたりからERM(全社的リスクマネジメント)を、トップダウンで導入開始していきました。 

そして2011年に東日本大震災が発生。再度本格的にBCPを整備しなければいけないということで、2013年5月に現在の全社レベルのBCPを確立しました。

リスクマネジメントとクライシスマネジメント 
リスクマネジメントの第一歩はリスクの洗い出しであり、その後リスクの特定、評価、軽減と続き、それを基にBCPを策定します。発生した脅威に、最適な危機管理体制を組織化し、脅威の影響を最小化するのがBCPであり、全体を通じ、大きな視点で考えるのがERMだと捉えています。 

さて、全体のリスクの洗い出し、リスクの把握手法として、日本IBMもリスクマップを導入しています(図1)。事業への影響度を縦軸、発生頻度を横軸に配置し、影響度、発生頻度ともに高いリスクを「Tier1」として管理しています。「Tier2」は、複数の業務プロセス内でリスクの最小化が可能なもの。「Tier3」は対応策がすぐに実行可能なものです。 

この分類に関しては、客観的な評価も必要ですが、ある程度主観や社会的視点からも併せてみて、見直しをしていくことも大事だと思います(図2)。首都直下地震は、東日本大震災が発生するまでは決して大きな頻度と捉えていませんでした。最近、発生確率70%という数字が出てきて確率は高まっていますが、リスクマップ上では社内のBCPが整備されることによって、多少影響度を下げることもできると考えています。リスクマップはそうやって調整し、見直していくことも重要です。 

一方のリスクとして、情報漏えいなど、ハッカーによるサイバー攻撃は非常に大きな問題になっています。発生頻度、会社に対する影響度を鑑み、現在では「Tier1」レベルで管理しています。

IBMのビジネス・コンダクト・ガイドライン 
オペレーショナル・リスクにおけるプロセス・マネジメントを簡単に整理しました(図3)。日々の業務プロセスの中に組み込み、定期的にPDCAを回す。その種類として、「企業倫理」「情報セキュリティ」「製品・サービス障害」「事件・事故」の4つのカテゴリーを挙げています。それに対するプロセス・マネジメントとして、まず社内規定が必要になります。社内のガイドラインをきちんと策定する。それに則ったプロセスを、高品質で運営管理する。そのためのツールや、周知・啓発・教育などで品質を上げていきます。「リスクをマネジメントする」=「リスクをミニマム化する」ことだと思います。右側に「企業行動基準遵守への全社員への署名」という項目があります。IBMの経営哲学は世界的にも評価されていますが、そのうちの1つがBCGと呼ばれる「ビジネス・コンダクト・ガイドライン」(企業行動基準)です。 

BCGはリスクマネジメントというよりは、会社の中での品質や、コンプライアンス、プロセス、マネジメントのレベルを、全社員が高い意識を持って維持するための取り組みです。全世界のIBM社員は、毎年年初に、BCGへの署名を求められます。仕組みとしてはe-ラーニングで、インターネット上で動画などの30〜40分ほどの教育コンテンツを受講し、問題をすべてクリアした後に「必ず守ることを誓います」という署名を行います。図4は参考ですが、日本だけでなくIBMコーポレーション全体における年次報告書に記載した、IBMを取りまくリスクです。これらは地震やパンデミック対策とは別次元の問題ですが、こういったものを会社として、お客様や株主に公表していくことも、リスクマネジメントの取り組みの1つだと理解してください。オペレーショナル・リスクを幅広くとらえています。