第1回
事業継続マネジメントの現況
事業継続協会(Business Continuity Institute・・・BCI)は、世界91カ国、4,500名以上のプロフェッショナルを擁する事業継続マネジメント(BCM)に関する世界最大のNPO(本部:英国)です。1994年に設立され、2002年にはBCMに関するベストプラクティスをまとめたBCI適正実施ガイドライン(GPG)を発行し、これをベースとして、2006年11月に組織のBCMについての実践規範であるBS25999-1が、また2007年11月に組織のBCMについての仕様であるBS25999-2が英国規格として発表されました。BS25999-2に対応した直近のBCI適正実施ガイドライン(GPG)についてはBCI日本支部のホームページ(http://thebci.jp/)より無償でダウンロードできます。
日本でもこの規格に準拠して、財団法人日本情報処理開発協会(JIPDEC)が財団法人日本適合性認定協会(JAB)と協力して2008年よりBCMS適合性評価制度の実証運用を開始し、外資を含めた5つの審査機関がBCMS実証運用認証機関として審査中の状況(2009年1月19日現在JIPDECホームページ資料)にあります。企業年金連合会、NECをはじめBS25999-2取得企業も増加傾向にあり、また2008年からは事業継続マネジメントに関する国際試験CBCIの日本語による受験が可能となりました。
事業継続*1というと難しく感じ人もいらっしゃるかもしれませんが、「東南海大地震」「ブログ炎上」、「食品偽装問題」、「新型インフルエンザ」といった身近なトピックスは、すべて事業継続マネジメント*2の対象となり得る事象です。
*1:「事業継続(BC)」
あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断(混乱)に対して計画を立案し対応する、組織の戦略的及び戦術的な能力(BS25999-2 2.3)
*2:「事業継続マネジメント(BCM)」
組織への潜在的脅威や、そうした脅威が現実となった場合に引き起こされる可能性のある事業運営上の影響を特定する包括的なマネジメントプロセス。このプロセスは、組織のレジリエンシーを構築するフレームワークに、組織の主要なステークホルダーの利益、組織の評判、ブランド、及び価値創造活動を保護する効果的な対応のための能力を提供する。(BS25999-2 2.4)
経済産業省(商務情報政策局情報処理振興課)より委託を受け社団法人日本情報システム・ユーザー協会が行った「企業IT 動向調査2009」によれば、事業継続計画(BCP) *3の策定状況は「金融」が突出し、次に「素材製造」が続き、「商社・流通」は対応に遅れが見られます。最近話題の新型インフルエンザ(パンデミック)のBCPを策定・検討中の企業も、「金融」が7割と他の業種に比べ突出しています。(図表1)
*3:「事業継続計画(BCP)」
組織が、あらかじめ定めた受容可能なレベルでその重要な活動を実施し続けることを可能にするため、何らかのインシデント発生時に備えて、開発され、まとめられ、維持されている文書化された一連の手順及び情報の集合体。(BS25999-2 2.10)
事業継続マネジメントは旧くて新しい!
