事業継続計画(金融業界にBCPが広がるか)


日経金融新聞・平成17年5月18日の記事です。三井住友海上の子会社インターリスク総研が地域金融機関向けにBCPコンサルティングを始めるということです。自然災害やテロ、システム大障害などに対する態勢整備で地域金融機関に遅れているところが多いとしています。同社のコンサルは、期間4ヶ月以上で費用は7百万円から。毎年20行程度の受注を目指すということです。

BCPコンサルティングは、既に大手のITベンダー、コンサルティング会社、損害保険会社などが提供していますが、余り大きな市場ではありません。インターリスク総研が平均1千万円で受託しても年20件でしたら2億円です。1件の作業に3人、4ヶ月を要するとして、一人あたり月額80万円程度の収入です。3件を並行して作業して、ようやく収支トントンでしょう。それも、単に・・すべしと必要条件を羅列して済む話ではありません。関連する部門、顧客層、協業企業の状況を踏まえて、実施可能な対策を立案しなければ意味がありません。単純なチェックリストで診断だけというわけにはいきません。先行企業でもBCP関連のコンサル受注は好調とはいえないようです。むしろ、コンサルに付随して発生するビジネスが目的なのでしょう。

今春の金融庁監督指針ではBCPへの対応状況もチェックすることになりました。国際的には、ニューヨーク・テロの影響もあって証券業界が先行しています。証券界の動きは、昨年5月に当コラムで紹介しています。大手証券やネット証券を中心に、具体的な対策と態勢整備が進んでいます。今年は、東証がニューヨーク証取にコンサルを依頼しました。日本銀行が、2002年から隔年でBCPへの取り組み状況を調査しています。今年の3月にも、主要金融機関84社のアンケート調査結果を公表しています。

http://www.boj.or.jp/type/ronbun/ron/research07/

これを読むと、8割近い金融機関(決済システム取引金額上位84行ですから、大手銀と地銀です。)がBCP整備済みとしているそうですが、実態は心許ないようです。というのは、地震などの被災を想定したシステムのバックアップが中心であり、被災シナリオが偏っているからです。20年前に騒がれた災害対策の域を出ていないようです。例えば、鳥インフルエンザに対する対策と資源手当てなどは殆どなされていません。テロ予告のあった際に発動される立入り禁止の行政処置を想定しているのも半数程度ということです。バックアップ要員に関しても、要員数の見積りはしてはいるが個別社員を任命しているところは半数程度です。営業店や他金融機関などを巻き込んだ訓練も不十分なようです。つまり、計画と文書はあるが、いざという時に実働しない可能性が高いのです。

昔、筆者が担当していた某都銀は、災害対策に熱心でした。実質トップが関東大震災を経験していたからです。大阪にバックアップ・システムを持ち、毎日データを伝送し、更に新幹線でも別送していました。少なくとも、流動性預金と為替オンラインだけは継続できる体制でした。ある日、オペミスにより元帳を全損するという大規模障害を起こしてしまい、ほぼ全日止まりました。しかし、バックアップへの切替えはしませんでした。理由は、復旧後に戻るのが大変だからです。本番機が復旧しても、流動性と為替だけは大阪のままとなりかねないのです。それくらいなら、本番機復旧を待とうと判断されたのでした。今では、この程度のバックアップ体制の都銀はありませんが、地域金融機関では結構あるようです。

BCPは、近い将来、強制的に実施しなくてはならない施策に追加されるでしょう。またまた、ITベンダーやコンサル会社の新規事業機会です。金融機関としては、いくら仕事に励んでも、収益をもっていかれます。米欧では、規制産業(規制される業務に関連する企業)は旨みのあるビジネスです。需要は確実で、通常は売上の20〜40%を占める営業コストが極めて低い(規制当局が営業活動してくれるので)のですから当然です。役人と民間企業を転職しまわる回転ドア人事もあります。

先日、地域金融研究所の月刊誌「NewFinance5月号」を読んでいたら、興味深い講演禄が掲載されていました。金融庁の企業開示課長による内部統制報告制度に関する講演なのですが、規制産業による便乗商法を批判する台詞が並んでいました。文書化が重要だなんて一言も言っていないのに文書化が必須と提案するベンダーが多いとか、急がないと間に合わないなど脅迫めいたセールストークがあるが、実際の監査は平成21年6月からなどと、金融機関の方々が聞けばほっとする話をしています。実際、FISC基準に対応していると強調する商品を多く見ますが、本当にFISC基準を理解しているとは思えないケースばかりです。

要は、新しいルールを正確に認識し、経営者の責任と判断において、自社に必要な施策を確実に実施することが重要で、横並び的に表面を取り繕った対応を並べても実効性がなければ無意味ということです。その意味で、金融機関と規制当局は、もっと率直な意見・情報交換が必要です。マスコミや協会経由では、表面的な情報しか入ってきません。インフォメーションだけでなく、インテリジェンスが重要です。