非常に簡単に定義すると、BCMは目的が決まっているリスク管理、ERMは目的を決めるところから始めるリスク管理であると言えるでしょう。
BCMの目的は「重要な事業を止めない、万が一重要な事業が止まってしまったら迅速に復旧させる」ことです。そのために、重要な事業の特定からスタートし、その事業を支える経営資源の特定、最大許容停止時間、目標復旧時間、継続に影響を与える脅威、事業継続戦略の策定、事業継続計画の作成、演習というステップを踏みながらBCMを構築します。

BCMに限らず、企業が採用しているマネジメントシステムは大体目的が予め決まっています。ISO9001は「顧客満足の向上・品質の向上」ですし、ISO27001は「情報セキュリティ（情報の機密性・完全性・可用性の確保）」です。J-SOXも「財務報告の虚偽記載リスク低減」が目的です。そして、それら目的を阻害するリスクを管理する仕組みを構築します（ISO9001はプロセスベースなので、若干アプローチが違いますが）。

一方、ERMは、事業体としての目的（戦略・ビジョン）を決定するところから始めて、その目的の達成を阻害するリスクを管理します。

まず、経営レベルにおいて「マーケットリーダーとなる」、「売上と利益の最大化」、「お客様から信頼される企業」といった事業体としての目的があるとします。事業体レベルの目的は抽象的な場合もありますが、事業部や部門レベルにブレークダウンされることにより具体性を持ちます。例えば、「売上高前年比20％アップ」とか「顧客クレーム0件」などです。

その上で、それら目的の達成を阻害するリスクを洗い出し、優先順位を付け、リスクを管理します。リスク洗い出しと優先順位付けはそれなりに大変な作業です。そして、優先度が高く、管理しなければならないリスクについて、BCMを含む各種マネジメントシステムの手法を取り入れます。

つまり、BCMを含む各種マネジメントシステムは、ERMというメインマネジメントシステムの中のサブマネジメントシステムであると言えます。

BCMとERM、どちらから先に取り組むべきかについては企業（事業体）の現状を鑑みての判断になりますが、その際のポイントとしては次のようなものが考えられます。

【BCMから先に取り組む場合】

• 自然災害や疫病に直面した場合の備え（バックアップ体制やシステム切り替えなど）が全く存在せず、万が一の事態が発生した場合の社内の混乱が容易に予想できる

• 関係省庁（公的機関）や取引先などのステークホルダーからの外圧・要請がある

【ERMから先に取り組む場合】

• いわゆるリスク管理に相当する取組みを全く行っていない

• BCMを含む様々なマネジメントシステム（リスク管理システム）を構築しているが、それらが本当に自社の方向と合致しているのか、自社のためになっているか疑問が残る

上記以外にも「自社はなんだかヤバそうだから、とりあえずBCMに取り組んでみよう」、「他社に先んじてERMを構築するのだ」という意思が働く場合もあるでしょう。ただし、先に取り組むのがBCMでもERMでも、このようなリスク管理のための取り組みは最終的にはERMに収束していくべきであると考えます。