リスク管理の基礎知識
当ページではリスク管理の基礎知識についてまとめていきたいと思います。まずはその中でもBCPについて解説します。
BCP・BCMとは
BCM~Business Continuity Management~(事業継続マネジメント)とは、企業が通常の予想規模を超える(期待されない)重大な事象に直面した際に、企業にとっての重要な事業を継続させるために必要な一連の活動を管理する経営手法のことです。なお、「期待されない事象」とは、その発生頻度が低いものの、一度起こると企業に大きな影響をもたらす可能性のある事象をさし、一般的には事故や災害などがこれにあてはまります。
そして、「企業の重要な事業を継続させるために必要な一連の活動」から生み出される、重大な事象が発生した際の企業関係者の具体的な行動計画を示した計画(文書)のことをBCP~Business Continuity Plan~(事業継続計画)と呼びます。
したがって、BCMは、有効なBCPを作成・維持・普及させるための管理手法と言うこともできます。
BCP・BCMが必要とされる理由
企業のIT化や、サプライチェーンの高度化(緊密化)など、様々な技術が発達したことにともない、一企業の活動範囲が広がりました。これはすなわち、一企業の行動結果(事業中断など)が、一度により多くのステークホルダー(利害関係者:取引先、投資家、地域住民など)に影響をもたらすようになってきたということができます。
あわせて、企業を取り巻く「期待されない事象」の存在が、見過ごせないほど大きなものになってきていることが分かります。地震、台風などの自然災害、火事などの人災などに加え、近年ではサイバーテロや新型インフルエンザなど、企業を取り巻く新たな脅威が急激に増えてきています。
こうした背景から、企業がより真剣に重要な事業の継続について取り組む必要がでてきたということができます。
したがって、「人命保護、資産保護」を目的とした、いわゆる従来の防災対策では、今日求められる「重要な事業の継続」といった目的を達成するには不十分であることがわかります。
先にあげたような「期待されない事象」が起きたときに、重要な事業を支える重要な活動を継続する、もしくはできるだけ早期に復旧することが、今企業に期待されています。
例えば、新潟県中越沖地震では、予想被害額167億円のうち、直接被害よりも間接的被害(休業や売掛金回収不能、風評被害など)の方が多かった、という調査結果が出ています。震災被災後の資金調達、得意先への対応などに課題が残ったという教訓でした。
“有効な”BCPを策定するための具体的作業
有効なBCPを策定するためには、以下のような作業を実施することが必要です。
(それぞれの項目の詳しい説明は個別説明ページをご参照ください。)
Ⅰ.組織の理解
まずは自社を取り巻く環境、自社の強み・弱みや事業の優先順位などを分析し、有事にどの事業を継続したいのか、その際に必要となる経営資源は何かを特定します。そのためのプロセスとして、ハイレベルBIA、BIAやRAがあります。
【ハイレベルBIA】(ハイレベル事業インパクト分析/ステークホルダー分析)
① 範囲(「事業継続マネジメント」の対象となる「事業」(または製品・サービス))の特定
【BIA】(ビジネスインパクト分析)
② ①を支える重要な活動(業務)の特定
③ ②を支えるリソース(経営資源:人員、施設、物資、技術、情報)の特定
【RA】(リスクアセスメント)
④ ③を脅かすリスクの種類と大きさの特定
⑤ リスク対応の実施
Ⅱ.戦略の決定
I.で特定した要素を元に、どんな事業をどのように、どんなレベルで継続・早期復旧するのかという基本的な方針を明確にします。ここを曖昧にすると計画そのものが抽象的になってしまう危険性がありますので、実効性のあるBCPを策定する上では欠かせない作業です。
⑥ BCM戦略(対応方針)の策定
Ⅲ.BCPの開発と実装
Ⅱ.で決定した戦略に基づき、重要な経営資源に対する予防・低減策と事業継続策を検討します。初動対応、危機管理、事業継続の観点から役割別・部門別など対応手順を決定し、文書化します。
⑦ 事業継続計画(BCP)の策定
⑧ BCPを実現するための準備(資源の調達、システムの実装化など)
Ⅳ.教育・演習・見直し
策定したBCP文書が本当に有事の際に使えるかどうかを検証するために演習をおこないます。演習をおこなうことによって、策定した計画の不備や改善点を認識することができるだけでなく、社内への浸透も図れます。
⑨ 関係者への教育
⑩ 演習の実施
⑪ 是正措置および予防措置
以上でBCPは策定できました。これをBCM(事業継続マネジメント)として運用するためには、年間運用計画を定め、継続的な改善を実施していく必要があります。
BCMの国際認証規格ISO22301
2012年5月に事業継続マネジメントシステムの国際認証規格ISO22301が発行されました。それ以前は英国認証規格BS23888-2が世界で最も利用される認証規格でしたが、今後ISO22301への移行が進むことが予想されます。
ISO22301についてはコチラをご覧ください。