ビジネスレジリエンスの実現 ISO22320を踏まえた組織の危機対応力向上に向けて

2013年の世界経済フォーラム(ダボス会議)をきっかけにビジネスや行政の分野で「レジリエンス」というキーワードが使われるようになった。日本では、内閣官房国土強靭化推進室により国土強靭化の取組みが進められており、2016年4月からは国土強靭化に取り組む企業に対する「レジリエンス認証」も開始された。

2013年の世界経済フォーラム(ダボス会議)をきっかけにビジネスや行政の分野で「レジリエンス」というキーワードが使われるようになった。

直近でも比較的地震の少ない地域である熊本で大地震が発生したが、昨今増加するテロや移民・難民問題等の地政学的リスク、異常気象、重大なコンプライアンス違反等の危機がいつ発生しても不思議ではない状況であり、危機管理やBCP等の必要性を改めて認識させられる。

このような「想定の範囲外」で発生するような危機に対峙するうえで「レジリエンス」は中核となる概念であるが、「レジリエンス」という言葉は使用される分野や人によって定義が異なり、必ずしも一般的に浸透しているとは言えない。しかし、企業が「レジリエンス」を共通言語として扱い、危機に対するマインドセットを切り替え、またBCP等の既存の関連する取組みを補完、再構築することで、自社の危機対応力、ひいては企業価値の向上につなげることができるのではないだろうか。

本稿では、「レジリエンス」という概念を改めて定義付けし、その観点から組織が危機にどのように対峙していくべきかについて、ISO22320の要求事項等も踏まえながら解説する。

1. レジリエンスとは?

(1)一般的な定義

「レジリエンス」という言葉は、元々物理学の用語であり、「負荷がかかって歪んだものを跳ね返す力」という意味で使用されていた。ここから転じて「精神的な回復力」「抵抗力」という意味でも使われるようになった心理学用語でもある。その後、2013年に世界経済フォーラムから発表された「Global Risks 2013」※1にて、”Building National Resilience to Global Risks”と称して、国際的な競争力と危機管理能力(レジリエンス)の関係性が示され、危機管理能力の高い国は国際的競争力が高いことが示された。しかし、日本は例外的に「国際的競争力が高いにもかかわらず危機管理能力が低い国」と評価されたことが話題となり、内閣府による国土強靭化計画策定の契機にもなった。

これ以降、いくつかの分野で「レジリエンス」という言葉が使用されるようになったが、日本では単なる「防災対策」をレジリエンスと呼んでいるケースもあれば、防災から事業継続・復旧対応まで含めてレジリエンスと呼ぶケースなど、使用される局面や立場によって定義が異なっているのが現状であり、一般的には広まっていない。

※1 「Global Risks 2013」(World Economic Forum)

また、ISO等の規格のなかでは図表1のように定義されている事例もあり、「危機対応」だけではなく「変化への適応」や「組織の繁栄」までを対象にしている(図表1)。

図表1 レジリエンスの定義事例

BS65000※1
組織が生存し繁栄するために、徐々に起こる環境の変化や突然の危機等を予期し、備え、対応し、適応する能力。
ISO22300※2 複雑かつ変化する環境下での組織の適応できる能力。
注記 レジリエンスは、中断・阻害を引き起こすリスクを運用管理する組織の力である。

出典:
※1 BSI Group「BS 65000 Guidance for Organizational Resilience」より抜粋したものをKPMGが和訳
※2 一般財団法人日本規格協会「JIS Q 22300:2012」より抜粋

(2)「レジリエンス」が高い組織とは

本稿では「レジリエンス」を「危機や環境変化に打ち克ち、それを糧に成長できる組織の力」であると定義する。

危機管理マニュアルや防災計画・事業継続計画(以下「BCP等」という)は、あくまでも事前に想定した範囲での計画であり、その想定を超えた場合には、最後は従業員一人ひとりの能力や意識、統制等の組織力に依存することになる。つまりレジリエンスが高い組織は自らの存亡を左右するような環境変化や危機的状況を受け入れ、変化の過程で柔軟に状況を判断し、時としてそれを活かしながら、あらゆる適応手段を探りつつ最善の方法を選択していくことができる組織といえる。

