BCP 実効性向上のポイント

Transcription

1 1. はじめに 東日本大震災では 従来の事業継続計画における想定外または想定はしていたが対策が不十分だったリスクとして 大きく次の 3 つのリスク事象が顕在化しました 原発周辺地域への立ち入り制限区域の設定が発生した 被災が長期間かつ広範囲に及んだ 業務委託先の被災によりサプライチェーンに分断が生じた 金融機関においても これらリスクの顕在化を踏まえ 既存の事業継続計画の実効性を向上させるための更なる対策が求められています 実効性向上のポイントには各社の経営環境により様々なものがあると思いますが 東日本大震災からの教訓 昨年末に発表された 中央防災会議 の 首都直下地震対策検討ワーキンググループの報告 金融機関における業務のアウトソーシングの進展といった現状を踏まえ 本稿では 業務委託先によるサプライチェーンの分断をいかに防ぐか を目的に 事業継続計画における委託業務の業務継続性の確保を検討ポイントとして解説していきます 本稿では その委託業務は業務継続する必要があるかどうか を検討する手順 ポイントを第 2 章 ~ 第 4 章で解説し 次に検討した結果を基に業務委託先に対する業務継続性をどの様に確保していくかの具体的な取り組み例を第 6 章で解説します 本稿が金融機関における事業継続計画の実効性向上の一助になれば幸いです 新日本有限責任監査法人

2 2. 委託業務の明確化について 本章では 優先業務と委託業務の関係を確認するためのポイントを解説します BCP 1 の対象業務について 本章では 金融機関 ( 以降自社と表現します ) で優先的に業務復旧が必要となる重要な業務 ( 以降優先業務と表現します ) が BCP にて定義されている事を前提に解説を進めます 優先業務の決め方については 本稿では触れませんが 一般的には BIA (Business Impact Analysis) 等を通じて決定されます また 自社の BCP においては 優先業務毎に目標復旧時間 (RTO: Recovery Time Objective) 目標復旧レベル (RLO: Recovery Level Objective) が設定され BCP を実行するための対策本部等の体制や組織 バックアップシステム等が既に整備されている事を前提としています BCP 対象業務と業務委託の関係整理 最初の検討ポイントは 自社の優先業務における業務委託をどのように識別するかという事です この検討を通じて自社の優先業務の業務委託先を区別できるようします 自社の優先業務の担当部署等を通じ業務委託先をピックアップします 自社の優先業務と委託業務の粒度が異なるため すぐに判断がつかないような場合は 優先業務の業務フロー等を通じて委託業務 ( または業務委託先 ) の業務フロー上の位置付け ( 優先業務の継続に不可欠な業務なのか はずせる業務なのか ) を確認します さらに自社 BCP に照らし RTO に影響を及ぼす業務なのか否かの確認 つまり優先業務のフローの中でも優先度が最優先の業務なのか 劣後する ( 後回しにできる ) 業務なのか確認します 自社の優先業務の業務委託先については 業務委託先の管理簿等に区分を設け業務委託先および優先業務の両方から検索できるようにしておくと契約の更新時や業務委託先の定期評価時に有効です また 委託業務について 最優先の業務なのか劣後する業務なのかの区別も付けておきます 2

3 3. 業務継続における業務委託先の必要性について 第 2 章で委託業務が自社の優先業務の業務継続に必要不可欠な業務なのか否かを判断しました では 該当業務が業務継続に必要不可欠な業務の場合 かつ RTO に影響を及ぼす業務なら必ず業務委託先で業務の継続が必要でしょうか 委託業務に関して業務委託先への依存の程度が低い場合 または 優先業務でも劣後する業務の場合は 該当業務委託先については 一時的に業務委託を中断する事ができないか検討しておきます 業務委託先で業務継続する事は当然のように思えますが その対応が委託業務のコストに含まれる事を意識する必要があります 業務が単独の委託先へ委託されている場合は 自社で担う該当業務と作業処理件数 