危機管理の概要と最近の動向2010/03/20 · copyright (c) 2010 the tokio marine...
TRANSCRIPT
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
1
危機管理の概要と最近の動向
2010年3月
東京海上日動リスクコンサルティング株式会社経営企画部企画グループ 主席研究員桜美林大学ビジネスマネジメント学群 非常勤講師京都大学博士(情報学)、情報処理技術者(システム監査)、気象予報士
指田 朝久
2009年度第5回ITリスク研究会
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
2
• 個人情報(カード情報)などの漏洩• 誤入力による巨額損失の発生• システム統合のカットオーバーの不稼働• 巨額を投入したシステム開発の失敗• システムダウン• ハッキング、サイト攻撃によるサービス中止• ITを活用した横領、粉飾決算 など
ITリスク関連の危機管理事例
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
3
企業活動レベル
事後事前
予防、抑制(Protection, Prevention) 直後
クライシス(Crisis)
第2回復目標
第1回復目標
許容限界
危機管理(Crisis Management)
リスクマネジメント(Risk Management)
クライシスポイント(Crisis Point)
時間軸
言葉の定義
出典: JISTRZ0001(JISQ2001の原案)より
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
4
阪神・淡路大震災と3つの教訓
日本ではじめて企業の危機管理が問われた。
①経営者の関与が不可欠
②事前の予防策が重要
成功した危機管理とはそもそも危機にならないこと。予防のための組織、マニュアルなど日常的な事前準備が鍵。
③危機管理やリスク対応に熟知し、臨機応変に対応できる指揮官の育成が不可欠
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
5
リスクマネジメントシステム構築のための指針
JISQ2001検討の狙い
• 規格検討のきっかけは阪神・淡路大震災時の企業の対応が不十分であったこと。
• その後も相次いだ企業の危機事例も同様• 検討結果のキーワードは『経営者』• 経営者のためのリスクマネジメントシステム構築に関する標準化を目指した。
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
6
JIS規格の内容(7つの原則)
• 原則1:リスクマネジメント方針• 原則2:リスクマネジメントに関する計画策定• 原則3:リスクマネジメントの実施• 原則4:リスクマネジメントパフォーマンス評価及び
リスクマネジメントシステムの有効性評価
• 原則5:リスクマネジメントに関する是正・改善の実施
• 原則6:組織の最高経営者によるレビュー• 原則7:リスクマネジメント維持のための体制・
仕組み
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
7
リスクマネジメント方針
リスクマネジメント方針
リスクマネジメントに関する計画
リスクマネジメントに関する計画
リスクマネジメントの実施リスクマネジメントの実施リスクマネジメントパフォーマンス評価 及びリスクマネジメントシステムの有効性評価
リスクマネジメントパフォーマンス評価 及びリスクマネジメントシステムの有効性評価
組織の最高経営者によるレビュー
組織の最高経営者によるレビュー
継続的改善
リスクマネジメントシステムに関する是正・改善の実施
リスクマネジメントシステムに関する是正・改善の実施
リスクマネジメントシステム維持のための体制・仕組み
概念図
出典 JISQ2001
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
8
3.2 リスクマネジメントシステム構築及び維持のための体制
3.8 リスクマネジメントシステム維持のための仕組み
3.3 リスクマネジメント方針
3.4 リスクマネジメントに関する計画策定3.4.1 リスク分析3.4.2 リスク評価3.4.3 リスクマネジメントの目標の設定3.4.4 リスク対策の選択3.4.5 リスクマネジメントプログラムの策定
Plan
3.5 リスクマネジメントの実施
Do
Check
3.6 リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価
Check
3.7 リスクマネジメントシステムに関する是正・改善の実施
組織の最高経営者によるレビュー
3.9
Act.
凡例:
業務の流れ
組織の最高経営者の関与出典 日本規格協会ホームページ
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
9
• 経営者がリスクマネジメントの方針を立てる。
• 何を守るのかを明確にする。
• リスクマネジメントの目的も具体的にすることが望ましい。
原則1 リスクマネジメント方針
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
10
• 全てのリスクに対応することは困難であるため、企業を取り巻くリスクを把握した上で組織が管理するリスクを決定する。
• リスク分析①リスク発見
②リスク特定
③リスク算定
原則2 リスクマネジメントに関する計画策定(その1)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
11
• リスク評価リスク評価基準に基づいて個々のリスクを
評価し、組織として対応するリスクの優先順位を付ける。
①リスク評価基準の作成
②リスクの優先順位付け
原則2 リスクマネジメントに関する計画策定(その2)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
12
• リスクマネジメントの目標を設定する。
①守るべき対象の明確化
②法的要求事項
③関係者へ悪影響を与えるリスクの低減
など
原則2 リスクマネジメントに関する計画策定(その3)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
13
• 組織として管理するリスクにつきその対処方法を選択し、具体的内容を定めた計画を策定する。
①回避
②低減(規格にはないが分散もある)
③移転(保険の手配を含む)
④保有
原則2 リスクマネジメントに関する計画策定(その4)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
14
• リスクマネジメントプログラムを策定する。• 対策の具体的な内容を定める。• 責任を明確にする。• 組織を定める。• 日程を決める。• 投入する経営資源(要員、予算など)を決定する。
