1. はじめに
東日本大震災では、従来の事業継続計画における想定外または想定はしていたが対策が不十分だったリ スクとして、大きく次の3つのリスク事象が顕在化しました。 ► 原発周辺地域への立ち入り制限区域の設定が発生した ► 被災が長期間かつ広範囲に及んだ ► 業務委託先の被災によりサプライチェーンに分断が生じた 金融機関においても、これらリスクの顕在化を踏まえ、既存の事業継続計画の実効性を向上させるための 更なる対策が求められています。実効性向上のポイントには各社の経営環境により様々なものがあると思 いますが、東日本大震災からの教訓、昨年末に発表された「中央防災会議」の「首都直下地震対策検討 ワーキンググループの報告」、金融機関における業務のアウトソーシングの進展といった現状を踏まえ、本 稿では「業務委託先によるサプライチェーンの分断をいかに防ぐか」を目的に、事業継続計画における委託 業務の業務継続性の確保を検討ポイントとして解説していきます。 本稿では、「その委託業務は業務継続する必要があるかどうか」を検討する手順・ポイントを第2章~第4章 で解説し、次に検討した結果を基に業務委託先に対する業務継続性をどの様に確保していくかの具体的な 取り組み例を第6章で解説します。本稿が金融機関における事業継続計画の実効性向上の一助になれば 幸いです。BCP 実効性向上のポイント
2. 委託業務の明確化について
本章では、優先業務と委託業務の関係を確認するためのポイン トを解説します。BCP
1の対象業務について
本章では、金融機関(以降自社と表現します)で優先的に業務復 旧が必要となる重要な業務(以降優先業務と表現します)がBCP にて定義されている事を前提に解説を進めます。優先業務の決 め方については、本稿では触れませんが、一般的には、BIA (Business Impact Analysis)等を通じて決定されます。また、自 社 のBCP に お い て は 、 優 先 業 務 毎 に 目 標 復 旧 時 間 ( RTO: Recovery Time Objective)、目標復旧レベル(RLO: Recovery Level Objective)が設定され、BCPを実行するための対策本部 等の体制や組織、バックアップシステム等が既に整備されている 事を前提としています。BCP対象業務と業務委託の関係整理
最初の検討ポイントは、自社の優先業務における業務委託をど のように識別するかという事です。この検討を通じて自社の優先 業務の業務委託先を区別できるようします。 ► 自社の優先業務の担当部署等を通じ業務委託先をピックアッ プします。 ► 自社の優先業務と委託業務の粒度が異なるため、すぐに判断 がつかないような場合は、優先業務の業務フロー等を通じて 委託業務(または業務委託先)の業務フロー上の位置付け (優先業務の継続に不可欠な業務なのか、はずせる業務なの か)を確認します。 ► さらに自社BCPに照らし、RTOに影響を及ぼす業務なのか否 かの確認、つまり優先業務のフローの中でも優先度が最優先 の業務なのか、劣後する(後回しにできる)業務なのか確認し ます。 ► 自社の優先業務の業務委託先については、業務委託先の管 理簿等に区分を設け業務委託先および優先業務の両方から 検索できるようにしておくと契約の更新時や業務委託先の定 期評価時に有効です。また、委託業務について、最優先の業 務なのか劣後する業務なのかの区別も付けておきます。第2章で委託業務が自社の優先業務の業務継続に必要不可 欠な業務なのか否かを判断しました。では、該当業務が業務継 続に必要不可欠な業務の場合、かつ、RTOに影響を及ぼす業 務なら必ず業務委託先で業務の継続が必要でしょうか。委託業 務に関して業務委託先への依存の程度が低い場合、または、 優先業務でも劣後する業務の場合は、該当業務委託先につい ては、一時的に業務委託を中断する事ができないか検討してお きます。業務委託先で業務継続する事は当然のように思えます が、その対応が委託業務のコストに含まれる事を意識する必要 があります。 【検討のポイント】 ► 業務が単独の委託先へ委託されている場合は、自社で担う 該当業務と作業処理件数、作業時間等の量的な指標を比較 する事で依存の程度を判断できます。