アドバイザリー
事業継続計画(BCP)・事業継続マネジメント(BCM)支援

GRCツールを活用した統合的な危機管理の実現

2011.07.13
新日本有限責任監査法人 森本 親治

1. 災害による現状と取り組むべき課題

今回の東日本大震災では、各企業が災害に備えて用意していた危機管理計画や復旧計画が、広域にわたる津波被害や原発事故などの複合的な要素によって、当初想定した通りにはうまく機能しなかったケースが多く見られました。その主な原因は、ひとつひとつのリスクへの対策は検討していたが、複合的なリスクに対して危機管理を統合的に行う仕組みを持っていなかったからではないかと考えられます。

ここでいう"統合的"とは、社内のあらゆる部署が連携して一体的にリスクに対応すること、あるいは社内と外部委託先や取引先が共通の方針(ポリシー)や基準に基づいてリスクに対応することを指します。そして、このような"統合的"な危機管理の実現を可能とする概念として"GRC"が挙げられます。GRCを進めることは、グローバルに展開する企業の災害時の影響をより軽減し、ひいては早期の復旧・復興にも貢献する取り組みであると我々は信じています。

では、その統合的な危機管理を実現する"GRC"とはいったいどういうものなのでしょうか。

2. GRCとは

統合的なリスク管理の概念である"GRC"とは、「Governance・Risk・Compliance」の略であり、法令やグループ方針・ルールを徹底させる態勢としてのGroup Governanceと、各組織・業務・プロセスのリスクを統制するRisk、それにこれらの運用遵守を確認するComplianceの三者を首尾一貫して重複なく、効率的にリスク管理として統合化しようとする概念です。

従来の危機管理計画、業務継続計画(以下、「BCP」で総称)においては、計画そのものが現場レベルの社員や取引先に周知されていなかったり、あるいは組織や設備、業務プロセス、システム、取引先における重要な変更、移動、統合等について、リスク関連情報が計画担当者や関係部署と情報共有されず計画に適切に反映されなかったりしていたため、実効性が失われてしまうということが典型的な課題となっていました。

情報の共有不足による問題は、例えば次のような形で現れます。従来、取引先をA社、B社、C社の3社としていたところ、A社とB社に集約したとします。ところがC社はB社の代替企業として機能していた場合、実際にB社が被災する事態が発生した時に初めてBCPが成り立たっていなかったことに気づくこともあるわけです。

GRCの趣旨は、端的にいうと、このようにBCPの実効性を低下させる要因となりがちな資産や組織の変更、人材の異動などの情報を一元的に管理してタイムリーに更新することにより、バラバラになりがちなリスク管理を連係させようとするものです。

3. GRCツールによる危機管理

GRCを具体的に実現するためには、GRCツールの活用が鍵となります。

GRCツールを使った統合的リスク管理が優れているのは、ツール上で情報が一元管理されると同時に、災害時の業務継続計画や復旧・復興計画において関係する人々がいつどのように対応すればいいかが索引形式によりひと目でわかるように「見える化」されていることです。膨大な事業継続計画の中で、各担当者が自分の担当箇所がどの部分であるかを、または誰から何を受けとり、どんな対応をし、次の部署や担当者にどのような情報を渡すのかをリスクシナリオごとに具体的に登録し、素早く参照できるシステムとなっているわけです。

今回の震災を契機に、あらゆる企業が今まで以上に綿密かつ緻密なリスク管理に基づいて事業継続計画の見直しをスタートさせていると思います。ところが、想定するリスクシナリオが詳細になればなるほどその管理は複雑になり、マニュアルだけでも 200ページ、300ページになることが想定されます。このような状況では、上述のようなツールなしに組織変更等の情報を漏れなく更新し、社内外の関係者に適切なタイミングですべてを周知徹底することは非常に困難となるのではないでしょうか。

4. モジュールによるリスク管理の体系化及び情報の一元管理

会社によって遭遇するインシデントは異なり、想定するリスクの種類や体系も様々です。そこで、GRCツールではポリシー管理やベンダー管理、組織・資産管理、事故管理、そして事業継続管理などさまざまなリスクに対応した管理項目(モジュール)をあらかじめ体系化して標準で装備するとともに、臨機応変にカスタマイズすることが可能となっています。さらに、各モジュールに入力された情報は他のモジュールにも自動的に反映されて同期が図られるため、これまで組織内に偏在化または属人化していた情報を標準的かつ一元的に管理することが可能となっています。

GRCツールにおける事業継続管理モジュールでは、下図のように地震等の事業への影響度を分析していくプロセス(ビジネスインパクト分析BIAの実施)、分析結果に基づいて重要業務を選定し、復旧作業の優先順位付け及びリソースの特定を行うプロセス、コストと利益のトレードオフを判断して目標復旧時間(RTO: Recovery Time Objective)を設定するプロセス、リスクシナリオに応じて事業継続計画を策定するプロセス、それらが実効性のある管理状態で維持されていくためのBC/DRテストのプロセス(訓練の実施や結果のフィードバック)など、BCPに必要な各管理プロセスが用意されています。このようにGRCツールでは、企業の利用者が実際の危機対応にどう対処していくべきか、その内容の洗い出しや精査に専念をすると同時に、PDCAサイクルによる継続的な改善を行うことが可能なシステムとなっています。