作業時間等の量的な指標を比較する事で依存の程度を判断できます あくまでも自社で該当業務を実行し 業務委託先は 自社の業務処理量のキャパシティを超えた場合の補助にすぎないような場合は 依存の程度は高くないと判断できます 同一業務を多数の業務委託先に分散して委託している場合は 個々の業務委託先への依存の程度は高くないと判断しても良いでしょう 同一業務かどうかの判断については 委託業務内容を詳細に分析し 確認する事が必要です 例えば 顧客へ届ける報告書の印刷と発送業務については 専用のはがき に印刷して圧着して発送するのと A4 の汎用的な用紙に印刷して 封筒に封入封緘して発送するのとでは 委託先における機器等設備が異なる事から 同一業務と整理出来ないような場合もあります 業務依存の程度の判断については業務処理量等量的な指標以外にも 該当業務の遂行に必要な専門的 ( 特殊 ) な設備の有無 該当業務の遂行に必要な専門的 ( 特殊 ) なシステムの有無等質的な指標が考えられます 業務処理量は少なくても該当業務委託先にしかない特別な設備を使用しなければ業務が実行できないような場合は 業務委託先への依存の程度は高いと判断せざるをえません また 共同システムセンターのように専用のセンター設備を自社には保有せず かつ システム運用管理業務と一括して業務委託しているような場合は システムセンターの運営能力がない事から 業務委託先への依存の程度を高いと判断せざるをえないケースもあります 4. 委託業務に対する対応方針について 第 3 章で 優先業務における委託業務の位置づけを把握しました 次に業務委託先で委託業務が中断した場合の自社の対応方針について 検討します この場合の対応方針としては 大きく次の 3 つの方針が考えられます 委託業務毎に基本的にどの対応方針で臨むのか決定します 1 業務委託先で業務継続する 2 他の業務委託先で該当業務委託先に代わり実施する ( 本稿では 他社代替 と表現します ) 3 自社で該当業務委託先に代わり実施する ( 本稿では 自社代替 と表現します ) 第 3 章で確認した委託先への依存の程度を参考に対応方針を検討します 委託業務の業務委託先への依存の程度が高い場合は 業務委託先で業務継続する を選択せざるを得ません 該当業務の業務委託先への依存の程度が低い場合 つまり 同一業務を分散して業務委託しているような場合や基本的には自社で業務を実施しているような場合は 他社代替 または 自社代替 が選択できる可能性があります 但し 他社代替 の場合は 他の業務委託先には同様のリスクが及ばない事が前提となりますので 注意が必要です 例えば 全ての業務委託先の業務実施拠点が首都圏にある場合は 首都直下地震のリスクは 全ての業務委託先に及びますので 他社代替 は有効ではありません 自社代替 についても前項と同様のリスクが発生する可能性がる場合 または 次のケースに該当する場合は 自社代替 の選択は 注意が必要です 平時は自社で該当業務を実施していない場合は 本当に自社で代替が可能なのか実現可能度合いについて確認が必要です 自社でもできそうだからというような曖昧な理由ではなく 知識 スキル マンパワーの面から確実に対応できる業務のみを選定する必要があります 3

4 5. 業務委託先における業務継続態勢について 本章では 業務委託先における業務継続態勢 2 の現状確認のポイントについて解説します 確認のポイント まずは 業務委託先で BCP が整備できているのか 確認します 現在では金融機関において業務継続態勢を整備しているのが一般的ですが 中央防災会議 の 首都直下地震対策検討ワーキンググループの報告 において 業務継続計画の策定 が課題として明記されている事を踏まえると 全ての業務委託先において BCP を適切に整備している事を改めて確認する必要があるでしょう 次に 業務委託先の定めた BCP の内容を確認し 自社からの委託業務が対象になっている事 自社が定める RTO や RLO 等と整合性が取れている事まで 踏み込んで確認しておく必要があります 更には 委託業務の BCP についての教育や訓練等で 対策の実現可能性を確認し 訓練の結果を