あくまでも自社で該当 業務を実行し、業務委託先は、自社の業務処理量のキャパ シティを超えた場合の補助にすぎないような場合は、依存の 程度は高くないと判断できます。 ► 同一業務を多数の業務委託先に分散して委託している場合 は、個々の業務委託先への依存の程度は高くないと判断し ても良いでしょう。同一業務かどうかの判断については、委託 業務内容を詳細に分析し、確認する事が必要です。例えば、 顧客へ届ける報告書の印刷と発送業務については、「専用の はがき」に印刷して圧着して発送するのとA4の汎用的な用紙 に印刷して、封筒に封入封緘して発送するのとでは、委託先 における機器等設備が異なる事から、同一業務と整理出来 ないような場合もあります。 ► 業務依存の程度の判断については業務処理量等量的な指 標以外にも、該当業務の遂行に必要な専門的(特殊)な設備 の有無、該当業務の遂行に必要な専門的(特殊)なシステム の有無等質的な指標が考えられます。業務処理量は少なく ても該当業務委託先にしかない特別な設備を使用しなけれ ば業務が実行できないような場合は、業務委託先への依存 の程度は高いと判断せざるをえません。 ► また、共同システムセンターのように専用のセンター設備を 自社には保有せず、かつ、システム運用管理業務と一括して 業務委託しているような場合は、システムセンターの運営能 第3章で、優先業務における委託業務の位置づけを把握しまし た。次に業務委託先で委託業務が中断した場合の自社の対応 方針について、検討します。 この場合の対応方針としては、大きく次の3つの方針が考えられ ます。委託業務毎に基本的にどの対応方針で臨むのか決定し ます。 ① 業務委託先で業務継続する ② 他の業務委託先で該当業務委託先に代わり実施する (本稿では「他社代替」と表現します) ③ 自社で該当業務委託先に代わり実施する (本稿では「自社代替」と表現します) 【検討のポイント】 ► 第3章で確認した委託先への依存の程度を参考に対応方針 を検討します。委託業務の業務委託先への依存の程度が高 い場合は、「業務委託先で業務継続する」を選択せざるを得 ません。 ► 該当業務の業務委託先への依存の程度が低い場合、つまり、 同一業務を分散して業務委託しているような場合や基本的に は自社で業務を実施しているような場合は「他社代替」また は「自社代替」が選択できる可能性があります。 ► 但し、「他社代替」の場合は、他の業務委託先には同様のリ スクが及ばない事が前提となりますので、注意が必要です。 例えば、全ての業務委託先の業務実施拠点が首都圏にある 場合は、首都直下地震のリスクは、全ての業務委託先に及 びますので、「他社代替」は有効ではありません。 ► 「自社代替」についても前項と同様のリスクが発生する可能 性がる場合、または、次のケースに該当する場合は、「自社 代替」の選択は、注意が必要です。 ► 平時は自社で該当業務を実施していない場合は、本当に 自社で代替が可能なのか実現可能度合いについて確認 が必要です。 ► 自社でもできそうだからというような曖昧な理由ではなく、 知識・スキル・マンパワーの面から確実に対応できる業務
3. 業務継続における業務委託先の
必要性について
4. 委託業務に対する対応方針について
本章では、業務委託先における業務継続態勢2の現状確認のポ イントについて解説します。 【確認のポイント】 ► まずは、業務委託先でBCPが整備できているのか、確認しま す。現在では金融機関において業務継続態勢を整備してい るのが一般的ですが、「中央防災会議」の「首都直下地震対 策検討ワーキンググループの報告」において「業務継続計画 の策定」が課題として明記されている事を踏まえると、全ての 業務委託先においてBCPを適切に整備している事を改めて 確認する必要があるでしょう。 ► 次に、業務委託先の定めたBCPの内容を確認し、自社から の委託業務が対象になっている事、自社が定めるRTOや RLO等と整合性が取れている事まで、踏み込んで確認してお く必要があります。 ► 更には、委託業務のBCPについての教育や訓練等で、対策 の実現可能性を確認し、訓練の結果をBCPにフィードバック する事で実効性の向上が図られているか等、業務継続に係 るPDCAの運用状況についても確認します。 ► 具体的にどのようなBCPを整備しているのか確認するには 「質問票」等で確認する方法が考えられます。業務委託先に アンケートを送り、文書で回答してもらう事をイメージして下さ い。回答は、文字ではなく選択肢として提示し、選択してもら う方式も考えられます。 ► 「質問票」を使用するのは、確認事項を標準化する事で確認 漏れを防止するとともに、標準化した確認事項をまとめる事 で優先業務委託先全体の態勢整備状況を把握し、各社の整 備状況を横並びにする事で整備状況の差(自社の整備状況 との差も確認します)を明確にするためです。 ► 「質問票」等に記載する内容については、自社のBCPの内容 を基軸にすると良いですが、第6章で示す業務継続に係る要 求事項が既に規定されている場合は、要求事項の内容を確 認する事になります。 本章では、自社で決定した委託業務に対する対応方針に基づい て、「業務委託先で業務継続する」を選択した場合は、自社のコ ントロールが直接及ばない業務委託先におけるBCP整備の対 応についてサンプルで解説します。 ① 業務委託先に求める業務継続に係る事項の検討 業務委託先に求める業務継続に係る自社の要求事項案を検 討します。この検討を通じて業務委託先に求める業務継続の ために必要な経営資源(要員、システム、設備等)の概要(規 模感等)を把握しておくと次のステップで行う業務委託先との 事前調整においても業務委託先と具体的な協議が促進でき ると考えます。 【検討のポイント】 ► 対象業務の明確化 ► 業務委託先に単一の業務を委託している場合を除き、具 体的にどの業務に対して、業務継続を求めるのか決定し ます。その際には、業務委託先と認識が一致するように契 約書等の委託業務名称を参照すると良いでしょう。 ► 契約書等に規定されている委託業務が「配送業務」等包 括的に規定されているような場合は、委託先へ確認を行 い具体的な業務名称を特定する、または、配送物を優先 業務の物とする等を行い、対象業務を特定する必要があ ります。 ► BCP発動基準の明確化 どの様な事態が発生した場合に業務委託先でBCPを発動さ せるのか、明文化する事が必要です。できれば、自社のBCP に規定されているリスクシナリオを業務委託先に明示し、共 有しておくと危機発生時でも齟齬が発生する可能性を抑える 事が期待できます。必要に応じてリスクシナリオ毎にBCPの 整備を求める事も検討します。
5. 業務委託先における業務継続態勢に
ついて
6. 具体的なBCPの見直し例
► 業務執行場所の明確化 ► 業務委託が単一の場所(事務所、工場、本社等の拠点)で 業務を実施している場合を除き、具体的にどの拠点また は地域で業務継続を求めるのか決定します。また、現在 該当業務を実行している拠点以外の拠点(例えば業務委 託先の本社は東京にあり通常は東京で該当業務を実施し ていても、同じ業務を大阪で関西地域に拠点がある顧客 向けに提供しているような場合)で業務継続を求めるかど うかも決定します。 ► その際には、自社のBCPで規定している危機対応時の拠 点(関東の拠点が機能しない場合は、関西の拠点で業務 継続する等)との整合性を確認します。 ► 目標復旧時間(RTO)の明確化 ► 委託業務が業務委託先で中断した場合にどのくらいの日 時で委託業務の業務継続を開始(復旧)するのか業務委 託先に求める目標値を決定します。 ► この際にも自社のRTO、該当業務の前後関係や顧客との 契約等を参考にしていつまでに業務を開始しなければな らないのかを決定します。 ► 目標復旧レベル(RLO)の明確化 ► 委託業務の業務継続を開始(復旧)する際にどの程度ま で委託業務を復旧させるのか自社の求める目標値を決定 します。 ► この際は、業務の特性(例えば、業務におけるシステム依 存度が大きい場合は、バックアップシステムの規模や構 成により段階的にしか復旧できない可能性があります)や リスクの特性(例えば、業務における人員依存度が大き い場合は、パンデミックのリスクを考えるとパンデミックの 終息状況により段階的にしか復旧できない可能性があり ます)に応じて一気に100%復旧できるのか、または段階 的にしか復旧できないのか調査・分析しておく必要があり ます。 ► 段階的にしか復旧できない場合は、当初どの程度まで業 務を復旧する必要があるのか、決定します。 ► コミュニケーション手段・連絡先の明確化 ► 東日本大震災では、電話回線等の寸断により自社内にお いても連絡手段を確保する事が困難でした。業務委託先 との間においても大規模災害時にはどのような手段でコ ミュニケーションを取るのか、検討し、合意しておく事が必 要です。また、相互の対策本部の連絡先をはじめ、業務 担当者間の連絡先・報告を求める内容についても文書化 を規定する事が必要です。 ② 業務委託先との事前調整 上記①で検討した業務委託先への業務継続に係る要求事項 については、業務委託先で確実に実行してもらえる事が重要 なため、要求事項の実現可能性を検討する必要があります。 自社で要求事項案が固まった段階で業務委託先と意見交換 し、現実的な着地点(合意事項)を見いだす事が必要です。 ► この段階で自社における委託業務の優先度や業務継続の必 要性を業務委託先に説明し、理解させる必要があります。ま た、意見交換時に業務委託先の業務継続に対する姿勢を確 認しておく事も重要です。特に業務委託先への依存の程度が 高い場合で、業務委託先が業務の継続態勢の整備に消極的 な態度を取っていた場合は、以降の業務継続に対する契約 面の整備を具体化するステップにおいても同様の傾向が見 受けられると思われます。この様な業務委託先では、最悪の 場合、自社の優先業務の業務継続が確保できない事が考え られますので、代替手段(他社代替、自社代替等)も念頭に 置いた協議が必要です。 ► 業務継続上の要求事項の調整については、業務委託先と訓 練に関する事項についても協議が必要です。ここでいう訓練 とは、業務委託先が独自に行う訓練のみならず、自社との共 同訓練を含みます。特に自社で訓練プログラムを整備済み の場合は、業務委託先と協議し、業務委託先を主体的に訓 練に参加させるべく誘導する事が望ましいです。
► また、要求事項が合意できたとしても業務委託先で確かに実 行できる見込みが本当にあるのか、確認が必要です。最低 限、業務委託先から業務継続に対する取り組み状況につい て定期的な報告を徴求すべきです。できれば、定期的に自社 から監査(自社の内部監査または自社が依頼した外部監査 を想定)を実施して、業務委託先におけるBCP等文書類の整 備状況、対策本部等体制の準備状況、BCPに係る教育や研 修の状況、BCPに係る訓練の状況、業務継続に係る課題の 対応状況、業務継続に係る新たな取り組みの状況、業務委 託元への緊急時連絡先の維持管理状況(緊急時連絡先の内 容が自社の組織変更や人事異動等を反映しているかの確認 も必要です)等は最低限確認し、不備や課題が発見された場 合は、改善を申し入れ、計画的に委託業務における業務継 続性の確保を図る必要があります。 ③ 業務委託先との契約面の整備 業務委託先との契約内容について、委託業務の業務継続に 係る事項がどの程度規定されているかの再確認し、契約によ り業務委託先における業務継続の実効性を担保する事を目 指します。 【契約書等の見直しポイント】
► 契 約 の 方 式 は 、 覚 書 の 締 結 やSLA ( Service Level Agreement)の締結等様々な方法があると思いますが、文 書化しておく事が必要です。特に業務継続上の要求事項は、 表形式で規定する方が、環境変化に応じた維持管理が容易 な事、自社のBCPへの取り込みが容易な事、何よりも一覧性 が高いので危機発生等社内が混乱している状況でも分かり 易等、メリットが多いと考えます。 ► 業務継続訓練に関する事項についても、前述の②で合意し た内容を取り込みますが、「業務継続に関する訓練について 自社からの求めに応じて参加しなければならない」事は、最 低限明文化する事が必要です。 ④ 業務委託先の選定・評価について 委託業務の業務継続性確保においては、優先業務という自 社業務の生命線を委ねられるビジネスパートナーの存在が 必要です。業務継続態勢が整備された適切な業務委託先を 確保するには、業務委託先の選定における評価基準につい ても業務継続態勢の整備・運用状況に関する評価項目が必 要です。ここでは、第5章で記述した「質問票」の利用を前提 に評価方法の検討ポイントについて解説します。 