ポイント
- ERM(全社的リスクマネジメント)とBCM(事業継続マネジメント)の統合により、リスクの早期察知から危機対応、復旧までの一貫したサイクルを確立できる。
- 統合の効果として、リスクの全体像の可視化、意思決定の質とスピード向上、リソース最適配分、組織のアジリティ向上の4つが実現し、レジリエンス[1]が受動的防御から能動的な意味合いへと転換する。
- 多くの組織で統合が進まない要因として、部門間のサイロ化、異なる評価指標や報告ライン、重複作業などのグローバル共通の課題に加え、日本企業では縦割り構造や規格別管理の問題が存在する。
- WTWが提唱する5つの統合ステップ(統一リスクプロファイル策定、部門横断的協働、ERM視点の演習、対応プロトコル標準化、継続的改善)により、段階的かつ体系的な統合が可能となる。
- 日本企業特有の課題として、J-SOX、ISO22301、ISO31000など複数の管理体系が独立運用され、経営層の関与不足と地震対策偏重の傾向があるが、近年は統合への機運が高まりつつある。
- 不確実性の時代において、ERM-BCM統合による戦略的レジリエンスの構築は、もはや選択肢ではなく必須要件であり、リスクを成長機会に転換し、持続的競争優位を確立する鍵となる。
はじめに:レジリエンス強化の新たな潮流
今日の企業経営を取り巻く環境は、かつてないほど複雑かつ不確実性に満ちている。パンデミック、地政学的緊張、サイバー攻撃、気候変動、サプライチェーンの混乱、米国の関税措置など、従来の想定を超えた規模と速度でリスクが顕在化し、相互に連鎖しながら企業活動に影響を及ぼしている。
このような環境下において、企業に求められるのは単なる「生存」ではない。混乱や変化を新たな成長機会へと転換し、競争優位性を確立する能力、すなわち「戦略的レジリエンス」の構築が不可欠となる。
従来、多くの企業では、ERM(Enterprise Risk Management:全社的リスクマネジメント)とBCM(Business Continuity Management:事業継続マネジメント)が別々の部門で管理され、それぞれ独立した活動として運営されてきた。ERMは取締役会や経営層に近い位置で戦略的・財務的リスクを評価し、BCMは現場に近い位置で、災害対応や業務復旧を担当するという分業体制である。
しかし、我々は、この分断された状態を「レーダーはあるが救命ボートがない」 「救命ボートはあるがレーダーがない」状態に例え、両者の統合なくして真のレジリエンスは実現できない、と警鐘を鳴らしたい。ERMがリスクを早期に察知する「レーダー」の役割を果たし、BCMが実際の危機に対応する「救命ボート」として機能するとき、初めて組織は予測から対応、復旧から学習までの一貫したリスクマネジメントサイクルを確立できるのである。
実際、ERM-BCM統合に取り組んでいる企業では、リスク対応時間の短縮、コスト削減、意思決定の迅速化など、具体的な成果が見て取れる。本ニュースレターでは、なぜERM-BCM統合が必要なのか、統合を阻む要因は何か、そして、どのように統合を進めるべきかを考えていきたい。
なぜERM-BCM統合が進まないのか
ERMとBCMの統合がもたらす効果は明白であるにもかかわらず、多くの組織では依然として両者が分断された状態で運用されている。この分断は、クローバル共通の構造的課題と、日本企業特有の事情が複雑に絡み合って生じている。
クローバル共通の課題
最も根深い問題は、組織内の「サイロ化(縦割り)」である。多くの企業では、ERM部門が財務・戦略リスクに集中し、BCM部門が災害対応・業務復旧に特化するという、分業体制が確立されている。両部門は異なる報告ラインを持ち、使用する言語や評価指標も異なるため、情報共有や協働が困難となっている。例えば、ERM部門が識別したサイバーセキュリティリスクの情報が、BCM部門のIT復旧計画に反映されないケースは珍しくない。逆に、BCMの訓練で発見された脆弱性が、ERMのリスク評価に組み込まれないこともある。このような情報の分断は、組織全体のリスク対応力を著しく低下させる。ほかにも下表に示す問題が散見される。