組織がレジリエンスを発揮した事例として、2005年のアメリカで発生したハリケーンカトリーナの被害を受けた銀行の例が挙げられる。彼らは自社の支店が破壊され、通常であれば業務を継続できない状態だったにもかかわらず、顧客への奉仕、地域への奉仕という企業理念に立ち返り、紙片に名前と住所、社会保障番号を書くだけで、求めてきた人すべてに200ドルを融通することを決断した。その後彼らは自社を回復させるだけではなく、3年間でほぼすべての貸付金を回収し、1万件以上の新規口座と多大な預金残高を獲得した。ただ単に災害から業務復旧するだけでなく、それを機会としてさらなる成長を実現したものであり、これはBCPだけではカバーできない、状況を打開しようとする従業員の現場の知恵が活かされた事例であろう。

このような組織を作るには、単にBCP等の作成や教育・訓練を行うだけでは足りず、業務プロセスの標準化・システム化により災害に強い仕組みとする、明確な指揮命令系統や適切な権限移譲等を行うことで従業員一人ひとりが自主的かつ主体的に行動できるなどの、組織体制自体を危機や環境変化に対し強めることが重要である。

図表2 レジリエンス向上の概念

レジリエンス向上の概念(組織)

2. ISO22320を踏まえたレジリエンス強化の方向性

(1)ISO22320とは

組織がレジリエンスを強化するために参考となる指針として、「ISO22320:2011(JIS Q22320:2013)社会セキュリティー緊急事態管理 - 危機対応に関する要求事項」(以下「ISO22320」という)がある。

ISO22320は2011年11月に発行され、日本国内では2013年10月にJIS Q22320として工業規格化された。「1.指揮・統制」「2.活動情報」「3.協力及び連携」に関する要求事項で構成されており、これまで個別の企業・組織で行われてきた危機対応を発展させ、複数組織が連携し、より効率的・効果的に対応していくこと等を定めている。本規格制定には、近年の地震・森林火災などの危機が広域化、深刻化するなかで、複数の組織の連携・協力を求める声が高まってきたという背景がある。つまりISO22320は、世界中のあらゆる組織(公共及び民間)が、「危機や環境変化に打ち克ち、それを糧に成長できる組織の力」を強化するための基本事項を示したものであり、レジリエンス強化の有効な指針となり得る(図表3)。

図表3 レジリエンス強化の参考となるISO22320要求事項

 

項目 レジリエンス強化に資する要求事項(抜粋)
1.指揮・統制
  • 業務上の意思決定は組織の中で可能な限り低い階層で行われるべきであり、一方で業務遂行に必要な支援や、組織間の連携については、最も高い階層で行われるべきである。
  • 組織内の指揮・統制に関する全責務を担う単一の役職が明確になっていなければならない。
  • 意思決定は、できる限り、明確かつ透明であることが望ましい。
  • 危機対応に関与する全ての人は、全体の業務体制のどこに自らが位置づけられているかを常に理解していなければならず、教育訓練及び演習を通して、自らが管理する各種資源を使いこなせるだけの適切な力量を備えてなければならない。
2.活動情報
  • 組織は、活動情報を提供する継続的プロセスを確立しなければならない。これには次の活動が含まれる。

a)計画策定及び指示

b)情報収集

c)情報の処理及び利用

d)情報の分析及び作成

e)情報の発信及び統合

f)評価及びフィードバック

  • 収集したデータは、あらゆる階層の意思決定者、並びにその他活動情報を必要とする利用者が、容易に使用できるような形式に変換(情報規格を統一)する。
3.協力及び連携
  • 共通の利害及び価値観に基づく複数の組織が、効果的な危機対応を実現するため、危機への備えの一環として、協力協定を必要に応じて締結しなければならない。
  • 協力及び連携の組織体制、システム及び(特に複数の組織、又は複数の国家での使用に関する)機器の使用を規定及び設計する際は、能力レベル・文化的背景・業務手順・言語などの相違に配慮しなければならない。
    注記:いかなる場合でも、最も低いレベルの教育訓練を受けた人を想定する事が普通である。

