東 京 海 上 日 動 リスクコンサルティング( 株 ) 情 報 グループグループリーダー 指 田 朝 久 128 リスクマネジメントと 事 業 継 続 危 機 管 理 の 相 互 関 係 本 文 要 約 リスクマネジメントシステム JISQ2001 と ISOGuide73 が 制 定 され 考 え 方 が 整 理 されたが その 普 及 活 動 を 実 施 していると 現 状 企 業 等 で 用 いられているリスクマネジメントに 関 する 用 語 や 概 念 が 依 然 根 強 いことがわかった さらにリスクマネジメントシステムに 類 似 する 事 業 継 続 の 概 念 が 普 及 しはじめ また 危 機 管 理 という 用 語 も 用 いられている 加 えて COSO によるERM( 事 業 体 全 体 のリスクマネジメント)の 提 案 もなされている このような 現 状 においてリスクマネジメント の 議 論 を 行 う 場 合 は まず 当 事 者 と 用 語 や 概 念 の 定 義 および 主 張 点 を 確 認 することが 不 可 欠 であ る ここでは 現 在 様 々な 用 いられ 方 をされているリスクマネジメントの 概 念 の 説 明 と リスクマ ネジメント 事 業 継 続 危 機 管 理 の 概 念 の 整 理 をする また 概 念 の 混 同 の 原 因 のひとつと 考 え られるリスクマネジメントシステムとリスクマネジメントプロセスの 違 いにつき 整 理 をする 1.リスクマネジメントシステム 等 の 浸 透 状 況 の 現 状 把 握 (1)アンケート 調 査 による JISQ2001 の 浸 透 度 JISQ2001 リスクマネジメントシステム 構 築 のための 指 針 1 の 浸 透 度 は 必 ずしも 高 くない 財 団 法 人 日 本 情 報 処 理 開 発 協 会 が 2006 年 3 月 に 発 表 した わが 国 における 情 報 セキュリティ の 実 態 2 によれば JISQ2001 を 利 用 している 6.4% 知 っている 45.1% となっており 2004 年 3 月 に 実 施 した 前 回 調 査 3 の 数 字 である JISQ2001 を 利 用 している 3.3% 知 ってい る 32.3% に 比 較 して 増 加 しているがまだ 不 十 分 な 状 況 である 調 査 対 象 者 が 情 報 システム 部 門 に 偏 っていることを 差 し 引 いても 普 及 しているとはいいがたい 状 況 である (2) 危 機 管 理 セミナーにおける 現 状 把 握 リスクマネジメントと 危 機 管 理 の 包 含 関 係 をどのように 捉 えるかについて 2005 年 10 月 24 日 に 実 施 された 特 定 非 営 利 活 動 法 人 危 機 管 理 対 策 機 構 D-PACプロジェクト 2005 の 講 演 会 の 出 席 者 約 100 名 に 対 して 挙 手 によるアンケートを 主 催 者 が 実 施 したところ リスクマネジ メントが 危 機 管 理 を 包 含 する と 危 機 管 理 がリスクマネジメントを 包 含 する と 回 答 した 1
数 がほぼ 同 数 であった (もうひとつの 選 択 肢 の リスクマネジメントと 危 機 管 理 は 同 じであ る という 選 択 はほとんど 無 かった)( 図 1 参 照 ) 図 1 リスクマネジメントと 危 機 管 理 の 包 含 関 係 ここで 危 機 管 理 がリスクマネジメントを 包 含 する と 回 答 した 人 に 筆 者 がその 理 由 を 聞 くと 以 下 の 回 答 があった 1 企 業 全 体 で 取 り 組 むものが 危 機 管 理 であり リスクマネジメントは 保 険 の 上 手 な 掛 け 方 を 指 す 2 危 機 管 理 はコンプライアンンスを 含 む 企 業 活 動 の 原 点 である リスクマネジメントは 事 故 や 災 害 の 防 止 活 動 である 当 該 講 演 会 の 出 席 者 は 主 に 企 業 の 災 害 対 応 や 