実効性のある業務継続計画(BCP)の策定~第2回~

2018-04-11

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

災害リスク、企業の社会的な責任(CSR)への要求などを背景に、業務継続マネジメント(Business continuity management:BCM)は既にどの企業においても不可欠となっています。

計2回にわたる本コラムでは、実効性のあるBCP策定と定着化に関するポイントを紹介し、企業の付加価値を創出する、攻めのリスクマネジメントとしてのBCMの取り組みについてご紹介します。第1回目では、実効性のあるBCPの策定の重要性を解説しました。第2回目となる今回のコラムでは、策定したBCPを定着化・高度化させるためのPDCAサイクル、つまりBCMの取り組みについてご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

BCMの必要性

まず、BCPにおけるPDCAサイクル、つまりBCMの必要性を説明します。BCPが一度完成しても、実際に関係者への周知や運用がなされない限り、BCPは完全なものとは言えません。なぜなら、策定したBCPが組織内部に定着化しなければ、有事の際にBCPを想定通りに発動することは難しいためです。また、組織内部の定着化が仮に完了したと判断された場合においても、内外環境の変化、想定される災害ケースの追加などによって、BCPは常に見直しが求められます。

一般的に、BCPの定着化には「訓練」が有効な手段と言えるでしょう。PDCAの“Plan”フェーズで、策定したBCPを基にした訓練計画を整備し、“Do”フェーズで計画に基づく訓練を実施します。そして“Check”フェーズにて、訓練結果から問題点を検証し、最後の“Action”フェーズにて、BCP本体、あるいは関連する社内規程類を直し、次のサイクルの“Plan”の高度化に備えます。(図表1)

【図表1】業務継続マネジメント(BCM)サイクル

【図表1】業務継続マネジメント(BCM)サイクル

このように記すと簡単に見えますが、BCPのPDCAサイクルを実際に回していくことは、想像以上に難しいことです。PDCAサイクルを効果的に回すためには、各フェーズにおいて留意すべき多くのポイントがあります。以下では、ある有事を想定した観点よりBCPのPDCAサイクルを回すにあたって、共通的に考慮すべきポイントを紹介していきたいと思います。

Plan/Doフェーズにおけるポイント

Plan/Doフェーズにおける重要なポイントは次の3つが考えられます。

まず、第一に、訓練の目的を達成するために必要となるプレイヤーを漏れなく識別することです。

仮に、大規模な自然災害が発生し、複数の重要業務(システム)へ大きな影響が及んだ有事を全体的な訓練シナリオとします。また、このような有事のもと、BCPの発動要否を判断させるための情報を関係部門が収集・精査・報告した上で、経営層が報告内容に基づき意思決定を行うプロセスについて、全社的な定着化の促進を図ることを訓練の目的として設定してみましょう。

この場合、経営層に加え、BCPの発動要否判断に不可欠な情報の妥当性を精査する関係部門の役職者(部長級)、事業の根幹を担う重要業務の担当職員、業務システムを運用するIT部門などは参加必須者に挙げられることになります。訓練参加者が組織横断的になる点も考慮し、事務局に該当する部門もしくはチームを設けることで、部門間の調整を円滑に進めることも必要でしょう。

第二に、参加者が果たすべき目的、つまり参加者の各立場に適した課題の検出を可能とする観点から、訓練内容を検討することです。

例えば、今回の訓練目的に照らした場合、訓練内容を関係部門における情報収集・連携フェーズ、およびそれらの結果を踏まえて経営層がBCP発動要否の判断を行うフェーズに分割するという案が考えられます。

この場合、前者を対象とした訓練では、複数の関係部門が組織横断的に報告すべき情報を協議した上で、経営層へエスカレーションする内容の整理を行わせ、後者を対象とした訓練では実際に整理した内容にて経営層へ報告を行わせ、経営層の意思決定が可能であるかを検証します。

このようなアプローチを取ることで、BCPに係る課題を参加者双方の目線(ボトムアップ/トップダウンの双方向)から検証することが可能となり、より本質的な課題を発見できるようになります。

そして最後にBCPの訓練手法です。BCPの訓練手法には、さまざまなアプローチがあり、複雑度も異なります。(図表2)

組織におけるBCPの理解度に合わせ、次第に訓練手法の複雑さを増していくことで、BCPの実効性は向上し、社員の危機意識も醸成される好循環を実現できます。Planフェーズにおいて、自組織において最も適したBCP訓練をしっかりと検討することで、Doフェーズの実効性が高まると言えるでしょう。