出典:一般財団法人日本規格協会「JIS Q 22320:2013」を基にKPMGが作成

(2)ISO22320の要求事項を踏まえたレジリエンス強化の方向性

以下に、各要求事項を踏まえたレジリエンス強化のアプローチについて解説する。

 

1)指揮・統制
危機対応は、多くの人にとって「初めての経験」であり、組織が混乱するケースがほとんどである。また、刻々と状況が変わるなか、平時の決裁権限を遵守できる状況ではない。このような難易度の高い状況下において、経営者の果たす役割は非常に大きい。自社にまさか危機は起こらないだろうと経営者が考えていれば、危機に対する対策はおざなりにされ、形骸化していく。日頃から経営者自らが危機に対して意識を持ち、社内外に対して積極的な情報発信を行うことが重要である。

ISO22320の「4.2 指揮・統制システム」には危機対応のリーダーが担う役割・責務や、指揮・統制体制に関する考え方が示されている。危機が発生する前に組織として以下のような要素を踏まえた態勢を準備しておくことが望ましい。

  • 指揮・統制に関する「全責務」を担う単一の役職者(社長やリスク担当役員等)を組織内で明確にしておくこと(以下、「危機対応責任者」という)。
  • 仮に危機対応責任者が不在である場合を考慮し、代行順位を定め、権限を他の者に委譲可能な状態としておくこと。あくまで業務の代行であり、責任を転嫁するわけではないことに留意する。
  • 危機的状況においては、業務上の意思決定は現場の責任者レベル(部長レベル)で行い、組織外のリソースを用いる場合や対外的に発信が必要な場合には経営レベルが対応する等、平時とは異なる運用を是認する。
  • 意思決定は可能な限り明確かつ透明な形で行い、その結果は組織内部だけでなく、委託先や取引先等の関係する外部関係者や、必要に応じニュースリリース等により広く世間に公開する。
  • 構築した指揮・統制プロセスは、能力レベル・国籍・文化的背景を考慮したうえで、組織の末端にまで浸透させる。


2)活動情報
危機発生時には情報量が大幅に不足し、時間制約もあり、仕事量も増加するため、平時では考えられないほど「不確実な状況で判断し行動」しなければならない。また、危機対応時には平時の組織形態ではなく、複数の異なる組織・人員で対応するため、誰にでも理解できる情報共有の仕組みや共通の業務プロトコルを持つことが非常に重要である。代表的な例が「トリアージ※3」であり、視覚的に判断をする仕組み等により、より迅速な判断や情報共有が可能となる。

さらに、組織が情報共有の仕組みを持つという観点での、「危機レベル・報告基準の策定」が有効である。どのようなことが発生したら会社にとって重要になるかという「危機レベル」を定義し、その危機レベルに応じて重大な事象が発生した際には隠蔽せずに、すぐに報告させ迅速な意思決定を可能とする仕組みを構築することが重要である(図表4)。

※3 トリアージ:災害時等において、現存する限られた医療資源を最大限に活用するために、重要度に応じて視覚的に分類できるようにし、対応の優先順位を決める方法。

図表4 報告基準イメージ

報告基準イメージ(危機レベル)

このような情報共有の仕組みは社内規程等に明文化し、実際に機能するかをきちんと検証する必要がある。また、グローバル展開している企業においては、業務やサプライチェーンを考え、日本だけでなく全世界に展開し、海外の現地採用者を含めて教育・訓練を実施するべきである。例えば、海外の各拠点に対して現地語でのシミュレーション訓練を行い、課題の洗い出しと文書の改訂を実施することも有用であろう。


