{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
実効性のある業務継続マネジメントシステム(BCP)とは~第1回~
2017-12-25
災害のリスクや企業の社会的な責任(CSR)の高まりなどを背景に、業務継続マネジメントシステム(BCM)の必要性が高まっています。BCMとは、災害などの危機的状況下で業務を存続させる能力を高めていくための運営を意味し、そのBCMの核となるプロセスが、事業継続計画(BCP)の策定です。
単なる飾りではない、実効性のあるBCPを策定するためには、自社の中核事業の絞り込みやサプライチェーンについての考慮といった全社横断的な視点が必要であり、経営層を巻き込んだ災害時の体制を検討することが肝要です。
また、策定したBCPをもとに訓練を計画・実施し、常に最新化するというPDCAサイクルを回すことによって、BCP/BCMは企業にとって真に実効性のあるものとなります。BCP/BCMの運営をうまく実施していくことは、企業の信頼性を向上させ、他社に対する競争優位性の獲得にも繋がります。
本コラムでは、実効性のあるBCP策定と定着化に関するポイントを中心に、企業の付加価値の創出に繋がる「攻めのリスクマネジメント」としてのBCMの運営について、2回にわたって紹介します。第1回目となる本コラムでは、実効性のあるBCPとは何かという点にフォーカスを当てて解説します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
BCP策定に取り組む企業
昨今頻発する大規模地震や自然災害は、人命を奪うだけではなく、企業の業務運営にも大きな被害を与えています。
近年、企業はBCPの策定に力を入れはじめ、予測不能な事態に備える姿勢を強めています。BCPとは、自然災害や疫病、サイバーテロ等、あらゆる危機下において事業資産の損害を最小限に抑えつつ、中核となる重要業務を継続すること、または業務が中断してしまった場合でも目標復旧時間以内に重要機能を再開させるべく定める計画のことを指します。
2007年度より内閣府防災担当が隔年で実施している「企業の事業継続及び防災の取組に関する実態調査」の最新の調査(平成27年度)によれば、大企業は60.4%、中堅企業では29.9%がBCPを策定しており、政府は2020年までの目標として、前者で100%、後者で50%を掲げています。
【図表1】BCP策定状況
BCPは単に策定するだけでなく、その「実効性」、すなわち策定されたBCPが実際の有事の際に期待する効果や影響を発揮するかどうかといった、質的側面に目を向ける必要があります。
実効性の高いBCP策定とは
2011年の東日本大震災では、サプライチェーンの寸断によって多くの製造業が甚大な業務影響を受けました。従来のBCPは、自社の施設や社員の安全といった狭い範囲にフォーカスしており、企業活動全体の流れを俯瞰したものではなかったと言えますが、次段階として、作成したBCPが十分な業務影響を考慮しているか、「絵に描いた餅」で終わることにならないかといった点に焦点が当たり始めており、BCPにおける実効性の確保が重要視されるようになってきています。
ではBCPに実効性を持たせるためには、どのような点に着目すべきなのでしょうか。
(1)想定外の事態への対応に係る経営層のコミットメント
東日本大震災以前、BCPの内容は自社の経営資源に対する直接的な被害にフォーカスされていました。しかし震災を通じ、サプライチェーンに対する信頼性やインフラの供給、風評被害といった間接的な被害の方が、企業経営により大きな影響を及ぼすことが明らかになりました。サプライチェーンのどこかで供給停止が起こり、連鎖反応的に供給機能が停止するという経験を踏まえ、現在では単に部門ごとの業務単位ではなく、経営者の目線からBCPを策定することが求められるようになっています。
(2)ビジネス基盤としてのITの考慮
現在、ITサービスに依存しない業務はほとんどないと言っても過言ではありません。非常事態に業務を停止させないためには、自社システムの安定稼動が必要となります。そのためには、DRサイト(非常時のシステムの代替拠点)、データのバックアップ等の仕組みを作り、その機能が十分に担保されていることが必要です。システム部門とシステムのオーナー部門、さらには全社BCP策定部門がBCP策定時から緊密に連携し、業務分掌や協働体制、情報連携の仕組みを考慮した上で、実効性の検討を行うことが重要です。システム部門と業務部門間の連携がなされず、有事の際にシステムに関係するBCPが機能するかどうかが証明されていない場合には、大きなリスクが存在すると言えます。
このように、BCPの策定およびBCMの運営は全社的な取り組みであるとともに、システム部門におけるITガバナンスも考慮しなければならないという意味で、意思決定層であるマネジメント層の積極的な関与が必要となります。
BCPの中核とは
BCPとして、発災時に取るべき行動は大きく二つのフェーズに分かれます。まず、安全確保、安否状況・被災状況の把握といった、主に初動対応のフェーズです。次に、業務復旧へ向けた復旧対応のフェーズです。復旧対応を実施する上で最も考慮すべきことは、優先的に復旧させるべき、企業の根幹を担う重要業務の選定です。これはBCPを策定する上で、まず初めに取り組む必要があります。災害時には人員、設備等、あらゆるリソースが限定されるからです。重要業務の選定は、いわば「選択と集中」であり、経営戦略と深く関わってくるものです。したがって、重要業務の選定にあたっては同業他社を参考にすることも有用ですが、自社の経営理念や事業戦略、社会的な役割、事業環境等を考慮して検討することが肝要です。例えば、互助精神が根本にある保険会社であれば、加入者に対する迅速なケアや支払の査定が重要業務になると考えられます。
また今日、業務とITサービスは一体化していることが多く、業務とシステムの関係を考慮することも非常に重要です。システム部門が独自に業務継続計画を立てるのではなく、全社BCPの中に組み込み、そこでシステム自体の影響を考慮する必要があります。
これらを踏まえた上で、重要業務の停止がどの程度許容されるのか、つまりいつまでに復旧させるべきかという目標復旧時間(RTO)と、どのレベルまで復旧させるかという目標復旧レベル(RLO)を定める必要があります。公的機関やインフラ業者にとって、RTOやRLOを公表することは社会的な責任の一環と言っていいでしょう。社会的な責任を考慮して、これらのBCPの内容を対外的にコミットするかどうかの意思決定をすることが、企業の説明責任として求められています。
BCP/BCMは攻めのリスクガバナンス
内閣府防災担当の事業継続ガイドライン(※2)において、BCMは経営戦略の一部であると述べられています。実際に、単なる非常時の組織対応という観点を超えて、事業戦略の実効性を高める一材料として、BCP/BCMを利活用している事業体も存在しています。例えば、BCP/BCMを経営戦略の一部として活用し、取引先の増加・人材育成・業務効率化に繋げた事例があります。また、BCPへの取り組みを評価対象として金融機関から優遇金利で融資を受けられるなど、さまざまな利点もあります。
これまで述べてきたとおり、BCP/BCMの策定にあたっては全社横断的な見直しが必要となるため、一部門が担当できるものではなく、経営層を起点としてトップダウンで取り組むことが重要です。
特に、数多くの地域に拠点を持つ企業におけるBCPの運営で重要なことは、支社も含めた危機意識の醸成、また有事の際における拠点間の相互協働です。そのためにも、本社における全社的な取り組みはもとより、各拠点の地域特性に応じた災害リスクを考慮したBCPの検討が求められます。
それでは実効性のあるBCP/BCMを策定するために、どのようなアプローチを取ればよいでしょうか。次回は、BCP策定後の全社的な定着化・高度化のPDCAサイクルに焦点を当て、BCMの取組事例について紹介します。
執筆者
平山 智美
PwCあらた有限責任監査法人 アソシエイト
※法人名、役職などは掲載当時のものです。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