こうしたBCPの管理プロセスを作り込んでいくと、自動的に関連するベンダー管理やコンプライアンス管理、組織(資産)管理などのモジュールと連動して、情報がアップデートされます。これによって、1次、2次、3次、4次と外部のサプライチェーンが多い自動車産業や電機・機械産業などでは、どこまでBCPを深く連係させていくべきかを「見える化」することができるのです。

(※画像をクリックすると拡大します。)

■GRCツールのモジュール体系例

■GRC事業継続管理モジュールの標準プロセス

また特に組織・資産管理及びベンダー管理は、BCPと深く関連するモジュールといえます。これらのモジュールにおいては、例えば、持ち株会社ではその下に子会社が階層化され、あるいは事業会社では事業本部とその下の各部門が階層化されており、業務プロセスとも結びつけられています。Aという生産子会社はA1とA2と呼ぶ機械設備を持ち、購買→検査→生産→物流という業務プロセスにおいて各々の外部委託先と取引があるといった具合です。A社がある業務に関係するBCP計画を策定しようとする場合は、資産をどういった経路からどのように確保すればよいかなどについて、これらのモジュールを中核に据えて考えればいいわけです。例えばA社のBCP担当者は自分でこの組織・資産管理モジュールにアクセスすれば、A1という機械設備が被災した場合の代替設備がB社工場のB1であり、補修部品もB1で共通化されているといったことが即座に分かります。これはすなわち、復旧優先順位の決定を効率化する仕組みとなりうるのです。

仮にBCPのことだけを考えれば、A生産子会社の中だけで復旧できるようにあらゆる設備や人材、組織などをすべて用意すればいいのかもしれません。しかし、それでは会社ごとにBCP体制を二重化することになり経営効率が悪化します。A社工場が被災してもB社工場が100%補えるようだと、AとBで通常の操業度は50%ずつになり、経営資源をムダに配備することになります。

従来もBCPの管理ツールはありましたが、通常はこういったグループ企業を含めた統合管理の視点が不足していました。

このように、これまでの管理手法ではBCPの実効性と経営効率が両立しにくい面がありました。連係のないBCP、情報共有の低いBCPのままでは、BCPの実効性を損なうばかりでなく、むしろBCPが経営を圧迫して競争力をそぐことにもなりかねません。今こそ一元化された統合的リスク管理に基づく企業戦略の必要性が問われているのかもしれません。

5. GRCツールによるBCPの具体的な手順

まず、最初のStep1では、BCPの対象となる施設や資産、外部委託先の会社としての安定性(歴史・財務・技術力・開発力等)やその会社のリスク管理能力(BCP管理体制/情報セキュリティ管理体制等)の評価をします。委託先にはものづくりの能力を期待するだけでなく、個人情報や経営機密情報も渡すことになりますので、そのような点についても評価できるようにGRCツールには多様な評価項目(テンプレート)が標準で組み込まれています。

次にStep2では、組織・資産管理およびベンダー管理における項目とBCPを有機的に関連付けて統合的に管理を行うことでその実効性を高めます。BCPは組織階層(主に業務プロセス)と資産とが紐付きで管理されるため、各現場において常時、担当者に関連する部分を閲覧させ、周知徹底させることが可能です。(従来の人や組織に依存したシステムでは、年数回のリスク管理会議で情報を更新するのが精一杯だったのではないでしょうか。)

Step3では、例えば委託生産先の機械設備が刷新されたり、担当者が異動になったりしたとします。その際には即座にGRCモジュール間で情報の相互参照が行われ、社内外でのリスク管理情報の共有と見える化を可能にします。

最後にStep4は、関連付けを行っている各モジュール情報が変更された場合に、その変更がそのままBCPに反映されることを意味しています。今までBCPの維持・運用・更新には多大な時間と労力とコストをかけていたと思いますが、このようなGRCツールによってBCPについての経営の刷新につながるのではないでしょうか。

(※画像をクリックすると拡大します。)

[STEP 1]
[STEP 2]
[STEP 3]
[STEP 4]

6. 全社的な危機管理の見直しと再構築への第一歩

自社の重要な経営課題は何か、何が最大のリスクになっているのか、そうしたリスクの管理体制はどうなっているのか、そしてどこの部署や事業、製品群などから統合的な管理を始めたいのか-経営トップが強い意思を持ち、グループ全体でリスク管理に取り組む体制を設けていただく必要があります。

しかし実際には、複数の部門にまたがる業務が対象となるため、どの組織がリーダーシップをとるのかが障壁(インターナル・ポリティクス)になることが多々あります。

この点、GRCツールを使うことで、特定の部門に負担が偏ることなく、各部署でどのような資産が足りないのか、どのようなリスクを見逃していたか、またはどのような資源を重複して準備していたかなどが自然と見えてきます。そしてこのような環境下にあれば、協調性や連携作業が得意な日本企業にとっては、全社的な危機管理の見直しと再構築に向けてきっと大きな一歩を踏み出しやすくなっていることでしょう。



情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?