【検討のポイント】 ► BCPに関する評価基準 ► 「質問票」に記述した確認事項の充足状況を定性的(あ る・ない、できている・できていない等)および定量的(危機 発生時に確保できる要員数、その要員数で実施可能な業 務処理量等)な観点から評価するように基準を検討する事 が必要です。既に業務委託先の評価基準(尺度)がある 場合は、その評価基準を流用しても良いでしょう。できれ ば、「質問票」を作成する段階から確認事項に対する業務 委託先に対する評価を念頭に置いた確認事項を設定する 事が望ましいです。 ► 確認事項をカテゴリー毎(対策本部等全社的な事項、委託 業務に関する事項、BCPの整備状況に関する事項、代替 拠点の確保等具体策に関する事項等)に整理して、カテゴ リーにウェイトをつけて評価する事が考えられます。自社 の優先業務の委託先としては、最低限この事項について は充足してほしいという基準を明確にする事が必要です。 例えば、BCPを全く保有していないような業務委託先につ いては、低い評価またはBCPに関しては不備となるように 評価基準にウェイトを付ける事も検討します。 ► また、自社からの業務継続に関する要求事項に対して、 現時点では、全ては充足できないが、計画的に業務継続 態勢を整備する事を約束した業務委託先に対しては、自 社からもBCP整備のための支援を提供するとともにBCP を整備するための期限についても予め定めておく事が必 要です。 ※1 事業継続計画 事業継続計画は、金融機関により呼称は様々でコンティンジェン シープランとは厳密に区別していない例もあると思いますので、本 稿では、「BCP」と表現します。 ※2 業務継続態勢 BCP、対策本部体制や組織、業務のバックアップ拠点やバックアッ プセンター、バックアップシステムの整備状況やBCPに関する教 育・訓練等会社全体の取り組みをさして態勢と表現します。
EY | Assurance | Tax | Transactions | Advisory EYについて EYは、アシュアランス、税務、トランザクションおよびアド バイザリーなどの分野における世界的なリーダーです。 私たちの深い洞察と高品質なサービスは、世界中の資本 市場や経済活動に信頼をもたらします。私たちはさまざま なステークホルダーの期待に応えるチームを率いるリー ダーを生み出していきます。そうすることで、構成員、クラ イアント、そして地域社会のために、より良い社会の構築 に貢献します。 EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグ ローバル・ネットワークであり、単体、もしくは複数のメンバーファー ムを指し、各メンバーファームは法的に独立した組織です。アーン スト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責 任会社であり、顧客サービスは提供していません。詳しくは、 ey.com をご覧ください。 EY FSO(日本エリア)について EYフィナンシャル・サービス・オフィス(FSO)は、競争激化 と規制強化の流れの中で様々な要望に応えることが求め られている銀行業、証券業、保険業、アセットマネジメント などの金融サービス業に特化するため、それぞれの業務 に精通した職業的専門家をグローバルに有しています。 また、各業界の規制動向を予測し、潜在的な課題に対す る見解を提示するため、業種別にグローバル・ナレッジ・ センターを設け、規制動向の収集や業界分析を行ってい ます。EY FSO(日本エリア)は、グローバル・ネットワーク と連携して、金融サービス業に精通した職業的専門家が 一貫して高品質なサービスを提供しています。
© 2014 Ernst & Young ShinNihon LLC. All Rights Reserved.
本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務 及びその他の専門的なアドバイスを行うものではありません。新日本有限責 任監査法人及び他のEYメンバーファームは、皆様が本書を利用したことによ り被ったいかなる損害についても、一切の責任を負いません。具体的なアド バイスが必要な場合は、個別に専門家にご相談ください。 ED None