BCP にフィードバックする事で実効性の向上が図られているか等 業務継続に係る PDCA の運用状況についても確認します 具体的にどのような BCP を整備しているのか確認するには 質問票 等で確認する方法が考えられます 業務委託先にアンケートを送り 文書で回答してもらう事をイメージして下さい 回答は 文字ではなく選択肢として提示し 選択してもらう方式も考えられます 質問票 を使用するのは 確認事項を標準化する事で確認漏れを防止するとともに 標準化した確認事項をまとめる事で優先業務委託先全体の態勢整備状況を把握し 各社の整備状況を横並びにする事で整備状況の差 ( 自社の整備状況との差も確認します ) を明確にするためです 質問票 等に記載する内容については 自社の BCP の内容を基軸にすると良いですが 第 6 章で示す業務継続に係る要求事項が既に規定されている場合は 要求事項の内容を確認する事になります 6. 具体的な BCP の見直し例 本章では 自社で決定した委託業務に対する対応方針に基づいて 業務委託先で業務継続する を選択した場合は 自社のコントロールが直接及ばない業務委託先における BCP 整備の対応についてサンプルで解説します 1 業務委託先に求める業務継続に係る事項の検討業務委託先に求める業務継続に係る自社の要求事項案を検討します この検討を通じて業務委託先に求める業務継続のために必要な経営資源 ( 要員 システム 設備等 ) の概要 ( 規模感等 ) を把握しておくと次のステップで行う業務委託先との事前調整においても業務委託先と具体的な協議が促進できると考えます 対象業務の明確化 業務委託先に単一の業務を委託している場合を除き 具体的にどの業務に対して 業務継続を求めるのか決定します その際には 業務委託先と認識が一致するように契約書等の委託業務名称を参照すると良いでしょう 契約書等に規定されている委託業務が 配送業務 等包括的に規定されているような場合は 委託先へ確認を行い具体的な業務名称を特定する または 配送物を優先業務の物とする等を行い 対象業務を特定する必要があります BCP 発動基準の明確化どの様な事態が発生した場合に業務委託先で BCP を発動させるのか 明文化する事が必要です できれば 自社の BCP に規定されているリスクシナリオを業務委託先に明示し 共有しておくと危機発生時でも齟齬が発生する可能性を抑える事が期待できます 必要に応じてリスクシナリオ毎に BCP の整備を求める事も検討します 4

5 業務執行場所の明確化 業務委託が単一の場所 ( 事務所 工場 本社等の拠点 ) で業務を実施している場合を除き 具体的にどの拠点または地域で業務継続を求めるのか決定します また 現在該当業務を実行している拠点以外の拠点 ( 例えば業務委託先の本社は東京にあり通常は東京で該当業務を実施していても 同じ業務を大阪で関西地域に拠点がある顧客向けに提供しているような場合 ) で業務継続を求めるかどうかも決定します その際には 自社の BCP で規定している危機対応時の拠点 ( 関東の拠点が機能しない場合は 関西の拠点で業務継続する等 ) との整合性を確認します 目標復旧時間 (RTO) の明確化 委託業務が業務委託先で中断した場合にどのくらいの日時で委託業務の業務継続を開始 ( 復旧 ) するのか業務委託先に求める目標値を決定します この際にも自社の RTO 該当業務の前後関係や顧客との契約等を参考にしていつまでに業務を開始しなければならないのかを決定します 目標復旧レベル (RLO) の明確化 委託業務の業務継続を開始 ( 復旧 ) する際にどの程度まで委託業務を復旧させるのか自社の求める目標値を決定します この際は 業務の特性 ( 例えば 業務におけるシステム依存度が大きい場合は バックアップシステムの規模や構成により段階的にしか復旧できない可能性があります ) やリスクの特性 ( 例えば 業務における人員依存度が大きい場合は パンデミックのリスクを考えるとパンデミックの終息状況により段階的にしか復旧できない可能性があります ) に応じて一気に 100% 復旧できるのか または段階的にしか復旧できないのか調査 