危 機 管 理 の 実 務 担 当 者 であるが このような 考 え 方 をみると JISQ2001 や Guide73 4 は 浸 透 しておらず リスクマネジメントを 防 災 や 保 険 に 限 定 する 古 典 的 な 捉 え 方 が 依 然 として 残 っていることがわかる (3) 類 似 概 念 の 普 及 2005 年 は 経 済 産 業 省 5 や 内 閣 府 6 が 相 次 いで 事 業 継 続 ガイドラインを 発 表 し リスクマネジ メントと 近 接 した 概 念 である 事 業 継 続 の 概 念 が 浸 透 してきた また リスクマネジメントそのものもCOSO 7 の 流 れを 受 けて リスクマネジメントと 内 部 統 制 の 概 念 の 普 及 が 見 られ この 場 合 の リスクマネジメント の 概 念 は ISO Guide73 とは 一 致 していない このように 現 状 では 様 々な 用 語 8 が 用 いられている ここではどれが 正 しい 等 の 議 論 をす るのではなく 当 事 者 同 士 で 言 葉 の 定 義 や 概 念 を 確 認 しないと 誤 解 が 生 じる 恐 れが 強 い 現 状 2
にあることを 認 識 する 必 要 があると 指 摘 しておく 2. 概 念 の 整 理 リスクマネジメントシステムを 中 心 に 据 えて 事 業 継 続 危 機 管 理 および COSO のリス クマネジメント の 整 理 を 行 う (1)JISQ2001 リスクマネジメントシステムの 概 念 JISQ2001 リスクマネジメントシステムの 定 義 では リスクマネジメント は リスクに 関 して 組 織 を 指 導 し 管 理 する 調 整 された 活 動 ; 備 考 リスクマネジメントには 一 般 的 に リスク 算 定 リスク 評 価 リスク 対 応 リスク 受 容 及 びリスクコミュニケーションを 含 む と 定 義 されている 企 業 全 体 を 対 象 とすることもその 中 の 一 部 の 組 織 を 対 象 とすることもで きる また 対 象 とするリスクを 限 定 していない (2) 事 業 継 続 の 概 念 内 閣 府 事 業 継 続 ガイドライン 9 では 事 業 継 続 は 災 害 時 に 特 定 された 重 要 業 務 が 中 断 しないこと また 万 一 事 業 活 動 が 中 断 した 場 合 に 目 標 復 旧 時 間 内 に 重 要 な 業 務 を 再 開 させ 業 務 中 断 に 伴 う 顧 客 取 引 の 競 合 他 社 への 流 出 マーケットシェアの 低 下 企 業 評 価 の 低 下 な どから 企 業 を 守 るための 経 営 戦 略 としている ( 図 2 参 照 ) 図 2 事 業 継 続 の 概 念 ( 内 閣 府 事 業 継 続 ガイドラインより) 事 業 継 続 ガイドラインでは 継 続 的 改 善 であるマネジメントシステムを 前 提 としており ま た 取 組 みにおいて 事 前 事 後 復 旧 の 時 間 軸 を 持 ち JISQ2001 リスクマネジメントシステム 3
と 親 和 性 がある 事 業 継 続 を 構 築 する 対 象 は 何 らかの 理 由 で 企 業 の 主 要 な 機 能 が 停 止 した 場 合 であるが 先 進 企 業 の 実 例 では 地 震 火 災 情 報 システム 停 止 取 引 先 の 事 故 テロ ラ イフラインの 停 止 疫 病 が 発 生 した 場 合 等 つまり 災 害 を 対 象 としている 逆 に 法 令 違 反 に よる 営 業 停 止 処 分 への 対 応 などは 対 象 としていない 結 論 として 事 業 継 続 はリスクマネジ メントシステムに 内 包 されると 考 えてよい 図 3 JISQ2001 と 事 業 継 続 ガイドラインのカバー 範 囲 実 際 に JISQ2001 と 内 閣 府 事 業 継 続 ガイドラインの 要 求 事 項 を 比 較 したものが 図 3である この 図 のように 内 閣 府 事 業 継 続 ガイドラインは