オペレーショナルレジリエンス―自社業務の視点から顧客に提供するサービスの視点へ

はじめに

レジリエンスとは「回復力」や「復元力」という意味です。オペレーショナルレジリエンスはリスク事案(地震などの自然災害リスクやサイバーリスクなど多岐にわたる)が生じた場合にも企業が提供するサービスを継続できる、もしくは速やかに回復する能力のことを指します。

リスクの未然防止は必ずしも完璧でなく、費用対効果や顧客の利便性を考えた場合に過度なコントロールは正当化できないため、リスクの発生を前提としてリスクの発現に対して事業、サービスの回復に力点を置くという考え方に立ったものとなります。

これだけを聞くと従来のBCP(事業継続計画)/BCM(事業継続マネジメント)と何が異なるのか分かりにくいかと思います。しかし、オペレーショナルレジリエンスの概念はここ数年、特に海外の金融業界で着目されています。金融機関では金融インフラを提供するという社会的に重要な機能を有していることから、従来から厳格なリスク管理、BCP/BCM等を構築してきましたが、今あらためてそれらの管理をオペレーショナルレジリエンスの観点から再整理する流れが生じています。他業界でも参考になるものも多くあると考えられます。本稿では金融機関でのオペレーショナルレジリエンスの考え方を参考にしつつ、いくつかの重要なポイントを紹介し、特に顧客視点でリスク管理を捉える意義を考察します。

1 顧客に提供するサービスの視点

レジリエンスが回復力であるということは先述のとおりですが、何についての回復力であるかは重要な観点になります。多くの企業では既にBCP/BCMを策定して訓練なども実施されていますが、それらは自社の業務についてのBCP/BCMである場合も多いと思います。オペレーショナルレジリエンスを考える上では、自社の業務という視点ではなく、顧客(広く捉えるとステークホルダー)に提供するサービスという視点が重要となります。

2 顧客のリスクトレランスの視点

レジリエンスの対象となる顧客に提供するサービスについて、企業がその重要なサービスが何であるのか定義する際、顧客の視点で捉える必要があります。判断の基準は、自社への影響(例:売り上げへの影響)や自社にとっての重要性ではなく、あくまで顧客への影響の大きさになります。自社の提供するサービスにどれくらいの顧客が存在し、顧客にとってどれくらい重要(なくてはならないもの)であるのか、また顧客が自社のサービスが利用できない場合に代替可能な手段(自社の別サービスの利用可能性、他社のサービスの利用可能性など)はあるのかを考える必要があります。この点については顧客のリスクトレランスという概念で整理することができます。リスクトレランスとは、さらされているリスクについて顧客はどの程度まで許容できるかという考え方です。

オペレーショナルレジリエンスにおけるリスクトレランスの観点には、サービス提供の縮退度とサービス停止期間が挙げられます。最終的にはこの顧客のリスクトレランス(顧客がどこまでサービスの縮退や停止を許容できるか)に応じて、必要な回復力、復元力を決めていく必要があります。逆に言うと企業がどこまで顧客の期待に対して応えるのかを定義するものとも言えます。

また、このリスクトレランスは必ずしも不変のものではなく、状況に応じ変化します。例えば、地震が発生した状況における顧客が許容できるリスクの程度と平常時における許容できるリスクの程度は違います。発現したリスクの状況下においてリスクトレランスがどの程度であり、その範囲内に影響を抑えられるようにリスク対応することが求められます。

自社への影響の視点→顧客への影響の視点

顧客への影響の視点:サービスの重要性で評価

重要性を測るための視点
顧客の数、顧客にとってのサービスの必要性、代替手段の存在有無

顧客のリスクトレランス(リスクの許容度)
サービスの縮退の許容度、サービスの停止の許容期間

3 サービス提供に要する資源の視点

顧客の求めるサービスの継続的提供には、まず自社の業務に関して、顧客にサービスを提供する際に必要とする資源(システム、データ、人、有形資産も含む)についてレジリエンスが担保されているかについて考慮する必要があります(ここは、BCP/BCMでも対象となっているかと思います)(図表3)。一方、各資源のキャパシティが、危機時のストレスがかかった状態でも、重要サービスの維持に十分なのか、検証する必要があります。例えば、コロナウイルス感染症対応のBCPで明らかになったのは、リモートワークの急増によるシステム対応能力の不足や、特定のサービスライン(コールセンターなど)の利用者急増に対する人員等の不足が挙げられます。

また、企業のレジリエンスに影響を与える事象はサプライチェーンや委託先に係るものなど必ずしも自社に限定したものとは限りません。自社の業務だけでなく、顧客に提供するサービス軸で捉え、そのサービスを提供するための自社以外のサプライヤーや委託先を含めた全体、つまり、そのサービスのEnd to Endでレジリエンスが担保されているか(サービス提供を行う上で必要な資源が全て機能するのか、機能しない場合の影響は許容可能なものなのか)について見ていくことが重要となります。

例えば、サプライヤーや委託先については契約(サービスレベルアグリーメント〈SLA〉)を締結しているもののその管理はサプライヤーや委託先の責任の下で管理しているという前提を置いているケースも多いと思います。その意味で自社以外に大きなリスクが所在している可能性もあります。事実、自社以外のリスク事案が自社のサービス提供能力に影響を与えているケースも多く見られます。特に、新型コロナウイルス感染症のようなシナリオでは、サプライヤーや業務委託先、提携先、取引先の全てが、その所在する国、地域にかかわらず業務中断の可能性があります。複数のリスクが同時に発生し、リスクが複雑に絡み合うことが考えられます。従来のBCPは必ずしもこのような状況を想定していないため、より包含的なアプローチ(サービス単位)の必要性が認識されつつあります。

