“SWOT分析! BSC分析!”これはよく知っています。という言葉を良く聴きます。
ところが、研修やコンサルで入ってみますと、ほとんど有効に活用されているところがありません。
会社から、“中期事業計画をSWOTやBSCを使用して作成しろ”と言われているために、仕方なく使用しているところもあります。
事業計画と関係無くお遊びになっています。
基本的なSWOT分析から、その理由を考えて見ようと思います。
ある大手銀行の方で、“SWOT分析は何処でやっても同じCSFしか出ません。
あまり役に立ちません。”と言われた中堅のIT企画員の方がいました。
話しかけられた時は良く分からなかったのですが、その方のSWOTの要因の整理が全く意味の無いまとめ方になっていることに気づきました。
SWOT分析は要因整理の良し悪しが命です。
以下にその整理基準を書いておきましょう。
SWOT分析は経緯ビジョンや事業ビジョンの作成を支援する手法として有効です。
一方、BSCは経営(事業)施策の手順を追って作成する(戦略目標)手法として有名です。
しかし、両方を有効に連携して活用されているところは、あまり見かけていません。
理由は、全く異なる手法なので連携できないと頭から思われているところも あります。
両手法の連携のキーには、SWOTにおける“CSF”とBSCにおける“戦略目標”の位置
づけが明確にされていないところがあります。
SWOT分析のCSFから述べていきます。
CSFは“重要成功要因”といわれるように、事業を成功させる要件ですから“・・・
のスキルを有していること”、“・・・の仕組みがあること”といった事業成功の要因、すなわち「必要な状態」を捉えます。
事業施策はこのCSFに対する実施方策 となります。したがって、CSFは3年後の経営(事業)ビジョンを目標におきますと、現在から1年目、2年目あるいは3年目の成功のマイルストーン(中間目標)に位置づけられることになります。
テーマは「BSC戦略目標とCOBIT情報要請規準の関係」を取り上げます。
米国SOX法のIT統制のフレームワークとしてCOBIT4.0がCOSO(トレッドウェイ委員会組織委員会)に推奨されたことからCOBITのフレームワークはビジネスとの関連を強めてきました。
SOX法の目的の第1に「業務の有効性及び効率性」を掲げ、内部統制の範囲をビジネスの収益性向上にまで広げたためです。
COBITではITガバナンスの真髄を“ITが確実にビジネス目標達成できること”とし、ビジネスとIT化の橋渡しとして「情報要請規準」を設定しました。
一方、BSCの「財務の視点」の収益目標は、「顧客の視点」を経て「内部業務プロセスの視点」と「学習と成長の視点」の施策に展開されました。
IT化施策は内部業務プロセスの視点と学習と成長の視点に含まれます。
BCPとは災害やテロ等の経営リスクから企業経営を守る経営リスク対応計画で、今年からISO化がスタートしました。
平成17年3月、経産省はITに関するBCPガイドラインを発表し、内閣府は自身に関するBCPガイドラインを発表しました。平成18年2月には、中小企業庁は「中小企業BCP策定運用指針」として、BCP導入の具体的なガイドラインを提供しています。
平成21年には英国のBSIが提供するBCMのBS25999-2:2007による認定活動がJIPDECにおいて実施予定です。
なぜ、これほどまでにBCPを政府が推奨しているかと言いますと、中越地震を見てもわかりますように、災害やテロ等が企業に与える影響は単なる1企業の経営活動ではなく、サプライチェーンとしての活動に影響を与えるからです。
調達がグローバルになっていくに従って、中小・中堅企業や大企業も世界中の調達企業からBCP整備の有無を迫られてきています。BCPの整備の無い企業は今後生き残っていけない状況となるかもしれません。
このブログでは、“BCP/BPMに対し企業はどのような対応を求められるのか”を解説していきたいと思います。
BCPがクローズアップされたのは、ご存知のように2001年9月11年に米国で起きた同時多発テロからです。
その事件の中心は、大手金融機関等、多くの大企業が入居していたWTC(世界貿易センター)の崩壊です。
多くの悲惨な結果を生んだ事故でしたが、ビジネスの観点で見ますと、入居していた企業のほとんどは2重バックアップシステムを整備し、データセンターとしての機能には大きな影響が無かたと言われています。米国のIT環境整備に関する意識のすごさです。
ただ、IT環境の復元は比較的スムーズに進んだのですが、投資してこなかったそれ以外のビジネスネットワークや人、ユーティリティ等に関して大きな影響を受けました。
つまり、事業を再開するのに多くの時間と労力を要したということです。BCP(事業継続計画)はこの観点から発展しました。