JISQ2001 を 事 業 継 続 を 目 的 として 具 体 的 に 展 開 したものと 考 えてよい 唯 一 内 閣 府 の 事 業 継 続 ガイドラインの 要 求 事 項 が JISQ2001 のカ バー 範 囲 を 超 えているものと 考 えられるものに 地 域 との 協 調 地 域 貢 献 がある 事 業 継 続 の 異 説 に 企 業 の 存 在 目 的 そのものに 自 らの 製 品 供 給 を 通 じて 組 織 を 発 展 さ せるゴーイングコンサーン があり 倒 産 しないための 最 上 位 の 取 組 みが 事 業 継 続 であり リスクマネジメントは 防 災 や 保 険 の 取 組 みに 限 定 とするものがある この 場 合 は 事 業 継 続 が 企 業 全 体 を 対 象 としたリスクマネジメントシステムに 該 当 し ここでいう リスクマネジ メント は 後 述 の リスクマネジメントプロセス のひとつの 適 用 に 該 当 する ここで リ スクマネジメント と 危 機 管 理 と 同 様 の 概 念 の 包 含 関 係 の 混 乱 が 生 じている 例 えば 中 小 企 業 庁 ではホームページで 公 開 している 中 小 企 業 BCP 策 定 運 用 指 針 10 の 中 でBCP の 定 義 を 緊 急 時 企 業 存 続 計 画 または 事 業 継 続 計 画 と 翻 訳 し 企 業 が 倒 産 しない 仕 組 みを 事 業 継 続 の 概 念 と 位 置 づけている このためリスクマネジメントを 防 災 保 険 の 手 法 と 位 置 づけ 事 業 継 続 をリスクマネジメントより 上 位 の 概 念 に 位 置 づけている ( 図 4 参 照 ) 4
図 4 リスクマネジメントと 事 業 継 続 の 関 係 (3) 危 機 管 理 の 概 念 の 整 理 危 機 管 理 については 日 本 工 業 規 格 標 準 情 報 JISTRZ0001 危 機 管 理 システムを 発 展 的 に 解 消 し JISQ2001 を 制 定 する 際 に 危 機 管 理 は 事 後 対 応 に 限 定 して 位 置 付 け リスクマネジメ ントは 事 前 事 後 復 旧 のすべてを 包 含 する つまり 危 機 管 理 を 含 むと 整 理 した Guid e73 の 用 語 の 定 義 でも 危 機 管 理 はリスクマネジメントに 包 含 されると 解 釈 されている ( 図 5 参 照 ) 図 5 JISQ2001 の 言 葉 の 定 義 5
危 機 管 理 はコンプライアンンスを 含 む 企 業 活 動 の 原 点 である リスクマネジメントは 事 故 や 災 害 の 防 止 活 動 である という 主 張 は 危 機 管 理 の 定 義 が JISQ2001 の 定 義 とは 異 な っており 好 ましくない またここでいう リスクマネジメント は 後 述 する リスクマネジ メントプロセス にあたる (4)COSOの 概 念 内 部 統 制 や 内 部 監 査 を 検 討 しているトレッドウェイ 委 員 会 の 進 める 全 社 的 リスクマネジメ ント(ERM;Enterprise Risk Management)では リスクマネジメントの 考 え 方 として 事 業 体 としてあらゆる 局 面 で 事 業 体 がリスクをどのように 考 慮 するかを 特 徴 づける 共 有 化 さ れた 信 念 と 姿 勢 を 表 したもの としている どの 分 野 に 進 出 するか 新 製 品 のコンセプトな どの 戦 略 的 なリスクを 主 対 象 に 災 害 や 法 令 違 反 なども 視 野 にいれた 概 念 を 構 成 している こ の 考 え 方 はグループ 会 社 全 体 を 捉 えたリスクマネジメントシステムと 同 じであると 解 釈 され る なお 重 要 視 されている 内 部 監 査 も JISQ2001 に 明 記 されている ( 図 6 参 照 ) 図 6 COSOのフレームワーク( 財 務 報 告 に 係 る 内 部 統 制 の 評 価 及 