分断による問題の具体例
| 問題カテゴリ | ERM側の活動 | BCM側の活動 | 結果として生じる問題 |
|---|---|---|---|
| 情報の分断 | サイバーリスクを「高」と評価 | IT復旧計画でサイバー攻撃を想定せず | 実際の攻撃時に対応が後手に |
| 重複作業 | 全社リスク評価を実施 | 独自にBIAを実施 | 同じ部門に2回ヒアリング、現場の負担増 |
| 優先順位の不一致 | 財務リスクを最優先 | 業務継続を最優先 | リソース配分で対立、経営判断の遅れ |
| 言語・指標の相違 | リスクスコア、KRIで管理 | RTO、RPOで管理 | 相互理解が困難、統合評価ができない |
日本企業特有の障壁
日本企業においては、これらのクローバル共通の課題に加えて、独自の構造的問題が存在する。
日本企業における縦割り構造の実態
| 管理体系 | 主管部門 | 主な活動 | 他部門との連携状況 |
|---|---|---|---|
| J-SOX対応 | 内部統制部門 | 財務報告の信頼性確保 | BCMは「ITの全般統制」の一部として部分的に考慮 |
| ISO22301 | 総務部門 | BCMSの構築・運用 | 独立して運用、ERMとの連携なし |
| ISO9001 | 品質管理部門 | 品質マネジメント | 品質リスクに特化、全社リスクとの統合なし |
| 情報セキュリティ | IT部門 | ISMS運用 | 独自のリスク評価、BCPとの連携不足 |
| ISO31000 (ERM) | 経営企画部門 | 全社リスク評価 | 上記すべてと連携不足 |
このような縦割り構造は、それぞれの規格や規制への対応としては機能するものの、組織全体のレジリエンス強化という観点では大きな障害となっている。
また、経営層の関与不足も深刻である。日本では、「BCM=災害対応」、「ERM=内部統制の一部」として捉えられる傾向が強く、戦略的な経営課題として認識されていない。このため、統合に必要な経営資源の配分や組織横断的な権限付与が行われず、部門レベルでの部分最適に陥りやすい。
さらに、日本企業の多くは、地震対策に偏重した災害対応体制を構築してきた歴史があり、サイバーリスク、地政学リスク、気候変動リスクなど、多様化する脅威への統合的なアプローチが遅れている。
WTWが提唱するERM-BCM統合の意義
統合がもたらす4つの戦略的効果
WTWは、ERM-BCM統合により、以下の4つの戦略的効果が得られると分析している。
- 第1に、リスクの全体像の可視化である。 ERMで識別された戦略的リスクとBCMで分析された業務影響が統合されることで、リスクの相互関連性と連鎖的影響が明確になる。例えば、地政学的リスクがサプライチェーンの混乱を引き起こし、それが財務リスクへと波及するといった複合的なシナリオを、統合的に評価・対応できるようになる。
- 第2に、意思決定の質とスピードの向上である。 統合されたリスク情報と事業影響分析により、経営層は包括的な視点から迅速に判断を下せる。ある金融機関では、統合ダッシュボードの導入により、危機対応の初動判断が大幅に改善されたという例もある。
- 第3に、リソースの最適配分である。 ERMとBCMが別々に予算を確保し、重複した対策を実施する非効率が解消される。統合により、リスクの優先順位に基づいた戦略的なリソース配分が可能となり、同じ予算でより高い効果を実現できる。
- 第4に、組織のアジリティ(機敏性)の向上である。 統合された体制では、新たなリスクの出現や環境変化に対して、組織全体が一体となって迅速に適応できる。COVID-19パンデミックにおいて、統合体制を持つ企業が他社に先駆けて事業モデルの転換を実現できたのは、この機敏性の証左である。
本寄稿の全文(全9ページ)は、下記の資料ダウンロードセクションにあるファイルをダウンロードしてご覧ください。
脚注
- 困難な状況に直面した際に、それらに適応し、回復する力 記事に戻る
