リスクの早期察知から危機対応までの一貫したサイクルの確立
今日の企業経営を取り巻く環境は、かつてないほど複雑かつ不確実性に満ちている。パンデミック、地政学的緊張、サイバー攻撃、気候変動、サプライチェーンの混乱、米国の関税措置など、従来の想定を超えた規模と速度でリスクが顕在化し、相互に連鎖しながら企業活動に影響を及ぼしている。
このような環境下において、企業に求められるのは単なる「生存」ではない。混乱や変化を新たな成長機会へと転換し、競争優位性を確立する能力、すなわち「戦略的レジリエンス」の構築が不可欠となる。
従来、多くの企業では、ERM(Enterprise Risk Management:全社的リスクマネジメント)とBCM(Business Continuity Management:事業継続マネジメント)が別々の部門で管理され、それぞれ独立した活動として運営されてきた。ERMは取締役会や経営層に近い位置で戦略的・財務的リスクを評価し、BCMは現場に近い位置で、災害対応や業務復旧を担当するという分業体制である。
しかし、我々は、この分断された状態を「レーダーはあるが救命ボートがない」 「救命ボートはあるがレーダーがない」状態に例え、両者の統合なくして真のレジリエンスは実現できない、と警鐘を鳴らしたい。ERMがリスクを早期に察知する「レーダー」の役割を果たし、BCMが実際の危機に対応する「救命ボート」として機能するとき、初めて組織は予測から対応、復旧から学習までの一貫したリスクマネジメントサイクルを確立できるのである。
実際、ERM-BCM統合に取り組んでいる企業では、リスク対応時間の短縮、コスト削減、意思決定の迅速化など、具体的な成果が見て取れる。本ニュースレターでは、なぜERM-BCM統合が必要なのか、統合を阻む要因は何か、そして、どのように統合を進めるべきかを考えていきたい。
ERMとBCMの統合がもたらす効果は明白であるにもかかわらず、多くの組織では依然として両者が分断された状態で運用されている。この分断は、クローバル共通の構造的課題と、日本企業特有の事情が複雑に絡み合って生じている。
最も根深い問題は、組織内の「サイロ化(縦割り)」である。多くの企業では、ERM部門が財務・戦略リスクに集中し、BCM部門が災害対応・業務復旧に特化するという、分業体制が確立されている。両部門は異なる報告ラインを持ち、使用する言語や評価指標も異なるため、情報共有や協働が困難となっている。例えば、ERM部門が識別したサイバーセキュリティリスクの情報が、BCM部門のIT復旧計画に反映されないケースは珍しくない。逆に、BCMの訓練で発見された脆弱性が、ERMのリスク評価に組み込まれないこともある。このような情報の分断は、組織全体のリスク対応力を著しく低下させる。ほかにも下表に示す問題が散見される。
| 問題カテゴリ | ERM側の活動 | BCM側の活動 | 結果として生じる問題 |
|---|---|---|---|
| 情報の分断 | サイバーリスクを「高」と評価 | IT復旧計画でサイバー攻撃を想定せず | 実際の攻撃時に対応が後手に |
| 重複作業 | 全社リスク評価を実施 | 独自にBIAを実施 | 同じ部門に2回ヒアリング、現場の負担増 |
| 優先順位の不一致 | 財務リスクを最優先 | 業務継続を最優先 | リソース配分で対立、経営判断の遅れ |
| 言語・指標の相違 | リスクスコア、KRIで管理 | RTO、RPOで管理 | 相互理解が困難、統合評価ができない |
日本企業においては、これらのクローバル共通の課題に加えて、独自の構造的問題が存在する。
| 管理体系 | 主管部門 | 主な活動 | 他部門との連携状況 |
|---|---|---|---|
| J-SOX対応 | 内部統制部門 | 財務報告の信頼性確保 | BCMは「ITの全般統制」の一部として部分的に考慮 |
| ISO22301 | 総務部門 | BCMSの構築・運用 | 独立して運用、ERMとの連携なし |
| ISO9001 | 品質管理部門 | 品質マネジメント | 品質リスクに特化、全社リスクとの統合なし |
| 情報セキュリティ | IT部門 | ISMS運用 | 独自のリスク評価、BCPとの連携不足 |
| ISO31000 (ERM) | 経営企画部門 | 全社リスク評価 | 上記すべてと連携不足 |
このような縦割り構造は、それぞれの規格や規制への対応としては機能するものの、組織全体のレジリエンス強化という観点では大きな障害となっている。
また、経営層の関与不足も深刻である。日本では、「BCM=災害対応」、「ERM=内部統制の一部」として捉えられる傾向が強く、戦略的な経営課題として認識されていない。このため、統合に必要な経営資源の配分や組織横断的な権限付与が行われず、部門レベルでの部分最適に陥りやすい。
さらに、日本企業の多くは、地震対策に偏重した災害対応体制を構築してきた歴史があり、サイバーリスク、地政学リスク、気候変動リスクなど、多様化する脅威への統合的なアプローチが遅れている。
WTWは、ERM-BCM統合により、以下の4つの戦略的効果が得られると分析している。
本寄稿の全文(全9ページ)は、下記の資料ダウンロードセクションにあるファイルをダウンロードしてご覧ください。
| タイトル | ファイルタイプ | ファイルサイズ |
|---|---|---|
| ERMとBCMの連携が組織のレジリエンスをいかに強化するか | .9 MB |
大学院修了(工学)後、外資系ITベンダー、日系シンクタンク、人材育成・組織変革コンサルティング会社にて、企業幹部・管理職向けのビジネスリーダー育成及び業務プロセス改革支援に従事。現在は、企業のリスクマネジメントの高度化(ERM/BCM)に向けた組織変革と事業継続計画の立案を支援。