び 監 督 の 基 準 案 金 融 庁 企 業 会 計 審 議 会 内 部 統 制 部 会 2005 年 12 月 18 日 公 表 より 作 図 ) 3.JISQ2001 の 主 張 点 と 限 界 および 課 題 先 ほどJISQ2001 のリスクマネジメントの 定 義 をみたが この 定 義 は 組 織 を 前 提 としてい ること また 保 険 や 事 故 対 策 などの 言 葉 は 一 切 ない 特 徴 がある また セミナーのヒ アリングなどで 明 らかになったように 一 般 的 には リスクマネジメント は 保 険 や 製 品 安 全 6
や 労 働 安 全 災 害 対 策 などを 意 味 する 事 も 多 い さらに リスクマネジメントシステムはPD CAの 概 念 を 取 り 入 れた 継 続 的 改 善 の 手 法 であるが ある 課 題 を 解 決 するためにリスクの 発 見 リスク 評 価 リスク 対 応 などをする 1 回 限 りのリスクマネジメントも 存 在 する 例 えば 事 件 事 故 が 発 生 して 事 後 対 応 危 機 管 理 対 応 をしている 時 その 対 応 策 の 各 ステップそれぞれに 成 功 する 場 合 失 敗 する 場 合 が 存 在 し 代 替 策 との 比 較 などを 合 理 的 に 検 討 するために 次 のリス クマネジメントプロセスの 考 え 方 が 適 用 できる 従 ってリスクマネジメントシステムの 普 及 を 行 うには それと 平 行 して リスクマネジメン トプロセス という 組 織 を 前 提 とせず 1 回 限 りでも 有 効 である 何 らかの 行 為 をするため の 意 思 決 定 を 支 援 する 共 通 の 手 順 が 存 在 すべきであるという 主 張 が 専 門 家 からなされ 2005 年 から ISO で 議 論 が 開 始 された 11 4.リスクマネジメントプロセスの 概 念 (1)リスクマネジメントプロセス 例 リスクマネジメントプロセスの 考 え 方 は 古 典 がすでに 存 在 している 代 表 的 なものに 以 下 のものがある 1 リスク 発 見 リスク 評 価 リスク 対 策 12 2 リスク 発 見 予 知 予 防 対 処 復 旧 またオーストラリア ニュージーランド 規 格 リスクマネジメント AS/NZS4360 13 はリスクマ ネジメントプロセス 規 格 として 考 えて 良 い (2)リスクマネジメントプロセスの 留 意 点 事 業 を 営 み 目 標 を 達 成 できるか 否 かという 企 業 全 体 を 見 渡 すERM 部 門 毎 のリスクマネ ジメント 製 品 開 発 自 然 災 害 防 火 医 療 過 誤 等 の 事 故 防 止 活 動 製 品 や 食 品 の 安 全 性 確 保 労 働 安 全 活 動 また 危 機 管 理 対 応 実 施 中 の 判 断 等 のどの 局 面 でも 活 用 でき 組 織 とし ての 意 思 決 定 責 任 者 担 当 者 の 個 人 また 家 庭 での 意 思 決 定 にも 活 用 できる リスクマネジ メントプロセス として 以 下 に AS/NZS4360 を 基 本 とした 試 案 を 述 べる なお 現 在 ISOの 議 論 に 向 けて 日 本 案 の 作 成 が 進 行 中 である <<リスクマネジメントプロセスの 要 素 >>(*が 小 生 の 追 加 意 見 ) 1* 課 題 の 設 定 ( 目 的 を 含 む); 達 成 したい 目 標 や 解 決 したい 課 題 を 設 定 する 2* 課 題 の 保 有 者 (オーナー); 目 標 や 課 題 の 所 有 者 である 企 業 全 体 への 適 用 に 関 しては 株 主 が 課 題 のオーナーにあたる また 部 門 に 目 標 や 課 題 を 委 託 した 場 合 は 経 営 者 や 部 門 長 な どにあたる 個 人 の 場 合 は 課 題 の 保 有 者 と 課 題 解 決 の 責 任 者 は 同 一 となる 7