近年、特に委託先を含むサードパーティリスク管理が注目されているように、レジリエンスを考える上では重要サービスの提供にサプライヤーや委託先がどのように関与しているのか、それらの集中リスク(代替可能性、分散可能性)についての確認、検討は重要となります。

さらに言うと、それらのサプライヤー、委託先が利用している再委託先についても同様に確認する必要があります。

4 シナリオ想定の十分性

オペレーショナルレジリエンスにおいて、シナリオを想定し顧客に提供するサービスのレジリエンスの検証は重要なプロセスとなります。

多くの企業では地震をはじめとする災害などのシナリオを設定しBCM/BCPを策定していると思いますが、発生が想定されるシナリオについて偏りが生じていないか確認すべきと思われます。

ここで偏りをなくすためには想定されるシナリオを可能な限り作成したり、極端なシナリオを作成したりすべきと推奨しているわけではありません。

作成しているシナリオの偏りを捉える上では次の観点が考えられます。

  • 影響を受ける資源
  • 影響の大きさと期間

影響を受ける資源とは先述のとおり、社内資源(システム、データ、人、有形資産等)、外部資源(サプライヤー、委託先、社会インフラ等)を指します。想定しているシナリオがどの資源に影響を与えるのかについて偏りがないかについて注意する必要があります。ここでシナリオ想定において例えば外部委託先(特に代替手段がない重要な委託先)が漏れている場合にはシナリオの影響評価に問題がある場合もありますし、そうでない場合にはシナリオ自体を追加する必要がないか検討することが望ましいと思われます。

次に影響の大きさと期間ですが、影響の大きさは影響の強度と広がりを指します。期間は文字どおり、影響の及ぶ期間(復旧までの時間)を指します。

大規模な影響を受けるシナリオを想定している企業は多いと思われますが、例えば新型コロナウイルス感染症のような中程度規模の影響のものがグローバルに広がりをもって長期間生じるような影響を想定している企業はそれほど多くないと思われます。

ブラックスワンとも呼ばれる認識していないリスクを想定するのは難しいですが、自社が既に想定しているリスクシナリオの特徴を分析し、既存のリスクシナリオで捉え切れていないリスク領域の特定は可能です。

ここで特定したリスク領域に対しては、既存の資源がサービス提供を維持する能力やリスク対応の枠組みを有しているのかを確認し、影響が顧客のリスクトレランスの範囲に収まっていることを確認します。

これまで述べたオペレーショナルレジリエンスの考え方をまとめると図表4のようになります(顧客目線でのサービス軸で捉え直し、顧客のリスクトレランスを考慮してEnd to Endでそのサービスのレジリエンスを検討する)。

5 PwCのオペレーショナルレジリエンス・フレームワーク

ここまで述べてきたオペレーショナルレジリエンスですが、PwCではオペレーショナルレジリエンスについてのフレームワークを定義していますのでその紹介をして本稿を終えたいと思います(図表5)。

PwCは、5年以上にわたって、欧米金融機関を中心に、下記のフレームワークを用いて企業のオペレーショナルレジリエンスの成熟度を評価する実績を有しています。

第一の階層「ガバナンス」

顧客の視点で有事にどこまで顧客の期待に応えるのかについて基準を設定するために、マネジメントが意思決定する必要があります。また有事にトレランスの範囲内に収まっていることについてマネジメントが説明責任を有することから、オペレーショナルレジリエンスはリスクガバナンスの一部として位置づけられるものとなります。

第二の階層「リスク対応能力」

想定し得るリスクシナリオに対するリスク対応に係る一連の枠組み(BCP/BCM、サイバーセキュリティ、サードパーティ管理等)を指します。オペレーショナルレジリエンスは全く新しい枠組みを構築するものではなく、既に存在する関連する枠組みの活用がポイントとなります。

第三の階層「オペレーショナルレジリエンスのプロセス」

第二の階層で述べた各枠組みをオペレーショナルレジリエンスのプロセスで横断的に検証し、それらを整合させ関連付けます。それによりリスク事案に対しての回復力をより確実なものとします。例えば、以下のような検証観点が考えられます。

  • 想定シナリオの下でのBCPの発動により、コントロールの強度を一時的に緩和した場合に、結果として増幅したリスクに対応できるサードパーティリスク管理やサイバーセキュリティが担保されているのか
  • 想定シナリオの下でそれぞれの枠組みの前提としている従業員の稼働可能性は、全てを合計したときに十分に担保されているのか

従来のBCPは、各業務部門による重要業務の洗い出しおよび各シナリオへの対応が中心でした。しかし、顧客目線にリスク管理の視点が変わった際に、自社の「業務」が継続できても、顧客に必要な「サービス」が必ず維持されるとは限りません。また、一つの「シナリオ」に対応できても、そこから派生する複数のリスクを看過した場合、結果的に顧客に不利益を与える可能性があります。これを踏まえて、オペレーショナルレジリエンスは、重要業務・サービスの提供に係る全ての管理項目を統合的に管理することを求めています。「オペレーショナルレジリエンス」という言葉自体は、海外金融業界で提唱されている概念であり、馴染みはないかもしれませんが、顧客の立場に立ち、重要業務・サービスを軸にしたEnd to Endのリスク管理体制の考え方は、全ての業界にとって重要になると推察します。


執筆者

叶 枝

PwCあらた有限責任監査法人  ガバナンス・リスク・コンプライアンスアドバイザリー部 マネージャー