アドバイザリー
事業継続計画(BCP)・事業継続マネジメント(BCM)支援

中小・地域金融機関のBCP整備状況および今後の課題

2011.07.13
新日本有限責任監査法人 山本 岳史

1. 東日本大震災によるBCPの現状

当法人ではこれまで、システムリスク管理態勢調査業務(金融検査マニュアル『オペレーショナルリスク管理態勢の確認検査用チェックリスト-別紙2.システムリスク管理態勢』をベンチマークとしたシステムリスク管理態勢の調査業務)を数多く実施してきていますが、これまでの監査の実績から伺える、中小・地域金融機関のBCPの現状について解説します。

多くの中小・地域金融機関のBCPの策定状況は概して、次のような特徴があります。

  1. 1)勘定系システムやシステムセンター(メインセンター)の被災を想定したものは整備している。
  2. 2)外部の影響(ライフラインや回線等)を想定した対応策についても検討している。
  3. 3)一般的な具備要件は充足している。

これらは各金融機関が、FISCから刊行されている『金融機関等におけるコンティンジェンシープラン策定のための手引書』『金融機関等におけるコンティンジェンシープラン要領』を参考に、粛々と整備を進めている事の現れであると考えられます。

一方、発見事項としては、大きく分けて次のようなパターンがみられます。

  1. リスクシナリオの洗い出しが十分でない
  2. リスクシナリオ毎のBCPが全行一元的に把握されていない(システム部門と利用部門のBCPにGAPあり)
  3. 訓練が十分に行われていない(BCPの妥当性の検証が未実施)

2. 発見事項の具体的な内容

具体的には、それぞれ次のような事項があります。

① リスクシナリオの洗い出しが十分でない

特にシステムセンター(メインセンター)以外の拠点が被災するシナリオが想定されていない事例が少なくありません。今回の東日本大震災だけでなく、中越沖地震、阪神淡路大震災においても銀行のメインセンター被災により、コンティンジェンシープランを発動したケースがないように、ほとんどの銀行で整備している"勘定系システムの被災"というリスクシナリオは顕在化していません。

ところが、一般的にシステムセンターと比較して、建物の耐震性やロケーションの安全性が劣る本店や事務センター、また、委託先の被災を想定したリスクシナリオが検討されていない金融機関が少なくありません。従って、リスクが高いにも関わらず、リスクシナリオとして洗い出されていない次のような事例がみられます。

<事例1>
勘定系ネットワークがシステムセンターから本店を介して営業店まで通っているケースで本店被災時(停電時)の場合に、営業店向け勘定系ネットワークが不通になるリスク。

<事例2>
高可用性が求められるサブシステムが本店にのみ設置されているようなケース。例えば、SWIFTサーバーが本店のみに設置されており、本店被災時に外為決済業務が停止するリスク。

<事例3>
重要バックアップデータをサーバーと同一場所(本店、あるいは事務センター)に保管しているようなケース。例えば、印鑑照合システムを本店に設置しており、本店被災した場合、長期にわたり営業店に事務負担を強いることになるリスク。

<事例4>
委託先が被災したケース。例えば、ホームページサーバーの運用管理を委託している先が被災した場合に、ホームページからリンクしているインターネットバンキングが利用できなくなるリスク。

また、ITとは直接は関係しませんが、災害対策本部の設置場所を本店としており、本店が被災した場合の対策本部の設置場所は検討されていないという事例、安全性確保等のため、従業員が出勤不可となった場合等、本店資金決済業務の停止リスク等も検討が漏れている(バックアップオフィスの検討漏れ)事例があります。

今回の東日本大震災においても、11の中小・地域金融機関において2日~最長で15日もの間、被仕向為替の入金業務が出来ない理由から、全銀センターを通じた他行との振込取引等が停止しています。

② リスクシナリオ毎のBCPが全行一元的に把握できていない(システム部門と利用部門のBCPにGAPあり)

システム部門と利用部門それぞれ個別に業務継続策を検討しているケースが少なくありません。従って、どういうリスクシナリオがあるのか、そのリスクが顕在化する事により、どういう業務がどのような制約を受けるか、許容停止時間/復旧見込み時間はどれくらいなのか、等の認識が両者で共有化されないままにBCPを作成しており、実効性に疑問が残る、また、リスクが顕在化した時に混乱が生じる事が予想されるプランとなっています。

③ 訓練が十分に行われていない(BCPの妥当性の検証が未実施)

訓練に関しては未実施、あるいはシステムカットオーバー前のテスト段階での訓練実施のみ、あるいは定期的に訓練を行っていない金融機関も少なくなく、システム環境変更への対応漏れ(例えばDB拡張時のバックアップ取得範囲見直し漏れ、プログラムのバックアップ取得タイミング遅れによる、業務データとプログラムの不整合)等の懸念があるものとなっています。機器を二重化し、自動切替構成にしていたが、実際には自動で切り替わらなかった、という障害も少なくありません。

また、システム部門単独での切替訓練のみで、利用部門まで巻き込んだ訓練をしておらず、利用部門側で作成した代替手続きの内容、代替手続きによる事務負荷レベルが検証されず、利用部門側で作成したBCPの妥当性が検証できていません。

3. BCPの実効性確保のために必要な措置

前述の通り、中小・地域金融機関におけるBCPは実効性確保という点で課題を抱えており、今後、実効性の高いBCPを整備していくうえでは、次のようなステップによる対応が有効であると考えます。

① リスクシナリオの洗い出し

リスクシナリオの見直し、すなわち洗い出しを再度実施する必要があります。リスクシナリオの洗い出しは、各拠点(メインセンター、本店、事務センター、営業店、バックアップセンター、委託先)が被災した場合のリスクシナリオ、すなわち、その拠点にあるシステム構成要素を失った場合に、どういった業務が影響をうけるのか、という事をポイントに整理していくのも有効な手法のひとつです。

② 関係部署の洗い出し、BCP策定関与

洗い出した影響業務に関係する部署の洗い出しを行い、全関係部署にてBCPの検討を行います。なお、関係部署にはシステム部門、システムの利用部門の他、顧客やマスコミへの通知を行う部署等も含めます。

③ リスクシナリオ対応の優先順位付け、および前提条件の認識共有化

関係部署にてリスクシナリオが顕在化した場合の業務への影響度を評価します。評価した業務への影響度に基づき、各リスクシナリオの対応優先順位付けを行い、優先順位の高いリスクシナリオから順にBCPを作成します。優先順位の低いリスクシナリオに関しては影響度評価までとし、BCPの作成を省略します。

BCPの作成にあたってはシステム部門と利用部門間で、制約事項は何か、許容停止時間/復旧見込み時間はどれくらいなのか、等を共通認識化したうえで検討し、必要な対策、業務継続策を策定します。

なお、各リスクシナリオのBCPを策定するにあたっては、初動/業務継続/回復と、3段階のステータスにわけて手順を作成します。

④ 定期的な訓練によるBCPの検証

策定したBCPについては、優先順位の高いものを中心に定期的に訓練を実施し、発見された不具合はプランに反映し、精度を高めていきます。訓練は、システム部門単独で実施するケース(障害訓練の目的)、全行的に実施するケース(BCPの妥当性検証の目的)と目的に応じてそれぞれ実施する事が望まれます。



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?