備えとしてのクライシスマネジメント

はじめに

日本企業は、2011年に発生した東日本大震災や2019年から始まった新型コロナウイルス感染症といった想定を上回る危機に直面し、現在もサイバー攻撃やランサムウェアの感染が大規模に起きてもおかしくない状況にあります。大企業を中心に、日々、既存のBCP（事業継続計画）の見直しと強化、もしくは、オペレーショナルレジリエンス（本特集の「エンタープライズ・レジリエンス」参照）の構築が図られています。

さて、「クライシス」といっても企業やグループによって定義は若干異なります。地震のような外的要因によるものであれば震度5以上もしくは震度6以上といった基準で線引きできますが、不正のような内的要因によってもたらされるクライシスの場合、事案発生から危機管理対策本部（仮称）を立ち上げる段階の基準を明確に定めていない企業も多いのではないでしょうか。

本稿では、はじめに外的要因によるクライシスに対する備えのあるべき姿について、後段で内的要因によるクライシスの備え（予兆管理）について解説します。

なお、文中の意見は筆者の私見であり、PwC Japan有限責任監査法人および所属部門の正式見解ではないことをお断りします。

1 外的要因によるクライシスに対する備えのあるべき姿

従来、クライシスマネジメントは地震などの災害の初動や事後（危機顕在化後）の対応と捉えられがちでしたが、近年では、有事を想定した平時における備えが非常に重要と考えられるようになってきました。

例えば、予兆検知等のモニタリングで危機に備えた準備を行い被害を最小限に抑える取り組みや、危機から教訓を得て事業体の強化を目指すためのPDCAサイクルの確立等が挙げられます。（図表1）では、クライシスマネジメントの全体像を示しています。

クライシスマネジメントに係るライフサイクルを実行に移すためには、（図表2）で示したように、平時から事後までの対応事項を洗い出したうえで、全体戦略や対応計画を策定し、クライアントマネジメント態勢を整備することが望まれます。

図表2：クライシスマネジメントで求められる対応事項例

^{※1 BIA（Business Impact Analysis）※2 RTO（Recovery Time Objective）※3 RPO（Recovery Point Objective）※4 RLO（Recovery Level Objective）
出所：PwC作成}

一部の組織を除き、上記のステップに基づいて態勢が整備され、定期的に見直しを実施するといったPDCAサイクルが確立されていると胸を張って言える会社は少ないのではないでしょうか。

もしクライシスマネジメントに関係する部署に属している場合は、一度、下記の観点①から③において、自社のクライシスマネジメントの備えが十分か振り返ってみてください。

観点① クライシスマネジメントの対象としている業務は自社の戦略、顧客および社会のニーズと一致しているか
観点② 訓練は形式的なものにとどまっていないか
観点③ 活用する情報やアプリケーションはアップデートされているか

観点① クライシスマネジメントの対象としている業務は自社の戦略、顧客および社会のニーズと一致しているか

クライシスマネジメントの対象とするビジネスやサービス、製品、業務は、停止時の顧客や社会への影響、あるいは自社の戦略への影響を踏まえて設定されていますか。あるいは、クライシスマネジメントを監督当局や自主規制機関の規制対応の一環で整備をしていた場合、規制要件を満たすことのみが目的となっていないでしょうか。

クライシスマネジメントの対象とする業務や施策が、利用者にとって的を射ていないケースが見られます。その結果、規制対応はできているものの、停止時の顧客や社会への影響を踏まえた真のクライシスマネジメント計画が構築されていない、言い換えれば、表面的な規制対応にとどまり、適切なシステムや人員の投資が行われておらず、有事の際には二重三重の被害に苦しめられたという事例も実際に存在します。

上記の問題を解消するために、例えば金融業においては、金融庁主導でオペレーショナルレジリエンスの検討が進められています。

観点② 訓練は形式的なものにとどまっていないか

BCPの有効性の確認や教育を目的に、現場・支店レイヤーと経営レイヤーの2階層に分けて訓練を実施している企業も多いのではないでしょうか。例えば、現場・支店レイヤーでは安否確認や防災のための避難訓練を実施し、経営レイヤーでは、経営を含めた重要な意思判断を行うためのエスカレーションを主目的とした机上の訓練を実施するといったケースです。

