危機管理の概要と最近の動向2010/03/20 · copyright (c) 2010 the tokio marine...

Copyright (C) 2010 THE TOKIO MARINE ＆ NICHIDO RISK CONSULTING CO.,LTD.

1

危機管理の概要と最近の動向

２０１０年３月

東京海上日動リスクコンサルティング株式会社経営企画部企画グループ主席研究員桜美林大学ビジネスマネジメント学群非常勤講師京都大学博士（情報学）、情報処理技術者（システム監査）、気象予報士

指田朝久

２００９年度第５回ＩＴリスク研究会


2

• 個人情報（カード情報）などの漏洩• 誤入力による巨額損失の発生• システム統合のカットオーバーの不稼働• 巨額を投入したシステム開発の失敗• システムダウン• ハッキング、サイト攻撃によるサービス中止• ＩＴを活用した横領、粉飾決算など

ＩＴリスク関連の危機管理事例


3

企業活動レベル

事後事前

予防、抑制(Protection, Prevention) 直後

クライシス(Crisis)

第２回復目標

第１回復目標

許容限界

危機管理(Crisis Management)

リスクマネジメント(Risk Management)

クライシスポイント（Crisis Point)

時間軸

言葉の定義

出典： JISTRZ０００１（JISＱ２００１の原案）より


4

阪神・淡路大震災と３つの教訓

日本ではじめて企業の危機管理が問われた。

①経営者の関与が不可欠

②事前の予防策が重要

成功した危機管理とはそもそも危機にならないこと。予防のための組織、マニュアルなど日常的な事前準備が鍵。

③危機管理やリスク対応に熟知し、臨機応変に対応できる指揮官の育成が不可欠


5

リスクマネジメントシステム構築のための指針

ＪＩＳＱ２００１検討の狙い

• 規格検討のきっかけは阪神・淡路大震災時の企業の対応が不十分であったこと。

• その後も相次いだ企業の危機事例も同様• 検討結果のキーワードは『経営者』• 経営者のためのリスクマネジメントシステム構築に関する標準化を目指した。


6

ＪＩＳ規格の内容（７つの原則）

• 原則１：リスクマネジメント方針• 原則２：リスクマネジメントに関する計画策定• 原則３：リスクマネジメントの実施• 原則４：リスクマネジメントパフォーマンス評価及び

リスクマネジメントシステムの有効性評価

• 原則５：リスクマネジメントに関する是正・改善の実施

• 原則６：組織の最高経営者によるレビュー• 原則７：リスクマネジメント維持のための体制・

仕組み


7

リスクマネジメント方針

リスクマネジメント方針

リスクマネジメントに関する計画

リスクマネジメントに関する計画

リスクマネジメントの実施リスクマネジメントの実施リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価

リスクマネジメントパフォーマンス評価及びリスクマネジメントシステムの有効性評価

組織の最高経営者によるレビュー


継続的改善

リスクマネジメントシステムに関する是正・改善の実施

リスクマネジメントシステムに関する是正・改善の実施

リスクマネジメントシステム維持のための体制・仕組み

概念図

出典 JISQ2001


8

3.2 リスクマネジメントシステム構築及び維持のための体制

3.8 リスクマネジメントシステム維持のための仕組み

3.3 リスクマネジメント方針

3.4 リスクマネジメントに関する計画策定3.4.1 リスク分析3.4.2 リスク評価3.4.3 リスクマネジメントの目標の設定3.4.4 リスク対策の選択3.4.5 ﾘｽｸﾏﾈｼﾞﾒﾝﾄﾌﾟﾛｸﾞﾗﾑの策定

Plan

3.5 リスクマネジメントの実施

Do

Check

3.6 ﾘｽｸﾏﾈｼﾞﾒﾝﾄﾊﾟﾌｫｰﾏﾝｽ評価及びﾘｽｸﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑの有効性評価

Check

3.7 ﾘｽｸﾏﾈｼﾞﾒﾝﾄｼｽﾃﾑに関する是正・改善の実施


3.9

Act.

凡例：

業務の流れ

組織の最高経営者の関与出典日本規格協会ホームページ


9

• 経営者がリスクマネジメントの方針を立てる。

• 何を守るのかを明確にする。

• リスクマネジメントの目的も具体的にすることが望ましい。

原則１リスクマネジメント方針


10

• 全てのリスクに対応することは困難であるため、企業を取り巻くリスクを把握した上で組織が管理するリスクを決定する。

• リスク分析①リスク発見

②リスク特定

③リスク算定

原則２リスクマネジメントに関する計画策定（その１）


11

• リスク評価リスク評価基準に基づいて個々のリスクを

評価し、組織として対応するリスクの優先順位を付ける。

①リスク評価基準の作成

②リスクの優先順位付け

原則２リスクマネジメントに関する計画策定（その２）


12

• リスクマネジメントの目標を設定する。

①守るべき対象の明確化

②法的要求事項

③関係者へ悪影響を与えるリスクの低減

など

原則２リスクマネジメントに関する計画策定（その３）


13

• 組織として管理するリスクにつきその対処方法を選択し、具体的内容を定めた計画を策定する。

①回避

②低減（規格にはないが分散もある）

③移転（保険の手配を含む）

④保有

原則２リスクマネジメントに関する計画策定（その４）


14

• リスクマネジメントプログラムを策定する。• 対策の具体的な内容を定める。• 責任を明確にする。• 組織を定める。• 日程を決める。• 投入する経営資源（要員、予算など）を決定する。