原則2 リスクマネジメントに関する計画策定(その5)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
15
• 日常の予防について計画に従って具体的な実施手順を作成し、実施する。
• 緊急時対応と復旧についての追加事項を定めてある。
<緊急時の実行組織の整備>
①実行責任者 ②情報機能
③分析評価機能 ④対応機能
⑤広報機能
原則3 リスクマネジメントの実施
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
16
• 計画に則ってリスクマネジメント活動を実施している場合、実際にどの程度成果を上げているかを評価する。
• 実施状況の監視• 進捗管理• 実行度合いの測定 などがある
• 実務的には定量化が難しく、規格にこだわると難点がある部分
原則4リスクマネジメントパフォーマンス評価およびリスクマネジメントシステムの有効性評価
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
17
• 必要に応じて不備を修正していく。
• 是正改善の時期①日常点検
②リスクマネジメントシステム監査結果提出
③緊急事態経験後
④リスク情報を監視した結果の要請
原則5 リスクマネジメントシステムに関する是正改善の実施
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
18
原則6 組織の最高経営者によるレビュー
• リスクに強い組織になるために継続的に改善を行っていく。
• そのため一定の自ら定めた間隔でリスクマネジメントシステム全体をレビューする。
• この結果を踏まえて経営者の責任で次のサイクルをスタートさせる。
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
19
• 教育・訓練• シミュレーション• リスクコミュニケーション• リスクマネジメント文書の作成(マニュアルはその代表的なもの)
• 発見したリスクの監視• 記録の維持管理• リスクマネジメントシステム監査
原則7 リスクマネジメントシステム維持のための体制・仕組み
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
20
<教育・訓練の重要性>
• 阪神・淡路大震災の教訓:指揮官の育成が必要;通常企業内で危機管理のノウハウをOJTで会得する機会は無い
<監査の重要性>
• リスクへの対応が十分か• リスクマネジメントシステムに関する取締役の責務を十分果たしているか
原則7 リスクマネジメントシステム維持のための体制・仕組み(その2)
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
21
リスクマネジメント委員会
被害想定
(シミュレーション訓練) 緊急対応 復旧活動
マニュアル
軽減策
抑止策
保
有
危険
経営者の方針
事前準備
4.理想的なリスクマネジメントの進め方
監査・承認
フェーズⅠ
フェーズⅡ
フェーズⅢ
(保険)
移転
経営者による見直し
フィードバック
(リスク毎に)
点検
点検
対応するリスク
対応するリスク
危機発生
優先順位の低いリスク
優先順位の低いリスク
リスクの評価・選別
リスクの洗い出し
○○リスク対応組織
目標の設定
フェーズ2へ
フェーズ2へ
有事の業務の洗い出し
フェーズ3へ
フェーズ3へ
(リスクコントロール)
教育・訓練専門家
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
22
緊急時の対応;ICS
• ICSとは(Incident Command System)• 米国の災害対応や危機管理対応の標準• カトリーナ対応でも実践
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
23
ICS成立発展の歴史
• 1991年のオークランドの大火(2000棟が全焼)の際に各自治体の消防が協力して鎮火活動にあたったが、共通の組織、共通の言語、共通の機材(無線周波数、ホース口径)ではなかったため、うまく機能しなかった。
• この反省をこめて、カリフォルニア州で1993年 SEMSが開発された。
• その後FEMAが採用し全米標準となった。SEMS;Standardized Emergency
Management System
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
24
《緊急時の実行組織の整備》
指揮調整
事案処理
情報作戦
資源管理
庶務財務
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
25
ICSの特徴
• 機能別組織の構築他組織からの応援を受け入れやすい標準化
• 実践的な部下の人数、階層構造(3-7人に限定)
• 疲労防止のための交代制• 指揮所、支援場所の設定とロジスティックス• 行動時間(目標時間)の設定
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
26
ICSの共通の思想• 行動計画の策定;様式の活用ポジションペーパーの作成(組織としての統一見解を
1本化し、全員が同じ認識を持って活動する)
★目的 ★現状認識・課題
★組織 ★組織毎の行動計画
★目標時間 ★戦略
★戦術 ★投入資源
★今まで実施してきた対策の結果
★今後実施する対策とリスク
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
27
近年の危機管理事例の特徴
• 組織的法律違反による会社解散・社長辞任• 消費者の厳しい反応による長期的なシェア失墜
• アウトソーシング増加により、リスク軽減対策が企業内で完結しない
• 経営の意思決定の遅れ
近年の危機管理対応の特徴
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
28
近年の危機管理事例の特徴
• 意思決定は選択の問題• リスクが無い選択はありえない;残存リスク• ステークホルダーの支援の取り付け• 冷静な外部者の助言を得る• 時間との勝負;時間によって対策は変化• 最悪に備える;成果があがりその準備が活用されなかったことはムダではない。
危機管理対応の留意点
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
29
近年の危機管理対応の問題点
危機管理ノウハウの継承
●危機管理およびリスクマネジメントには
独特のノウハウがある。
●人事異動があってもノウハウが継承される
仕組み(システム)を構築する。
●経営者直轄の組織作り
●マニュアルを熟知した要員の複数の確
保と要所への配置
Copyright (C) 2010 THE TOKIO MARINE & NICHIDO RISK CONSULTING CO.,LTD.
30
参考書
• リスクマネジメントがよ~くわかる本東京海上日動リスクコンサルティング(秀和システム)