こんにちは!前回まで、BCMS(事業継続マネジメントシステム)の活動の肝となるISO/22301の第8章「運用」にフォーカスして解説を行ってきました。おさらいしますと8章では、組織が有効なBCP(事業継続計画)を経営方針に沿って継続的に策定・導入・維持・管理していくための活動について定めています。
このシリーズの第2回では、この8章自体体をミニPDCAから構成されていると見立てて、まずはそのP(Plan)にあたる部分の解説をしました。具体的には「分析の実施」、「対策の決定」に関わる要求事項について解説をしました。
第3回では、ミニPDCAのD(Do)にあたる「事業継続手順の確立及び導入」について解説をしました。そして最終回となる今回は、ミニPDCAのC(CHECK)A(ACT)にあたる、「演習及び試験の実施」について解説をいたします。
最後に8章を飛び出して、残りの章(4~7章、9章、10章)「文書管理」や「力量管理」、「マネジメントレビュー」などBCMプログラムマネジメントを支えるその他の活動について、解説をしていきたいと思います。
ISO/DIS22301の目次構成
ISO/DIS22301の目次構成
| 1. 適用 |
| 2. 引用規格 |
| 3. 用語及び定義 |
| 4. 組織の状況 |
|---|
| 5. リーダーシップ |
| 6. 計画 |
| 7. 支援 |
| 8. 運用 |
| 9. パフォーマンス評価 |
| 10. 改善 |
「演習」について
ISO22301では8.5で「演習及び試験」という言葉で表現しています。なお、ここで言う「試験」とは、テストも呼ばれ、規格では、演習の1つであり、とりわけ合否判定に重きをおいて評価を行う検証を指すものである、と定義しています。身近な例としては「二重化されたネットワークにおいて、プライマリ回線を故意にダウンさせてみて、バックアップ回線に自動的に切り替わるかどうか、その結果を見ることによって計画に欠陥がないかどうかを検証する」といったケースが挙げられるでしょう。8.5「演習及び試験」の狙いは、これまで項番8.1から8.4の要求事項に応える形で策定・導入してきたBCP(事業継続計画)を検証させることにより、実効性の向上を図ることにあります。ちなみに「演習及び試験」は、いわゆるセルフアセスメント活動であるという点で、後述する「9章パフォーマンス評価」活動の1つと言うこともできます。
さて規格では、「演習及び試験」の実施に関わる要求事項として、具体的に以下のような記述をしています。
この要求事項において、特に重要なポイントとなるのは演習の範囲です。上図a)やc)で求められているように、BCP全体を1回の演習で検証するのか、あるいは部分的な検証を積み重ねることで最終的に全体を検証してゆくのか、いずれの手段をとるにせよ、最終的にはBCP全体が検証されなければならない、という点が重要です。したがって、たとえば「被災した際の初動計画については“避難訓練”で検証を行うので今年はもう十分」という主張では、この要件を満たしていることにはなりません。初動に対する「避難訓練」に加えて、対策本部の立ち上げ部分については特定のシナリオに基づいた「シミュレーション」演習を、そして各部門の業務継続については部門ごとにメンバーが集まって「読み合わせ(机上訓練)」を行うなど、BCP全体をカバーできる演習計画を立て実行していくことが必要になります。
BCMプログラムマネジメントを支える活動
さて、これまでは8章を中心に見てきましたが、ここから先は、これを支える活動(8章以外の章)に目を向けていきたいと思います。ここで述べる「支える活動」とは、具体的には主として「力量管理」「資源管理」「法規制管理」「文書管理」「パフォーマンス評価」「内部監査」「マネジメントレビュー」といった活動を指します。他のISO規格をご存じの方はすぐにお気づきかと思いますが、こうした活動はBCMS特有のものではありません。継続的な維持・改善活動を行うために、マネジメントシステム規格では当然に求められるものです。
そこで本稿では、こうした活動の中からいくつか重要なポイントをとりだして解説をしていきたいと思います。
≪文書管理≫7.5「文書化した情報」
ISO22301では「この規格(ISO22301)が求めるもの」そして「組織がBCMSの有効性を確保するのに必要であると判断したもの」、のいずれかに該当するものは文書化すべきであると明確に要求しています。ここで「この規格(ISO22301)が求めるもの」とは、業種・業態・規模を問わずいずれの組織においても文書化されるべきものであり、具体的には以下の通りです。
【方針・手順など】
- BCMSの適用範囲、除外項目並びにその理由(4.3.1)
- 事業継続目的(6.2)
- BCMS方針(5.3)
- BIA実施手順(8.2.2)
- RA実施手順(8.2.3)
- 事業継続手順(8.4)
- 組織の環境分析結果(4.3.1)
- 法規制管理台帳(4.2.2)
- 力量の証拠(7.2)
- 演習実施報告書(8.5)
- パフォーマンス評価実施結果(9)
- 内部監査実施証跡(9.2)
- マネジメントレビュー実施結果(9.3)
- 是正処置実施結果(10.1)
≪パフォーマンス評価≫9「パフォーマンス評価」
「パフォーマンス評価」は、導入した計画やプロセス、手順、ルール、体制などが、もともとの目的達成に役立っているか?を見極める活動のことを指します。
したがって、具体的には、測定や監視、分析、評価といった活動から構成されることになります。測定や監視の代表的なものが「内部監査」です。内部監査員は、導入したルールが予定どおりに守られているかどうか、を監査します。その結果を分析し、役に立っているかどうか(評価)を判断し、トップマネジメントに報告を挙げます。
もちろん、測定・監視は内部監査に限られません。システムの大規模障害など実際に事業が中断するような事故やニアミスがこれまでに何件あったかを測定し、分析することで、今の活動やルールに何が足りないのかを評価することもできます。
トップマネジメントを含めてのマネジメントレビューも、パフォーマンス評価の最たる活動の1つと言えます。様々なインプットをもとに、マネジメント自身がその成果や失敗に対する評価を行い、次のサイクルに向けた指示を出すこと・・・これもパフォーマンス評価です。
規格の9章「パフォーマンス評価」では、これらに代表される活動をはじめ、組織の中で、何を測定・監視し、分析し、誰がどうやって評価するのか、についてあらかじめ定めておくことを求めているのです。
ISO22301のまとめ
第1回の記事でも触れましたように、ISO/22301は同じBCMSという枠組みの中では、国内でも有名な内閣府の事業継続ガイドラインなどと大きな違いがないことがお分かりいただけたかと思います。それだけISO22301がBCMSの本質を的確に捉えた規格だから、ということもできるでしょう。
おわりに
さてISO22301の解説はこれで以上となります。いかがでしたでしょうか?こうした点を踏まえた上でご活用いただき、みなさまの組織において実効性あるBCPの策定・導入の一助となれば幸いです。どうもありがとうございました。