しかし、机上の訓練は、多数のステークホルダーを含むため失敗が許されないことも多く、入念な準備を行ったうえで実施され、台本の読み合わせにとどまってしまうことになりかねません。こういった状況を打破するため、先行例として、訓練の事務局側でシナリオや台本の一部を非開示にして訓練を進めるなどの対応を行い、読み合わせから脱却し、経営陣の意思判断を問う訓練への切り替えを試みている企業もあります。

観点③ 活用する情報やアプリケーションはアップデートされているか

クライシスマネジメント領域におけるICT技術の活用は世界的に日進月歩で進んでいます。記憶に新しいものとしては、新型コロナウイルス感染症に対応するため、日本企業ではリモートワーク環境が一気に整備されました。

世界的な技術のトレンドとしては、次に挙げているような技術が進歩・発展しており、グローバルに事業を展開する企業や日本に多数の拠点を持つ会社においては特に有効であると考えられます。

• ビッグデータやデジタルツインの活用。シミュレーションを通じた被災シナリオの策定
• AIカメラやIoT機器を活用した監視。機器や機材単位での被災時の影響把握や予防保守
• GRC（ガバナンス、リスク管理、コンプライアンス）ツールなどを活用した情報の一元管理
• スペーステックを活用した広域甚大災害の状況把握

2 内的要因によるクライシスに対する備え（予兆管理）

震災やテロといった外圧によって突発的に生じる事象と違い、「企業内部のミス、不正コンプライアンス違反等」が適時にマネジメントに伝達されず、伝達されていたとしても経営判断や対外公表、届出が遅れ、結果として企業の存続を揺るがすクライシスに発展するといったケースが後を絶ちません。

（図表3）は、縦軸に危機のレベル、横軸に事象を並べたものです。危機のレベルは、①インシデント（現場のみで解決できるレベル）、②エマージング（現場で解決できると考えられるが、企業全体で見た場合に状況によってはクライシス事象となり得る重大な事案と認定されるレベル）、③クライシス（危機管理対策本部が設置され、本社／本店を巻き込むレベル）、④潜在的クライシス事象（エマージングからクライシスまでの範囲、図表内ハイライト部分）と定義しました。

全てのクライシス事象が遅滞なく、かつ、正確に経営者に報告されていれば、経営者の判断によって個社／グループとして正しい対応が可能になります。しかし多くの企業では部署の壁があり、自部署の問題はなるべく部署内で解決しようとする傾向があります。その結果、事態は正常の範囲内だという思い込み（正常性バイアス）から正確な情報が適時に経営陣に伝達されず、経営陣が情報を知ったときには既に企業の存続を揺るがすほどの事態になっているというケースも多く見られます。したがって、いかにして「潜在的クライシス事象」を経営者が適時に把握するのかという課題の解決が重要になってきます。

ここで、多くの企業にみられる組織体制と構造について見ていくことにします。（図表4）に示したとおり、「コンプライアンス所管部署」、「リスク管理所管部署」、有事が発生した際の対応を検討する「クライシスマネジメント所管部署」と3つの部署を設置している企業が多いのではないでしょうか。この場合、前述の「企業内部のミス、不正コンプライアンス違反等」は事業部署や営業部署等からコンプライアンス所管部署、リスク管理所管部署へ事案として報告が上がることはあっても、クライシスマネジメント所管部署へ危機管理対策本部の立ち上げを要請するまでに至るケースはまずないと考えられます。

先進的な取り組みの事例としては、（図表5）に示したように、クライシスマネジメントを所管する部署の中にコンプライアンス所管部署とリスク管理所管部署を含める体制があります。または、このような組織の統合を行わない場合であっても、平時の段階から組織間の連携を密にし、前述の「潜在的クライシス事象」となるおそれがあるものについては、3つの部署が連携して真因分析等の深堀調査を実施している企業があります。組織変更はハードルが高いが、横連携が不足していると感じている企業があれば、まずは、横連携の強化から検討を始めることをお勧めします。

原因深堀り調査の出発点となるキーワードと予兆把握の観点等の例を（図表6）に示しました。現場で発生した事案の全てが報告されていないのではないかという懐疑心を持ち、ある部署で発生した事案と同様の事案が実は他の部署でも起こっており、そのまま放置していれば企業の存続を揺るがす事態になる事象、言い換えれば、「潜在的クライシス事象」はないかを能動的に見つけにいく出発点として参考にしてください。

執筆者