前回の第1の作業ステップでは、中核事業の継続においてボトルネックとなる必要資源を確保する方法や手段を事前に検討し、把握することを行いました。
BCPサイクルの継続運用ステップの2ndフェーズの2番目の作業ステップ、「BCPの準備、事前対策を検討する」についての検討事項を見ていきます。
このステップの目的は、これまでの分析結果を踏まえて、目標復旧時間内に事業を復旧できるようにするための事前対策を検討することです。
作業順序は、「ボトルネックである全ての資源を災害から保護又は代替の準備をする対策を策定する」、「ボトルネック対策の優先度付けをする」の2つの作業です。
これらの作業内容を順番に述べていきます。
BCPサイクルの継続運用ステップの2ndフェーズ、「BCPの準備、事前対策を検討する」の検討内容を述べてみましょう。前回とりあげましたが、このフェーズには2つの作業ステップ、「事業継続のための代替案の特定と選択をする」と「BCPの準備、事前対策を検討する」がありました。
まず、
1.「事業継続のための代替案の特定と選択をする」作業から進めます。
この作業の手順は、「作業連絡の拠点となる場所の確保」⇒「被災した重要施設・設備の代替確保」⇒「従業員の確保」⇒「資金調達の方針」⇒「通信手段・各種インフラの代替方針」⇒「情報のバックアップ方針」です。
BCPサイクルの継続運用ステップの1stフェーズ「事業を理解する」を終えると、2ndフェーズ「BCPの準備、事前対策を検討する」に入ります。
このフェーズの目的は、「中核事業を継続・復旧させるための準備と事前対策を作成する。」ことです。
つまり、
◆BCP発動時のボトルネック資源の代替案を作成する
◆ボトルネック資源が被害を受けないための事前の対策を作る
ことです。
この目的に沿って実施する作業ステップを述べておきます。
作業1:事業継続のための代替案の特定と選択をする
緊急事態発生時に、中核事業の継続においてボトルネックとなる必要資源(人、物、 金、情報等)や代替資源を確保する方法や手段を事前に検討し、把握することが 必要です。
重要資産、施設、従業員、資金調達、通信手段・各種インフラ等多くの検討事項があります。
「事業被害の評価2として財務状況の診断」を取り上げます。
ここでの目的は「事業を復旧・継続するのに必要な金額を算出する。建物・設備の復旧費用と事業が中断されることによる損失を予測して算出する」ことです。
災害時の損害の金額と復旧費用を予測することで、事業復旧・継続に対する資金準備、資金調達計画を立案することが可能になります。
損害は、「直接損害」と「間接損害」に分類します。建物や機械、商品等の資産の損害を直接損害と言います。
一方、間接損害は直接損害の結果会社の事業がストップして発生する「事業中断による損害」を言います。したがって、損害の金額=直接損害+間接損害で表わされます。
BCP作成の最初のステップである“事業を理解する”ための最初の作業である「事業の影響度分析」の手法として、前回「ビジネスインパクト分析」を取り上げました。
ここでは、影響度分析の基礎となる被害の考え方と財務状況の捉え方を取り上げます。
まず、「中核事業が受ける被害を評価する」観点から進めていきます。
影響度分析のポイントは、中核事業の重要業務のボトルネックリソースでした。
被害の評価はこのボトルネックリソースの被害に焦点が当たります。
まず災害(たとえば、震度7の地震など)を設定し、その災害がボトルネック資源に与える影響を2つの軸で想定します。
(Read the article)
「ビジネスインパクト分析」の目的は、以下の3点に集約されます。
◆中核事業の業務洗い出しと関係するリソースの洗い出し
投資対効果の観点で中核となる事業を選定し、その事業遂行の上での業務と関係するリソース、「人」、「機器」、「システム」等の資源を洗い出し、業務との関係を特定します。災害時にはこのリソースが被害を被ることになりますので、業務への影響を見極めることが可能になります。
重要業務に必要な資源から不可欠な資源を「ボトルネックリソース」と言います。
BCPとは災害やテロ等の経営リスクから企業経営を守る経営リスク対応計画で、ISO化がスタートしています。平成17年3月、経産省はITに関するBCPガイドラインを発表し、内閣府は自身に関するBCPガイドラインを発表しました。
平成18年2月には、中小企業庁は「中小企業BCP策定運用指針」として、BCP導入の具体的なガイドラインを提供しています。平成21年には英国のBSIが提供するBCM(Business Continuity Management:事業継続管理)のB25999-2:2007による認定活動がJIPDECにおいて実施予定です。
BCPサイクルの継続運用ステップは、緊急事態発生に備える平常時の準備事項で構成されます。
その準備事項の各ステップは、「1.事業を理解する」、「2.BCPの準備、事前対策を検討する」、「3.BCPを策定する」、「4.BCP文化を定着させる」、「5.BCPの診断、維持・更新を行なう」の5ステップです。それぞれのステップの作業事項を概観してみしょう。
◆「1.事業を理解する」での準備事項とは、
BCP作成の中でもっとも重要なステップです。緊急事態発生時の事業への影響度を調査し、財務的な費用を算定します。企業の経営体力上、すべての事業のBCPを作成することは投資対効果の観点で有効ではありません。
ビジネスインパクト分析という手法を用いてより重要な中核事業と中核事業を支える資源(ひと、もの、金、情報)の中でボトルネックとなる資源を選定して対策を講じることになります。
BCPの全体像を捉えるには、その実施ステップから捉えていくのが分かり易いと思います。BCPのステップは、「1.BCP基本方針の立案」、「2.BCPサイクルの運用体制確立」、「3.BCPサイクルの継続運用」、「4.BCPの発動」の4つのステップで進みます。