3)協力及び連携
危機は経営者や対策本部だけでは乗り越えることはできない。組織にあるすべての「ヒト・モノ・カネ・情報」を活用することに加え、周辺地域、専門家、競合他社などあらゆる組織体と連携し、必要に応じて協力を求めながら危機を乗り越えていくことが重要である。可能であれば、危機が発生する前から協力協定や契約を行う、またはその他の場を通じて平時から連携体制を構築しコミュニケーションを深めておくことが望ましい。

ISO22320の要求事項にもあるが、危機的状況において組織の末端までを動かさねばならないと考えた場合には、能力レベル・文化的背景・業務手順・言語などの相違に配慮し、「最も低いレベルの教育訓練を受けた人を想定すること」が必要となるため、教育・訓練によるレベルの底上げは不可欠である。

 

4)1)~3)を実現するための共通事項
これまでISO22320の要求事項を踏まえ危機対応のポイントを解説してきた。これらすべてに共通して重要な点は、「レジリエンス」つまり経営陣及び従業員一人ひとりの「危機に対する意識」や「危機に打ち克つ能力」である。被災経験や危機体験を持つ組織であればレジリエンスは高いかもしれないが、海外子会社を含む組織の全員がレジリエンスが高いというケースは稀であるため、経営者やリスク管理担当組織は自社の状況を的確に捉え、そのレベルを向上させていく必要がある。そのためには、「レジリエンス」という共通言語を、組織に基盤・文化として根付かせていくことが重要である。

具体的な手法として、組織のレジリエンスを可視化するサーベイを実施し、現状把握と課題の洗い出しを実施することをお勧めしたい。危機対応は個人による差が歴然と出ることが多く、平時は優秀な人材も有事には全く機能しないというケースもある。レジリエンスを実現できる人材を把握し、危機対応組織の事務局に任命することも有用である。逆に、レジリエンスが低い人材には重点的に教育・研修を行うという活用方法も考えられる。

企業によっては突然の危機を演出した、経営陣も参加した訓練やストレステストなどを実施し、組織全体として危機を実際に体験させるような事例もある。

3. まとめ

これまでレジリエンスという言葉の定義やレジリエンス向上に向けたアプローチを記載してきたが、危機や環境変化に打ち克ち、組織の成長を実現するためには、組織や仕組みを作り動かす一人ひとりのマインドセットが基盤としてしっかり構築されていなければならない。

基盤が脆弱であれば、整備した指揮・統制システムや、BCP等の危機への対策は機能せず、日本企業でよく見られる形骸化した状況を作り出してしまう。

図表5 レジリエンス強化に向けたスパイラルアップモデル

レジリエンス強化に向けたスパイラルアップモデル(ISO22320)

危機が発生した場合に、「自分がどう行動するのか」、「どこまで自主的に考えて行動することができるのか」が重要な要素であり、日頃から指示待ち・やらされ感が漂う会社ではそうした事態を打開することは難しいだろう。

「危機はいつ起こるかわからない」ではなく、「危機は常に起こるものだ」という考えを組織の末端にまで浸透させ、平時の業務運営からレジリエンスを意識した組織へと変革していくことが重要である。

本稿が危機に対するマインドセットの切り替えを行う契機となり、組織のレジリエンス強化の参考となれば幸いである。

また最後に、熊本大地震で被災された方々の一刻も早い復旧・復興をお祈り申し上げるとともに、企業、ひいては日本全体のレジリエンスが今後も向上していくことを切に願う。

執筆者

KPMGコンサルティング株式会社
マネジャー 土谷 豪
シニアコンサルタント 木村 祐也
コンサルタント 竹内 理沙
コンサルタント 三好 崇弘

リスクマネジメント解説

お問合せ