原則２リスクマネジメントに関する計画策定（その５）


15

• 日常の予防について計画に従って具体的な実施手順を作成し､実施する。

• 緊急時対応と復旧についての追加事項を定めてある。

＜緊急時の実行組織の整備＞

①実行責任者 ②情報機能

③分析評価機能 ④対応機能

⑤広報機能

原則３リスクマネジメントの実施


16

• 計画に則ってリスクマネジメント活動を実施している場合、実際にどの程度成果を上げているかを評価する。

• 実施状況の監視• 進捗管理• 実行度合いの測定などがある

• 実務的には定量化が難しく、規格にこだわると難点がある部分

原則４リスクマネジメントパフォーマンス評価およびリスクマネジメントシステムの有効性評価


17

• 必要に応じて不備を修正していく。

• 是正改善の時期①日常点検

②リスクマネジメントシステム監査結果提出

③緊急事態経験後

④リスク情報を監視した結果の要請

原則５リスクマネジメントシステムに関する是正改善の実施


18

原則６組織の最高経営者によるレビュー

• リスクに強い組織になるために継続的に改善を行っていく。

• そのため一定の自ら定めた間隔でリスクマネジメントシステム全体をレビューする。

• この結果を踏まえて経営者の責任で次のサイクルをスタートさせる。


19

• 教育・訓練• シミュレーション• リスクコミュニケーション• リスクマネジメント文書の作成（マニュアルはその代表的なもの）

• 発見したリスクの監視• 記録の維持管理• リスクマネジメントシステム監査

原則７リスクマネジメントシステム維持のための体制・仕組み


20

＜教育・訓練の重要性＞

• 阪神・淡路大震災の教訓：指揮官の育成が必要；通常企業内で危機管理のノウハウをＯＪＴで会得する機会は無い

＜監査の重要性＞

• リスクへの対応が十分か• リスクマネジメントシステムに関する取締役の責務を十分果たしているか

原則７リスクマネジメントシステム維持のための体制・仕組み（その２）


21

リスクマネジメント委員会

被害想定

（シミュレーション訓練）緊急対応復旧活動

マニュアル

軽減策

抑止策

保

有

危険

経営者の方針

事前準備

４．理想的なリスクマネジメントの進め方

監査・承認

フェーズⅠ

フェーズⅡ

フェーズⅢ

（保険）

移転

経営者による見直し

フィードバック

（リスク毎に）

点検

点検

対応するリスク

対応するリスク

危機発生

優先順位の低いリスク

優先順位の低いリスク

リスクの評価・選別

リスクの洗い出し

○○リスク対応組織

目標の設定

フェーズ２へ

フェーズ２へ

有事の業務の洗い出し

フェーズ３へ

フェーズ３へ

（リスクコントロール）

教育・訓練専門家


22

緊急時の対応；ＩＣＳ

• ＩＣＳとは（Incident Command System)• 米国の災害対応や危機管理対応の標準• カトリーナ対応でも実践


23

ＩＣＳ成立発展の歴史

• １９９１年のオークランドの大火（２０００棟が全焼）の際に各自治体の消防が協力して鎮火活動にあたったが、共通の組織、共通の言語、共通の機材（無線周波数、ホース口径）ではなかったため、うまく機能しなかった。

• この反省をこめて、カリフォルニア州で１９９３年ＳＥＭＳが開発された。

• その後ＦＥＭＡが採用し全米標準となった。ＳＥＭＳ；Standardized Emergency

Management System


24

《緊急時の実行組織の整備》

指揮調整

事案処理

情報作戦

資源管理

庶務財務


25

ＩＣＳの特徴

• 機能別組織の構築他組織からの応援を受け入れやすい標準化

• 実践的な部下の人数、階層構造（３－７人に限定）

• 疲労防止のための交代制• 指揮所、支援場所の設定とロジスティックス• 行動時間（目標時間）の設定


26

ＩＣＳの共通の思想• 行動計画の策定；様式の活用ポジションペーパーの作成（組織としての統一見解を

１本化し、全員が同じ認識を持って活動する）

★目的 ★現状認識・課題

★組織 ★組織毎の行動計画

★目標時間 ★戦略

★戦術 ★投入資源

★今まで実施してきた対策の結果

★今後実施する対策とリスク


27

近年の危機管理事例の特徴

• 組織的法律違反による会社解散・社長辞任• 消費者の厳しい反応による長期的なシェア失墜

• アウトソーシング増加により、リスク軽減対策が企業内で完結しない

• 経営の意思決定の遅れ

近年の危機管理対応の特徴


28

近年の危機管理事例の特徴

• 意思決定は選択の問題• リスクが無い選択はありえない；残存リスク• ステークホルダーの支援の取り付け• 冷静な外部者の助言を得る• 時間との勝負；時間によって対策は変化• 最悪に備える；成果があがりその準備が活用されなかったことはムダではない。

危機管理対応の留意点


29

近年の危機管理対応の問題点

危機管理ノウハウの継承

●危機管理およびリスクマネジメントには

独特のノウハウがある。

●人事異動があってもノウハウが継承される

仕組み（システム）を構築する。

●経営者直轄の組織作り

●マニュアルを熟知した要員の複数の確

保と要所への配置


30

参考書

• リスクマネジメントがよ～くわかる本東京海上日動リスクコンサルティング（秀和システム）

危機管理の概要と最近の動向2010/03/20 · copyright (c) 2010 the tokio marine...

Documents