ネット炎上や食品偽装等の事件が発生した場合、その影響は当該問題となった主要な製品やサービスに留まらず、口コミや風評により企業自身の評価やブランド価値に大きなダメージを与えることがあります。このようなリスクは、レピュテーションリスク(reputation risk)と呼ばれ、BCMの対象となります。事業継続マネジメントはあらゆるリスクに対応することよりも、組織がゴーイングコンサーンとして事業継続するために核となる資産(評判、ブランド、技術、人材他)を特定し防禦するとともに、あわせて短時間で当該資産に大きな影響を与えるリスク(レピュテーションリスク、新型インフルエンザ、広域災害他)に対し効果的な対応をすることを可能にする取組みです。
インターネット、メディア、多国間貿易、交通手段の発達等により、このようなリスクが新たに発生したと考えがちですが、1918年に発生した米騒動で大手商社であった鈴木商店が焼き打ちにあった事例は過去であっても現在に活きているよい教訓です。第一次世界大戦後の大戦景気と人口増加、米価の高騰、これによる買い占め、売り惜しみ、新聞による米高騰の繰り返し報道、報道により煽られた国民による米市場への投機や不信(米問屋による買占め疑惑等)といった当時の状況が米騒動をもたらしました。
「米」を「石油」「土地」「金融商品」といった言葉に入れ替えたら、現在にも通ずる根本課題として通用しそうです。大きな失敗を繰り返さないように、あるいはこういった事態が発生した場合においても自らの組織が競合他社に比べて優位性を失うことのないようにするための取組みが事業継続マネジメントといわれるものです。
戦略連携、事業影響分析、全般統制が事業継続マネジメントの特徴
事業継続マネジメント(BCM)のポイントを教えて!と言われたら、BCMは以下の点において特徴があるのではないかと考えます。
① 戦略連携型リスクマネジメント
組織の戦略判断に従いBCMの保護範囲(組織にとって重要な製品及びサービスとこれらを支援する重要な活動)を柔軟に変化・対応
② 事業影響分析重視
個別リスク対応ではなく、インシデントが発生した場合に関連して派生する影響への対応を重視
③ 全般統制
個別のリスクマネジメントのみならず、企業文化(体質・人材)の向上・健全化、インシデント&クライシス・コミュニケーション対応までを含めた、統合的なマネジメントシステム
戦略連携型リスクマネジメントとは、地震、新型インフルエンザ、火災といった個別の事象への対応を問題視するのではなく、
- 我が社にとって大切な付加価値(製品、サービス等)が何かを戦略決定し、
- 我が社が戦略決定した製品、サービス等においては優位性を失うことのないように、自身の持つ優位性の源泉(人、技術、IT、ロジスティックス、地理、その他の経営資源)をよく分析し、
我が社が守るべき対象を明確にすることです。
上記の結果を受け、業務プロセスにおける問題点や経営資源の依存関係等を分析し、たとえば優位性の源泉であった特定技術分野の人材が人材流出等で退職した場合にこれに代わる人材の配置がすぐに行えず事業に停滞をもたらしたり、希少部品や希少資源を使用しており、代替品の複数ルートでの確保や在庫保有を行っていなかったため事業が停止したり休業(あるいは得意先の喪失)となったりしないよう、時間的経緯による影響も踏まえながら、我が社が許容できる最低限の事業(操業)レベルの決定とこれに必要な経営資源の分析等を行うプロセスがビジネスインパクト分析(BIA)といわれるもので、事業継続マネジメントの重要な要件となっています。
また、事象が発生した場合には当該事象への対応だけでなく、前述のレピュテーションリスクでふれたように、口コミや評判等により企業価値を下げることのないように、メディアを含めたステークホルダーに対し誠意をもった組織的なインシデント(クライシス)マネジメント体制が予め整備されていなければなりません。また、BCMに対する認識を組織の一人一人(経営陣は勿論のこと)が共有し誠実に対応するための、日々の教育・訓練や演習等の取組みも必要になります。BCMはこういった全般統制の整備も重要な要件として定めており、内部統制における全般統制、統制環境といったものを補強整備してくれるため、J-SOXやQMS、EMS、ISMSなどとも親和性が高く、既存のマネジメントシステムとの統合も比較的容易ですので、企業規模・業種にかかわらず有益なツールとして活用いただければと思います。
今回は、事業継続マネジメントの概論についてご説明させていただきました。次回は、事業継続マネジメントシステムの各論について説明させていただきたいと思います。
『月刊ISOマネジメント』(日刊工業新聞出版社刊)/RMCAリレー連載②「企業経営を強化する 実践リスクマネジメント講座」/2009年7月号掲載
執筆者:前田 泉(まえだ いずみ)
シニアリスクコンサルタント®
BCI日本支部 事務局長
日本リスクマネジャー&コンサルタント協会 理事
URL:http://thebci.jp/
電子メール:imaeda@thebci.jp
BCM-RM研修コース講師 |