BCPとBCMの意味とその目標とするところを概観しようと思います。
BCPに関するガイドラインには、英国BCI(British Standard Institute)の「Good Practice Guidelines(実践的な指針)」のもとに英国規格協会(BSI:
British Standard Institute)が作成した一般仕様書であるBS25999の規定があります。
このガイドラインのBCPの定義です。
「潜在的損失によるインパクトの認識を行い、実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されて
いる手順及び情報を文書化した事業継続の成果物」。
内容はこのあとに徐々に解説することになりますが、事故発生の前に事故を想定して作成された事業継続のための対応手順文書ということがわかります。
BCP/BCMの目標が「MTO」、「RTO」、「RPO」に対して設定されることは前回で述べ ました。
この目標に対してBCPは“どのような活動を文書化するのか”が本日のテーマです。
BCPではその実施サイクルを「事業を理解する」、「BCPの準備、事前対策を検討 する」、「BCPを策定する」、「BCP文化を定着させる」、「BCPの診断、維持・更新 を行う」の5つのステップで整理しています。
◆ステップ1:「事業を理解する」とは、自社の中核事業(製品やサービス)、災害発生時の復旧までに許容される期限(期日、納期)、重要業務に大きな影響を与える災害等を把握します。
BCPの「各国、各省庁BCPガイドラインの特徴」を概観しようと思います。
BCPガイドラインは、欧米と日本とでは考え方が異なりガイドラインが作成されています。
地震等の災害の多い日本とテロ等の人為的被害の多い欧米、全員経営の日本と少数の本社トップによる経営体制の欧米。考え方が違ってくるのは当然です。
欧米では、英国規格協会(BSI:British Standard Institute) を中心に“本社が機能しなくなるリスク”と考えますし、日本では地震を中心に“災害を意識したリスク”と考えます。
日本のBCPガイドラインを整理しておきましょう。3種類あります。
BS25999規格はBSI(British Standard Institute)の下で作成されたCM(Business
Continuity Management)規格の概要です。BSIでは、一般に使用されている“BCP”と いう用語を“BCM”といっています。
これからはBCMの方が一般的になるかもしれません。BS25999には、2つの規格、BS25999−Part1とBS25999−Part2があります。
それぞれの違いから話を進めていきます。
◆BS25999Part1(第1部:実践規範)は、
2002年4月、英国BCI(British Standard Institute)の「Good Practice Guidelines(実践的な指針)」 のもとに英国規格協会(BSI:British Standard Institute)がPAS56として作成した一般仕様書です。
現在はBS25999-1:2006(実践規範)が2006年11月発行され、BCM全体のライフサイクル基づく包括的コントロールの規範であるフレームワークを提供しました。
BCPの全体像を捉えるには、その実施ステップから捉えていくのが分かり易いと思います。BCPのステップは、「1.BCP基本方針の立案」、「2.BCPサイクルの運用体制確立」、「3.BCPサイクルの継続運用」、「4.BCPの発動」の4つのステップで進みます。
◆「1.BCP基本方針の立案」では、
BCPの策定・運用の目的に沿って、基本方針を作ります。
BCPの策定・運用の目的とは、「緊急時においても事業を継続できるように準備しておくことで、顧客からの信用、従業員の雇用、地域経済の活力の3つを守り、企業価値を維持・向上させること」です。
BCPサイクルの継続運用ステップは、緊急事態発生に備える平常時の準備事項で構成されます。
その準備事項の各ステップは、「1.事業を理解する」、「2.BCPの準備、事前対策を検討する」、「3.BCPを策定する」、「4.BCP文化を定着させる」、「5.BCPの診断、維持・更新を行なう」の5ステップです。それぞれのステップの作業事項を概観してみしょう。
◆「1.事業を理解する」での準備事項とは、
BCP作成の中でもっとも重要なステップです。緊急事態発生時の事業への影響度を調査し、財務的な費用を算定します。企業の経営体力上、すべての事業のBCPを作成することは投資対効果の観点で有効ではありません。
ビジネスインパクト分析という手法を用いてより重要な中核事業と中核事業を支える資源(ひと、もの、金、情報)の中でボトルネックとなる資源を選定して対策を講じることになります。