掲載月 : 2011年6月
企業におけるリスク・マネジメントの手法として、近年、「エンタープライス・リスク・マネジメント(ERM)」という手法を採用する企業が増えています。ERMは、部門ごとに行う縦割り型のリスク・マネジメントや、現場を中心に行われるオペレーショナル・リスクに注目したボトムアップのリスク管理に比べ、企業全体のリスクについて評価できる手法です。ERMを用いることで、企業活動の目標とリスクの関係を総合的に把握し、異なるリスク事象の重要度を相対的に評価し、相互影響度を考慮できるようになるため、リスクの重要度や対応策を、企業経営レベルで総合的にとらえ優先順位を付けることが可能になります。
IBMでもERMへの取り組みを開始しており、それを通じて経営層が世界中のIBMのリスクについて同じ認識を持ち、悪い影響が起こる前に最善策を決定し、事業計画に反映することを実現しようとしています。こういったIBMでの取り組みをもとに、企業を取り巻くあらゆるリスク、特にまだ顕在化していないリスクへの対応を考察します。
IBMの危機管理体制
図1 エンタープライズ・リス
ク・マネジメント/危機管理
体制 (601KB)IBMでは、事業活動におけるリスクを「必ずしも負の事象とは限らないもの」とし、「その事象のもたらす結果が事業計画を著しく狂わせるもの」、「もたらす結果が不確実な事象」と定義し、社内で定めたERMのプロセスに従い、国を越えた全社レベルで管理しています。日本IBMでは、これまで行ってきた全社レベルのリスク管理を、2010年にグローバルのERMプロセスに準じたリスク・マネジメントに強化しました。具体的には、社内の主要機能および各事業部門の役員で構成される「ERMステアリング・コミッティ」を定期的に召集し、事業リスクの特定や影響度分析を行い、リスクの優先順位、担当責任者を決定します。これらのリスク項目を危機管理体制下の特別対策チームあるいは、各種委員会活動や各事業部に助言し、リスクの最小化の検討、実施を行っています。(図1)
企業における危機に際しては、どのような意思決定機関を置き、どのようなプロセスで判断していくのかというのは、平時に定めておかなければ、有事に迅速な対応はできません。実際にその体制が常時起動している必要はありませんが、何を引き金として、どういう人たちが集まり、誰が指揮系統を司るかということを予め定め、その関係者ならびに全社 員が承知しているかどうかは、初動だけでなく、その後継続してとるべき危機対応への影響も大きくなります。危機をすべて想定することは困難ですが、大方針だけを定め、具体的にはその事象に応じて臨機応変に変更できるような仕様になっていることが大切です。
日本IBMでは2000年前半に、企業不祥事への考慮や、企業のコンプライアンス問題が引き起こす影響などを鑑みた結果、「リスク・マネジメント委員会」を発足しました。その活動の中で、危機管理体制の構築の必要性が問われ、2006年に全社危機管理体制ならびに専門組織が設置されました。意思決定機関である危機対策本部の下で具体化されたリスクに対して、災害対策本部、情報セキュリティー対策本部、そして各事業部の対策本部が設置されており、日常的な業務遂行の上で発生するリスクに対応しています。その中で、企業としての判断を求められるようなハイ・リスク事案については、危機対策本部が各対策本部と協業して、全社としての危機対応を実施します。
東日本大震災を経て
2011年3月11日に発生した東日本大震災では、東日本が広範囲に深刻な影響を受けました。日本IBMでは、お客様の機械保守を担当する製品保守サービス部門が、平時より全国の災害情報をモニターしており、一定のレベル以上の災害が発生した場合には、該当地域の技術員の安否、お客様の状況を迅速に確認し、必要に応じて部門の対策本部を設置し対応するプロセスとなっています。東日本大震災では、地震発生後、その震度の大きさから、すぐに製品保守サービス部門の対策本部が立ち上がり、技術員の状況ならびにお客様への影響の把握を開始しました。全社の災害対策本部も規定されていたプロセスに基づき立ち上がり、本部長である副社長のリードの下、被災地を中心とした社員の安否確認、事業所の状況確認、その他の対応を進めました。
今回の震災においては、反省も含め、以下の3つを重要な要素としてとらえています。
1.リーダーシップとオーナーシップ
危機発生時の対応プロセスが決まっていたことで、スムーズに災害対策本部がリーダーシップを持って機能しました。また、各部門の事業分野に対するオーナーシップが明確であったことで、対応に専念することができました。
2.全世界のIBMにおけるERMと連携:
過去の経験を生かした現場対応
全世界のIBMと連携し、IBMの過去の自然災害への対応の事例を共有し、活用しました。支援情報共有ツール「Sahana(サハナ)」の日本での展開は、他国IBMの助言から実施されました。また、日本IBMとしては、これまでの阪神大震災、新型インフルエンザの流行などの経験を生かし、パンデミックを念頭に置いた事業継続計画(BCP)を2006年より構築しています。そこにおいては、長期にわたり被災することを想定し、それまでの危機管理体制では社員や事業所の安全確保が中心でしたが、ビジネスの継続にも焦点を当てた体制に 変更しました。その他、在宅勤務やリモート・オペレーションなどの対策も活用することができました。
3.ITツールの効果的な活用
平時に使用しているITツールを最大限に活用しました。弊社に導入しているLotus Notes製品のSametimeというチャット機能は、電話等の音声通信手段に限界があった中で、大変有効に活用することができました。また、公共交通機関などにしばらく影響が出たため、在宅勤務および遠隔地操作という対策も、弊社では平時より活用していたため、混乱なく業務を遂行することができました。
今後に向けて -事業継続計画(BCP)への反映
図2 リスク・マネジメントとク
ライシス・マネジメント
(337KB)非常時には、多くの非日常的なオペレーションが求められるため、特殊な対応をするよりも平時に活用できている対応を応用することが大切です。(図2)
今回の東日本大震災では、被災地域を中心とした復旧だけではなく、首都圏にも広範囲に影響があったため、関東圏での交通網の影響への対応、計画停電への対応、原子力発電所周辺の立ち入り制限区域での活動への考慮など、さまざまな非日常的環境への対応が求められました。震災を想定したBCPにおいては、いかに迅速に復旧するかが重要になりますが、今回の震災では、復旧だけでなく、その後想定されるさまざまな事象にいかにBCPを対応させていくかが課題となりました。この危機を経て、新たな脅威の想定を各部門のBCPに反映させ、これまで分析してきた事業活動への影響を再度評価し(BIA)、今後のBCPにどう反映させていくか、また今回の震災を経て、クライシス・マネジメントにおいて、事業活動のリスクであると認識された事象への対応を進め、まだ見ぬリスクへ対応していくことが、リスク・マネジメントにおける今後の課題となると考えます。
IBM、IBMロゴ、ibm.com、Lotus Notes、およびSametimeは、世界の多くの国で登録されたInternational Business Machines Corp.の商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml(US)をご覧ください。