3* 課 題 のガバナンス( 責 任 者 とオーナーとの 関 係 ); 課 題 解 決 にあたる 責 任 者 が 定 められる 責 任 者 は 課 題 の 保 有 者 から 委 任 をうけて 目 標 達 成 や 課 題 の 解 決 にあたる そのためオーナ ーへの 報 告 や 重 要 な 意 思 決 定 にあたり 承 認 レビュー 過 程 が 必 要 となる 企 業 全 体 のリス クマネジメントでは 株 主 によるガバナンスの 対 象 となり コーポレートガバナンスを 構 成 する 階 層 構 造 をとる 企 業 内 部 では 各 階 層 の 責 任 者 は 上 位 階 層 のガバナンスを 受 ける 4 課 題 の 解 決 のための 環 境 ; 課 題 解 決 のための 外 部 環 境 や 内 部 資 源 の 制 約 条 件 である 5リスク 分 析 (リスクの 発 見 特 定 およびリスク 算 定 ) 6リスクアセスメント(リスク 評 価 ) 7リスク 対 策 計 画 策 定 ( 回 避 低 減 移 転 保 有 ); 保 険 等 リスクファイナンスはこの 一 部 で ある リスク 顕 在 化 の 未 然 防 止 策 およびリスク 顕 在 化 後 の 事 後 対 応 策 の 準 備 も 含 む 8 対 策 の 実 施 ; 統 制 活 動 の 実 施 リスク 顕 在 化 後 の 事 後 対 応 危 機 管 理 を 含 む 9 実 施 結 果 の 監 視 (モニタリング); 自 己 点 検 実 施 状 況 結 果 の 確 認 などを 含 む 10 実 施 結 果 の 評 価 ( 責 任 者 の 評 価 ); 目 標 達 成 や 課 題 解 決 のための 責 任 者 によるレビュー 11その 他 の 項 目 ; 状 況 によっては 必 須 となる 可 能 性 のある 重 要 項 目 オーナー 責 任 者 関 係 者 との 情 報 共 有 を 諮 るリスクコミュニケーション 外 部 からの 助 言 をもらうコンサルティングがある *AS/NZS4360 ではひとつの 項 目 であるがこの2つを 別 項 目 とする (なお 内 部 統 制 では 必 須 である 監 査 は 組 織 を 前 提 とした 場 合 には 必 要 と なるプロセスであるが 個 人 の 場 合 は 必 須 ではないため 要 求 事 項 としない) ( 図 7 参 照 ) 図 7 リスクマネジメントプロセス 図 8
(3)リスクマネジメントプロセスとリスクマネジメントシステムの 解 説 リスクマネジメントシステムはリスクマネジメントプロセスのうち 組 織 を 前 提 とし 日 常 の 予 防 活 動 を 中 心 とした 継 続 的 な 活 動 における 応 用 例 と 捉 える グループ 経 営 を 含 む 企 業 に 適 用 する 場 合 は 企 業 の 階 層 構 造 に 合 わせ 一 番 大 きな 枠 組 みが 企 業 グループ 全 体 の 継 続 的 発 展 を 目 的 とした ERM であり その 場 合 課 題 が 企 業 の 事 業 目 的 の 遂 行 を 阻 害 する 要 因 の 排 除 であり 課 題 の 保 有 者 は 法 的 に 言 えば 株 主 である 課 題 の 解 決 の 責 任 者 として 経 営 者 は 株 主 から 委 任 されており ここにコーポレートガバナンスが 存 在 する リスクマネジメン トシステムは 企 業 全 体 から 各 組 織 毎 各 部 門 毎 グループ 会 社 等 企 業 の 階 層 構 造 に 伴 って 階 層 化 される 各 下 位 組 織 で 実 施 されるリスクマネジメントシステムは 課 題 の 設 定 や 責 任 者 の 委 任 などについて 上 位 階 層 のガバナンスを 受 ける ( 図 8 参 照 ) 図 8 リスクマネジメントシステムのガバナンス 5.