分析しておく必要があります コミュニケーション手段 連絡先の明確化 東日本大震災では 電話回線等の寸断により自社内においても連絡手段を確保する事が困難でした 業務委託先との間においても大規模災害時にはどのような手段でコミュニケーションを取るのか 検討し 合意しておく事が必要です また 相互の対策本部の連絡先をはじめ 業務担当者間の連絡先 報告を求める内容についても文書化を規定する事が必要です 2 業務委託先との事前調整上記 1 で検討した業務委託先への業務継続に係る要求事項については 業務委託先で確実に実行してもらえる事が重要なため 要求事項の実現可能性を検討する必要があります 自社で要求事項案が固まった段階で業務委託先と意見交換し 現実的な着地点 ( 合意事項 ) を見いだす事が必要です この段階で自社における委託業務の優先度や業務継続の必要性を業務委託先に説明し 理解させる必要があります また 意見交換時に業務委託先の業務継続に対する姿勢を確認しておく事も重要です 特に業務委託先への依存の程度が高い場合で 業務委託先が業務の継続態勢の整備に消極的な態度を取っていた場合は 以降の業務継続に対する契約面の整備を具体化するステップにおいても同様の傾向が見受けられると思われます この様な業務委託先では 最悪の場合 自社の優先業務の業務継続が確保できない事が考えられますので 代替手段 ( 他社代替 自社代替等 ) も念頭に置いた協議が必要です 業務継続上の要求事項の調整については 業務委託先と訓練に関する事項についても協議が必要です ここでいう訓練とは 業務委託先が独自に行う訓練のみならず 自社との共同訓練を含みます 特に自社で訓練プログラムを整備済みの場合は 業務委託先と協議し 業務委託先を主体的に訓練に参加させるべく誘導する事が望ましいです 段階的にしか復旧できない場合は 当初どの程度まで業務を復旧する必要があるのか 決定します 5

6 また 要求事項が合意できたとしても業務委託先で確かに実行できる見込みが本当にあるのか 確認が必要です 最低限 業務委託先から業務継続に対する取り組み状況について定期的な報告を徴求すべきです できれば 定期的に自社から監査 ( 自社の内部監査または自社が依頼した外部監査を想定 ) を実施して 業務委託先における BCP 等文書類の整備状況 対策本部等体制の準備状況 BCP に係る教育や研修の状況 BCP に係る訓練の状況 業務継続に係る課題の対応状況 業務継続に係る新たな取り組みの状況 業務委託元への緊急時連絡先の維持管理状況 ( 緊急時連絡先の内容が自社の組織変更や人事異動等を反映しているかの確認も必要です ) 等は最低限確認し 不備や課題が発見された場合は 改善を申し入れ 計画的に委託業務における業務継続性の確保を図る必要があります 3 業務委託先との契約面の整備業務委託先との契約内容について 委託業務の業務継続に係る事項がどの程度規定されているかの再確認し 契約により業務委託先における業務継続の実効性を担保する事を目指します 契約書等の見直しポイント 契約の方式は 覚書の締結やSLA ( Service Level Agreement) の締結等様々な方法があると思いますが 文書化しておく事が必要です 特に業務継続上の要求事項は 表形式で規定する方が 環境変化に応じた維持管理が容易な事 自社のBCPへの取り込みが容易な事 何よりも一覧性が高いので危機発生等社内が混乱している状況でも分かり易等 メリットが多いと考えます 業務継続訓練に関する事項についても 前述の 2 で合意した内容を取り込みますが 業務継続に関する訓練について自社からの求めに応じて参加しなければならない 事は 最低限明文化する事が必要です 4 業務委託先の選定 評価について委託業務の業務継続性確保においては 優先業務という自社業務の生命線を委ねられるビジネスパートナーの存在が必要です 業務継続態勢が整備された適切な業務委託先を確保するには 業務委託先の選定における評価基準についても業務継続態勢の整備 運用状況に関する評価項目が必要です ここでは 第 5 章で記述した 質問票 の利用を前提に評価方法の検討ポイントについて解説します BCP に関する評価基準 