BCMSにおける企業トップへのサポート

2015年1月4日日曜日 | ラベル: |

 12月7日(日)に最初にアップした原稿を訂正し、再度アップしましたので12月は1回のみのアップになりました。申し訳ありませんでした。
 2011年4月1日「バラとリスクマネジメント」でスタートしたこのブログは129回目になりました。今年もどうか冝しくお願い申し上げます。

 前回ISO 22301(JIS22301)の「5.リーダーシップ及びコミットメント」に関する部分の議論をご紹介致しました。この点に関し、12月4日に、別の研究会で東京ガスの吉野太郎様から 企業のBCMSや危機管理の実状についての具体的なお話をお聞き出来て大変参考になりましたので今回ご報告申しあげます。
 吉野様からは、昨年8月30日に公表された日本内部統制研究学会のERM部会での報告「企業におけるERMの役割とその実施方法に関する考察」という論文についてのお話をお聞きしました。吉野様は永年に亘り東京ガスのリスクマネジメント、特にERM(Enterprise Risk Management)とBCP(Business continuity plan)の担当者としてご活躍になっておられます。『 』内は「企業におけるERMの役割とその実施方法に関する考察」の記述です。
 但し、「本論文はあくまでも吉野様の一つの見方で、意見に関する部分は,吉野様の個人的な見解であり,吉野様が所属される企業の意見ではない。また,記載した事例等は,公開資料を基に作成したものであり,吉野様が所属される企業の事例ではない。」とされています。
 吉野様は、論文の冒頭で『ERMの第一の役割は,リスク管理部門が,企業全体のリスクとその対応状況を一覧化・総括して経営に報告することにより,リスクマネジメントの観点から経営者の経営の現状把握を支援し,リスク対応についての全体最適の経営判断をサポートすることである。』と言われています。我が国のリスクマネジメントの専門家でこう言っておられる方は非常に少ないと私は思います。
 企業は『平時には,個別具体的なリスクに対しては,各部門・子会社(以下,「各部門」という)が責任を持って対応することが基本となる。経営者がリスクマネジメントに対する最終的な責任を負うことを前提とした上で,各部門は自部門の業務遂行に伴うリスクを自ら把握すると共に,対応策を自ら策定・実施し,自部門におけるリスクマネジメントを整備・運用する役割と責任を負うという分権型組織体制がとられている。』
 危機管理については、『企業におけるERMの第二の役割は,危機管理体制を強化することである。危機管理体制を強化するためには,以下の三点が必要と筆者は考えている。①ERMと危機管理・BCPとの関係を理解し,ERMの一環として危機管理体制を強化すること。②平時のリスクマネジメントと有事のリスクマネジメントとの役割の違いを理解し,それぞれの役割に応じて強化すること。③危機管理体制には,各担当部門長が権限を持つ分権的な体制をとる場合と,社長に権限を一元化する中央集権的な体制をとる場合との二つの類型があること。両者は必要となる事項やリスク管理部門の役割が一部異なることを理解した上で,それぞれの特性に応じて強化することである。』と述べておられます。
 この記述は、前回議論致しました「BCMSにおける企業トップのリーダーシップのあり方」について我が国では如何に行うべきかということに対する、実践的な解決策を示しているものだと私は思います。
 更に『企業では,ERMと危機管理・BCP(Business Continuity Plan 事業継続計画)を別の部門が所管している場合も多い。その場合,ERMと危機管理・BCPとの関係が社内で理解されていないと,両者が別々に整備・運用され,会社全体でリスクマネジメントが統一的に行われず,リスクマネジメントが効率的・効果的に実施されていない場合がある。また,ERMが危機管理体制を強化する手段として活用されていない場合がある。
 企業全体でリスクマネジメントを統一的に実施し,ERMを危機管理強化の手段として活用するためには,危機対応やBCPをERMの一環として行う,もしくはそれらをERMの一部として取り扱うことが必要である。』
 と言っておられ、我が国の企業のERMやBCPの実践に関する問題点を的確に指摘されています。
 『有事のリスクマネジメントの役割は,リスクが顕在化した時に組織として迅速かつ適切に対応することである。そのためには第一に,事案の重要性に応じたしかるべき階層の経営層による意思決定に基づいた対応を行うことが必要である。第二に,事案の重要性を見極め,有事であるか否かの判断を迅速かつ適切に行うため,しかるべき階層の経営者へのリスク情報の迅速な報告と,関係部門による多面的な検証と支援が必要である。』
 『危機管理体制には,各担当部門長が権限を持つ分権的な体制をとる場合と,社長に権
限を一元化する中央集権的な体制をとる場合との2つの類型がある。
(1)部門長が権限を持つ分権的な体制をとる場合(内容省略)
(2)社長に権限を一元化する中央集権的な体制をとる場合
   例えば,大規模な地震,事故,システム障害など,損失拡大のスピードが急速であ
   り、当初から危機であることが明確な場合である。影響範囲が広く,対応に要する
   関係部門の数が多数にのぼり,日常業務の多くを中断して,全社一体となって対応
   に当たる必要がある場合が多い。
   前記(1)の体制であっても,後に社長に権限を一元化した体制で対応することが必要
   と判断された段階で,本体制に移行する。なお,その可否の判断は社長が行う。』
 『権限を社長に一元化する場合の危機管理におけるリスク管理部門の役割は、第一に,経営者のサポートを行うことである。経営者への情報一元化,および指揮命令系統の一元化を確実に行うことにより,経営者が限られた時間の中で,限定的な情報を整理・統合して,企業としてとるべき行動を判断し,実行できるようサポートすることが必要である
 復旧段階におけるリスク管理部門の役割は,第一に必要な復旧対策を実現するために,経営者に予算など経営資源の最適な配分を意思決定するために必要な情報を提供することである。』と言ってられます。
 最後に『企業価値向上の手段は企業特性や経営環境により異なるため,企業が対処すべきリスクも企業により様々である。そして,ERMの役割や実施方法も,企業により異なり,定型化されたものはない。そのため,企業価値向を持続的に向上する手段としてERMを整備・運用するに当たっては,自社の企業特性,経営環境,およびステークホルダーの期待などを総合的に検討して,自社に適した体制を個別に作ることが必要である。本稿を一つの例として,ERMを整備・運用する際の参考にしていただければ幸いである。』とされていますが、このことはBCPの実践についても同様だと私は考えます。
 【 所見 】
 前回のご報告に書きましたように私どもは或る研究会の場で、
 『日本の経営者は、ボトムアップ型の組織の頂点にいて部下の補佐によって職務を遂行するケースが多いため、日本の経営者がISO 22301で想定しているマネジメントスタイルを実行するためには、日本の組織を前提とした補完的なサポート策を加味したやり方を考えるべきではないか。』
 『創業者型の経営者、欧米の子会社のトップを経験し欧米型の経営に同感している経営者を除いて、現状日本の経営者の多くは、ISO22301が要求していることは実行出来ないと思われるので、当面は次善の策として、ERMやBCPの担当者が経営者の判断をサポートして
ISO 22301の要求事項が実行可能となるような対応策を講ずべきである。』
という問題提起をしたのですが、吉野様のお話は我が国の企業においてERMやBCPの担当者が如何に経営者に対して補完的なサポートをするかについての実践的な解決策の一案を提示されていると私は思います。

