金融機関にみるリスク管理の歴史
「金融機関のITリスク管理の流れを振り返れば、西暦2000年問題から資産の洗い出しが進展し、ITリスクが意識されるようになった」と語るのは、「ITリスク管理からBCMへの道筋を考える」と題して基調講演を行った日本銀行金融機構局の富永新氏。
「2001年以降は安全性中心から安定性や信頼性へウェイトが拡大したが、そのような中、大手行の大規模障害が発生した。そして2005年頃からは共同センターの利用が隆盛を迎えるが、全銀システムなどの共通イベントでもリスクが発現し、やがてBCMへの本格的な取り組みが始まった」と続ける。
このような環境変化に長年かかわってきた富永氏は、ITリスクの特徴として、「小さなプログラムミスでも業務全体を止めてしまうことと、特定企業で発生した障害が業界全体に影響する可能性があること」を挙げた。これらの特徴は金融機関以外にも明らかにあてはまると言える。環境は、メインフレームからオープン系システムへ変化している。この点に関しては、「従来と同レベルの管理を確保するためには技術の特徴や最新動向を理解した上での工夫が必要になる」と言及。そのような環境の中で、新たなリスクとして、「経営スピードとシステム品質のバランス、リスク対策議論の必要性、アウトソーシングの限界、社会的経済合理性の確保」などの問題意識が高まりつつあることを指摘した。
また、ITリスク管理の要点として、適切性確保と、システムの安定性・信頼性・安全性確保の重要度は甲乙つけがたいが、「中でも、安定性が最も重視されている」と話し、「ITリスク管理の体制やプロセス、システム開発管理、安定性、安全性などは多くの企業が着目していると思うが、これからは外部委託先管理、緊急時対応、システム監査といった管理項目が手薄になるのではないか」と予測した。
BCMも新たな視点からの見直しが不可欠
富永氏は、BCMを「事業継続」ではなく、「業務継続」と表現する。このことは、金融機関が、事業の存続というよりも、決済などの業務の継続に重点を置いていることを意味している。そんなBCMと、ITリスクはどこに交点があるのだろうか。
富永氏は、「合理的で能率的なテスト手法の開発、事故を前提とする社会への対応、欠落データへの対応という面で交差している」と説明。さらに、続発する災害やテロの事例を列挙して、BCMの重要性の再認識を促した。その上で、「まず、『他社に勝つ』、『顧客のため』といった業務継続の目的を自ら明らかにすることが重要」と述べ、全員参加の体制、BCPの策定、経営資源の確保など、BCM整備のポイントを示した。
金融業界ではほぼ9割がBCPを策定しているが、その管理体制ともいうべきBCMには弱いと言われている。BCMの強化に向けた課題として富永氏は第一に、「被災時の経営的損失など経営環境に応じた目的・目標を経営層の意思で決めているか、関係先や自治体と意識は合っているか、といった点の再確認が不可欠」と指摘し、第二に「実際に回るのか、訓練内容の実戦化と結果検証と、それらの計画への反映も大切」と付け加えた。
最後に、最近のBCMの問題意識の中から「システムテストは実施するがBCMのテストが不足している。また、海外ではストリーワイド訓練(SWE)が盛んであるが、日本では『訓練はまだ早い』という本末転倒した考え方が少なくない」といった点を取り上げて、詳しく解説。これらの問題をクリアする新たな BCMの潮流に期待を寄せた
今回の基調講演は、金融機関に基づくITリスク管理とBCMの発表であったが、一般企業にとっても大いに参考になると思われる共通点が数多く見受けられた。