質問票 に記述した確認事項の充足状況を定性的 ( ある ない できている できていない等 ) および定量的 ( 危機発生時に確保できる要員数 その要員数で実施可能な業務処理量等 ) な観点から評価するように基準を検討する事が必要です 既に業務委託先の評価基準 ( 尺度 ) がある場合は その評価基準を流用しても良いでしょう できれば 質問票 を作成する段階から確認事項に対する業務委託先に対する評価を念頭に置いた確認事項を設定する事が望ましいです 確認事項をカテゴリー毎 ( 対策本部等全社的な事項 委託業務に関する事項 BCP の整備状況に関する事項 代替拠点の確保等具体策に関する事項等 ) に整理して カテゴリーにウェイトをつけて評価する事が考えられます 自社の優先業務の委託先としては 最低限この事項については充足してほしいという基準を明確にする事が必要です 例えば BCP を全く保有していないような業務委託先については 低い評価または BCP に関しては不備となるように評価基準にウェイトを付ける事も検討します また 自社からの業務継続に関する要求事項に対して 現時点では 全ては充足できないが 計画的に業務継続態勢を整備する事を約束した業務委託先に対しては 自社からも BCP 整備のための支援を提供するとともに BCP を整備するための期限についても予め定めておく事が必要です 1 事業継続計画事業継続計画は 金融機関により呼称は様々でコンティンジェンシープランとは厳密に区別していない例もあると思いますので 本稿では BCP と表現します 2 業務継続態勢 BCP 対策本部体制や組織 業務のバックアップ拠点やバックアップセンター バックアップシステムの整備状況や BCP に関する教育 訓練等会社全体の取り組みをさして態勢と表現します 6

7 EY Assurance Tax Transactions Advisory お問い合わせ先 新日本有責任監査法人 金融アドバイザリー部 プリンシパル藤森一弘 Tel: 新日本有限責任監査法人 金融アドバイザリー部 マネージャー猿田治 Tel: EY について EY は アシュアランス 税務 トランザクションおよびアドバイザリーなどの分野における世界的なリーダーです 私たちの深い洞察と高品質なサービスは 世界中の資本市場や経済活動に信頼をもたらします 私たちはさまざまなステークホルダーの期待に応えるチームを率いるリーダーを生み出していきます そうすることで 構成員 クライアント そして地域社会のために より良い社会の構築に貢献します EY とは アーンスト アンド ヤング グローバル リミテッドのグローバル ネットワークであり 単体 もしくは複数のメンバーファームを指し 各メンバーファームは法的に独立した組織です アーンスト アンド ヤング グローバル リミテッドは 英国の保証有限責任会社であり 顧客サービスは提供していません 詳しくは ey.com をご覧ください EY FSO( 日本エリア ) について EYフィナンシャル サービス オフィス (FSO) は 競争激化と規制強化の流れの中で様々な要望に応えることが求められている銀行業 証券業 保険業 アセットマネジメントなどの金融サービス業に特化するため それぞれの業務に精通した職業的専門家をグローバルに有しています また 各業界の規制動向を予測し 潜在的な課題に対する見解を提示するため 業種別にグローバル ナレッジ センターを設け 規制動向の収集や業界分析を行っています EY FSO( 日本エリア ) は グローバル ネットワークと連携して 金融サービス業に精通した職業的専門家が一貫して高品質なサービスを提供しています 2014 Ernst & Young ShinNihon LLC. All Rights Reserved. 本書は一般的な参考情報の提供のみを目的に作成されており 会計 税務及びその他の専門的なアドバイスを行うものではありません 新日本有限責任監査法人及び他の EY メンバーファームは 皆様が本書を利用したことにより被ったいかなる損害についても 一切の責任を負いません 具体的なアドバイスが必要な場合は 個別に専門家にご相談ください ED None