 
 私は我が国の経営者に対して、ISO22301が要求している事項に関して、基本的な素養や考え方の教育をしっかりと行う必要があると考えます。少なくとも、BCMSにおいて行われようとしている内容が、どうして必要なのか、概略どのようにして行うべきものなのか、どのような効果を持ち、どのような弊害やリスクを伴っているかなどを経営者は理解している必要があります。さもなければ吉野様の言われる「経営者に対するサポート」が活きません。そのような能力は付け焼刃で身に付けようとしても付くものではありません。また、そもそもマネジメントとは何かについてのしっかりとした考え方や哲学が必要で、日本的な経営スタイルでは容易ではないことだと考えます。
 一方、当面の次善の策として、リスクマネジメント、BCPの担当者が経営者をサポートをして、経営者がISO22301が要求している事項の実行が可能となるような対応策を講ずるについても問題が残っています。
 東日本大震災に対する企業の対応に関する報告書、例えば東京電力福島原子力発電所における事故調査・検証委員会の中間報告書は、「原子力の災害対応に当たる関係機関や関係者、原子力発電所の管理・運営に当たる人々の間で、全体像を俯瞰する視点が希薄であったことは否めない」としています。また、みずほ銀行の「システム障害特別調査委員会」報告書でも「一連の障害を通じて、システム全体を俯瞰でき、かつ、多重障害の陣頭指揮を執り得るマネジメントの人材も不足していた。」ことを指摘しています。
 いずれのケースでも「事故や災害発生時に企業全体を見ている人がいなかった」ということだと思います。「木を見て森を見ず」といいますが、部分、部分の対応ばかりに追われていて、企業が被災時に取る実際の対応について、或いは平素PDCAサイクルを回すについて、更には経営者の判断をサポートするについては、我が国企業の現状を直視した場合、実務体制の再構築が必要な企業が多いのではないかと私は思います。現在の我が国の状況では、リスクマネジメント・BCMの実務担当者に、企業全体を見るという視点が十分ではないと私は思います。私はこれを「経営的視点の欠如」と言いたいのです。
 吉野様が言われるように、リスク管理部門が,企業全体のリスクとその対応状況を一覧化・総括して経営に報告することが可能になるためには、そこに従事している方々に企業全体を見るという視点「経営的視点」が不可欠です。ここにも問題があります。
 今回は悲観論ばかりになりましたが、現実に吉野様のような方も存在されているわけですから、経営者、リスクマネジメント、BCPの担当者の双方の努力によって、望ましい方向に少しでも近づけたらと言うのが、私の結論です。