まとめ リスクマネジメントについて JISQ2001 や Guide73 の 定 義 は 必 ずしも 浸 透 していないため 当 事 者 間 で 必 ず 用 語 と 概 念 の 確 認 をしてから 議 論 をすべきである リスクマネジメントはリスク マネジメントシステムとリスクマネジメントプロセスを 区 別 すべきである リスクマネジメン トシステムはリスクマネジメントプロセスを 組 織 に 適 用 した 応 用 形 態 である リスクマネジメ ントシステムに 事 業 継 続 と 危 機 管 理 は 内 包 される またリスクマネジメントシステムを 企 業 グ ループ 経 営 に 適 用 させた 概 念 が 全 社 的 リスクマネジメント(ERM)にあたる 一 方 リスク マネジメントプロセスはすべての 意 思 決 定 に 適 用 できるモジュールであり 製 品 開 発 や 事 業 継 続 や 危 機 管 理 の 各 行 動 にも 適 用 できる 9
追 記 本 論 文 を 執 筆 中 恩 師 である 東 京 大 学 廣 井 脩 教 授 が 亡 くなられた 図 3 JISQ2001 と 事 業 継 続 ガイドラインの 関 連 図 は 亡 き 廣 井 先 生 から 整 理 するように 宿 題 を 投 げかけられて 作 成 し たものであったが 生 前 説 明 する 事 が 出 来 なかった この 場 を 借 りて 公 表 するとともに 先 生 のご 冥 福 をお 祈 りいたします 参 考 文 献 1) 日 本 工 業 標 準 調 査 会 ;リスクマネジメントシステム 構 築 のための 指 針 JISQ2001(2001 ) 2) 財 団 法 人 日 本 情 報 処 理 開 発 協 会 ;わが 国 における 情 報 セキュリティの 実 態 情 報 セキュリティに 関 する 調 査 集 計 結 果 平 成 18 年 ;p4(2006) 3) 財 団 法 人 日 本 情 報 処 理 開 発 協 会 ;わが 国 における 情 報 セキュリティの 実 態 情 報 セキュリティに 関 する 調 査 集 計 結 果 平 成 16 年 ;p4(2004) 4) 財 団 法 人 日 本 規 格 協 会 ;JISTRQ0008 リスクマネジメントー 用 語 規 格 に 使 用 するための 指 針 2003 年 <ISO/IECGUI DE73;2002>( 2003) 5) 経 済 産 業 省 商 務 情 報 政 策 局 情 報 セキュリティ 政 策 室 編 ; 事 業 継 続 計 画 (BCP) 策 定 ガイドライン; 財 団 法 人 経 済 産 業 調 査 会 (2005) 6) 内 閣 府 ; 事 業 継 続 ガイドライン( 第 一 版 )(2005); http://www.bousai.go.jp/minkantoshijyou/guideline01.pdf 7) 八 田 進 ニ 監 訳 ; 全 社 的 リスクマネジメント フレームワーク 編 ( 東 洋 経 済 新 報 社 2006) 8) 東 京 海 上 日 動 リスクコンサルティング;リスクマネジメントがよ~くわかる 本 ;p31-32( 秀 和 システム 2004) 9) 丸 谷 浩 明 指 田 朝 久 編 著 ; 中 央 防 災 会 議 事 業 継 続 ガイドライン の 解 説 と Q&A( 日 科 技 連 2006) 10) 経 済 産 業 省 中 小 企 業 庁 ; 中 小 企 業 BCP 策 定 運 用 指 針 ;http://www.chusho.meti.go.jp/bcp/ 11) 野 口 和 彦 ;リスクマネジメントの 今 日 を 読 む 始 まった ISO 規 格 への 議 論 ; 標 準 化 と 品 質 管 理 Vol59 No2;p4-p 12(2005) 12) 徳 谷 昌 勇 ;リスクマネジメントと 内 部 監 査 ; CUC(view&vision) 第 9 号 千 葉 商 科 大 学 経 済 研 究 所 2000 年 3 月 号 13)オーストラリア ニュージーランド 規 格 協 会 Risk Management;AS/NZS4360:1995:(1995) ( 本 論 文 は2007 年 5 月 26 日 に 危 機 管 理 システム 研 究 学 会 ; 危 機 管 理 システム 研 究 学 会 ARIMASS 研 究 年 報 第 5 号 に 報 告 文 として 掲 載 されました) 10