◆「1.BCP基本方針の立案」では、
BCPの策定・運用の目的に沿って、基本方針を作ります。
BCPの策定・運用の目的とは、「緊急時においても事業を継続できるように準備しておくことで、顧客からの信用、従業員の雇用、地域経済の活力の3つを守り、企業価値を維持・向上させること」です。
BS25999規格はBSI(British Standard Institute)の下で作成されたCM(Business
Continuity Management)規格の概要です。BSIでは、一般に使用されている“BCP”と いう用語を“BCM”といっています。
これからはBCMの方が一般的になるかもしれません。BS25999には、2つの規格、BS25999−Part1とBS25999−Part2があります。
それぞれの違いから話を進めていきます。
◆BS25999Part1(第1部:実践規範)は、
2002年4月、英国BCI(British Standard Institute)の「Good Practice Guidelines(実践的な指針)」 のもとに英国規格協会(BSI:British Standard Institute)がPAS56として作成した一般仕様書です。
現在はBS25999-1:2006(実践規範)が2006年11月発行され、BCM全体のライフサイクル基づく包括的コントロールの規範であるフレームワークを提供しました。
BCPの「各国、各省庁BCPガイドラインの特徴」を概観しようと思います。
BCPガイドラインは、欧米と日本とでは考え方が異なりガイドラインが作成されています。
地震等の災害の多い日本とテロ等の人為的被害の多い欧米、全員経営の日本と少数の本社トップによる経営体制の欧米。考え方が違ってくるのは当然です。
欧米では、英国規格協会(BSI:British Standard Institute) を中心に“本社が機能しなくなるリスク”と考えますし、日本では地震を中心に“災害を意識したリスク”と考えます。
日本のBCPガイドラインを整理しておきましょう。3種類あります。
BCP/BCMの目標が「MTO」、「RTO」、「RPO」に対して設定されることは前回で述べ ました。
この目標に対してBCPは“どのような活動を文書化するのか”が本日のテーマです。
BCPではその実施サイクルを「事業を理解する」、「BCPの準備、事前対策を検討 する」、「BCPを策定する」、「BCP文化を定着させる」、「BCPの診断、維持・更新 を行う」の5つのステップで整理しています。
◆ステップ1:「事業を理解する」とは、自社の中核事業(製品やサービス)、災害発生時の復旧までに許容される期限(期日、納期)、重要業務に大きな影響を与える災害等を把握します。
BCPとBCMの意味とその目標とするところを概観しようと思います。
BCPに関するガイドラインには、英国BCI(British Standard Institute)の「Good Practice Guidelines(実践的な指針)」のもとに英国規格協会(BSI:
British Standard Institute)が作成した一般仕様書であるBS25999の規定があります。
このガイドラインのBCPの定義です。
「潜在的損失によるインパクトの認識を行い、実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されて
いる手順及び情報を文書化した事業継続の成果物」。
内容はこのあとに徐々に解説することになりますが、事故発生の前に事故を想定して作成された事業継続のための対応手順文書ということがわかります。
BCPがクローズアップされたのは、ご存知のように2001年9月11年に米国で起きた同時多発テロからです。
その事件の中心は、大手金融機関等、多くの大企業が入居していたWTC(世界貿易センター)の崩壊です。
多くの悲惨な結果を生んだ事故でしたが、ビジネスの観点で見ますと、入居していた企業のほとんどは2重バックアップシステムを整備し、データセンターとしての機能には大きな影響が無かたと言われています。米国のIT環境整備に関する意識のすごさです。
ただ、IT環境の復元は比較的スムーズに進んだのですが、投資してこなかったそれ以外のビジネスネットワークや人、ユーティリティ等に関して大きな影響を受けました。
つまり、事業を再開するのに多くの時間と労力を要したということです。BCP(事業継続計画)はこの観点から発展しました。
BCPとは災害やテロ等の経営リスクから企業経営を守る経営リスク対応計画で、今年からISO化がスタートしました。
平成17年3月、経産省はITに関するBCPガイドラインを発表し、内閣府は自身に関するBCPガイドラインを発表しました。平成18年2月には、中小企業庁は「中小企業BCP策定運用指針」として、BCP導入の具体的なガイドラインを提供しています。
平成21年には英国のBSIが提供するBCMのBS25999-2:2007による認定活動がJIPDECにおいて実施予定です。
なぜ、これほどまでにBCPを政府が推奨しているかと言いますと、中越地震を見てもわかりますように、災害やテロ等が企業に与える影響は単なる1企業の経営活動ではなく、サプライチェーンとしての活動に影響を与えるからです。
調達がグローバルになっていくに従って、中小・中堅企業や大企業も世界中の調達企業からBCP整備の有無を迫られてきています。BCPの整備の無い企業は今後生き残っていけない状況となるかもしれません。
このブログでは、“BCP/BPMに対し企業はどのような対応を求められるのか”を解説していきたいと思います。