【図表2】訓練手法の特性

【図表2】訓練手法の特性

Check/Actionにおけるポイント

Check/Actionにおけるポイントとして、最も重要となる点は、訓練参加者の生の声を吸い上げ、かつ、当該訓練における課題状況を確実に活用および還元していくことになります。課題の吸い上げに向けたアプローチの一例として、ありふれたものではありますが、訓練の事後において、参加者に対するアンケートを実施し、結果を有効活用することはやはり効果的と言えるでしょう。

ただし、単なる個々の感想を記入させるだけでなく、アンケートの設問項目には、各参加者の目線において識別した課題、または気付きとともに、改善するために実施すべき事項をあわせて回答させることが重要です。また、これらの課題、および要改善事項について、短期的、および中長期的な対応計画を策定した上で、対応状況を訓練参加者へ適時に還元していくことも必要です。参加者個別の目線に立ち、自身が提言した改善案が対応されているという認識を持たせることで、BCPをひとごとと思わせない企業意識の醸成を進めることが可能となります。

もちろん、上記取り組み自体はPlanフェーズにおいて計画されるものではありますが、実際にBCPに基づく訓練(Do)が完了した際には、事後の取り組みが「祭りの後」的に弛緩し、次に生かすべき課題の吸い上げが困難になる状況が見受けられます。こうした状況を回避するためにも、事務局に該当する部門・チームがオーナシップを持ち、事前に策定した計画に基づき、課題の吸い上げおよび対応計画の検討などを確実に担っていく推進力が求められます。

BCMに終わりはない

上記のPDCAサイクルの実効性をより高めるために、例えば、Plan/Doフェーズにおいて、災害発生のタイミングを平日/休日、日中(就業時間内)/夜間(就業時間外)などの軸にて整理(図表3参照)し、発災タイミングごとに訓練パターンの整理を行った上で、BCPの訓練を段階的に各タイミングへ発展させることも考えられます。

また、Check/Actionフェーズにおいて、自組織におけるBCPの訓練結果に加え、過去の震災事例を踏まえ、発災タイミングごとに識別された他社の課題事例と自社の訓練結果における課題状況を比較することを通して、重点的に改善すべきポイントを明確化するアプローチも考えられます。

【図表3】発災タイミングに応じた訓練パターンの検討表

2016年に発生した震度6弱以上の地震例

対象地震

発災タイミング

熊本県地震(4月)

- 最大震度7

夜間・平日(前震)

夜間・休日(本震)

北海道地震(6月)

- 最大震度6弱

日中・平日

鳥取県地震(10月)

- 最大震度6弱

日中・平日

茨城県地震(12月)

- 最大震度6弱

夜間・平日

BCMに終わりはありません。内外の組織体制の変化、または外部環境の動向を踏まえ、事業継続性へ影響を及ぼすリスクを評価した上で、その結果を関係部門との協議を経てBCPへ反映した上で、当該部門を交えたBCPの訓練をさまざまな手法を通して重ねることで、初めて、BCPの有効性は維持されます。これは時点における取り組みではなく、常に継続されるべき取り組みであり、その意味で、BCMに終わりはないでしょう。

当今、さまざまな技術環境の進展により、企業におけるさまざまな業務プロセスは多様に変容し、さらに南海トラフ大地震の予想に代表されるとおり、震災大国日本において想定すべき事業中断のリスクは質・量ともに大幅に増大していると言えます。このような錯雑なリスクが事業継続にどのようなインパクトを及ぼすのかを複眼的な視点のもと分析するとともに、部門横断的な協力・調整を通した取り組みが求められるBCMとは、多大な負荷を企業に強いることにもなるでしょう。

しかしながら、このような困難な取り組みを継続的に行うことを通して、組織としてのレジリエントな(=復旧力のある)管理態勢を着実に高めようとする勇気ある姿勢は、さまざまなステークホルダーに対する社会的な責任の一部とも言えるのではないでしょうか。本コラムの内容がそのような勇気ある企業の皆様の一助となれば、これ以上の幸いはありません。

主要メンバー

平山 智美

PwCあらた有限責任監査法人 アソシエイト, 東京

Email

細井 雄大

PwCあらた有限責任監査法人 アソシエイト, 東京, PwC Japan

Email

最新のシステムプロセスアシュアランス部コラム

Contact us

Follow us