Home >リスクマネジメント・ラボ > 事業継続マネジメント 

リスクマネジメントの専門知識・事例を学ぶ

リスクマネジメント・ラボ
第7回 2011年5月
第6回 2011年2月
第5回 2010年11月
第4回 2010年8月
第3回 2010年5月
第2回 2010年2月
第1回 2009年10月

CBCIの対策講座としての最適! BCMの基本が学べる
BCM-RM研修コース」開催中

Business Continuity Institute (BCI) 日本支部 事務局長 前田 泉  
2回

事業継続マネジメントライフサイクル
 BS25999-2:2007(英国規格 事業継続マネジメント BS25999-2:2007 第2部 仕様、以下「BS25999-2」という)は、BS EN ISO 9001:2000(品質マネジメントシステム)、BS EN ISO 14001:2004(環境マネジメントシステム)、BS ISO/IEC 27001:2005(情報セキュリティマネジメントシステム)及びBS ISO/IEC 20000:2005(ITサービスマネジメント)などの他のマネジメントシステム規格との一貫性をある程度確保し、事業継続マネジメントシステム(BCMS)の導入及び運用において関係するマネジメントシステムとの一貫性及び統合を支援しています。
 BCMSにおいては各活動にPDCAサイクルを組み込んだアプローチがBS25999-1:2006(英国規格 事業継続マネジメント BS25999-1:2006 第1部 実践規範、以下「BS25999-1」という)で推奨されています。その概要は図に記載のとおりです。

図1:BS25999-1の概要

 事業継続マネジメントの各要素は次のとおりです(BS25999-1 3.7)。

a) BCMプログラムマネジメント
b) 組織の理解
c) 事業継続戦略の決定
d) BCMの開発と実装
e) BCMへの取り組みに関する訓練、維持管理、及びレビュー
f) 組織文化へのBCMの導入

 BCMプログラムマネジメントは組織が定めた事業継続方針における目標を達成するために、責任を明確化し、組織の中に事業継続を実装し、事業継続の継続的マネジメントを行うためのものです (BS25999-1 5.1) 。
 BS25999-2では、組織がBCMSを開発、導入、維持及び継続的に改善するにあたり、以下に従うことを要請しています(BS25999-2 3.1)。

- BCMSの確立及び管理     (BS25999-2 3.2)
- 組織の文化にBCMを組み込む (BS25999-2 3.3)
- BCMSの文書及び記録     (BS25999-2 3.4)

 今回はBCMSの特徴から特に重要と考えられる、BCMSの適用範囲及び目的についてふれたいと思います。

 

事業継続マネジメントシステムの適用範囲及び目的
 事業継続マネジメントシステムに取り組もうとする組織の導入理由は様々であると思いますが、取り組む以上、組織設立のときより複数のステークホルダーと関係性を持ったgoing concernであることをよく理解し、組織にとって継続可能でかつ有意義なBCMSを目指すべきであると思います。特に、事業継続マネジメントは、従来のリスクマネジメントとは異なり、組織の経営戦略や環境変化等に柔軟に対応することが求められます。従って、安易に現在の売上規模のみを判断基準としたり、BCMSが取得しやすいからと組織単位で括ってしまうのではなく、ステークホルダーの関心事・要望や法的規制、それらを踏まえて策定される組織の中長期戦略と密接に結びつけて、適用範囲を決定しなければなりません。特に適用範囲及び目的が、その後に決定される事業インパクト分析(BIA)、最大許容停止時間(MTPD)、目標復旧時間(RTO)、リスクアセスメント等に大きく影響を与えることを理解し、BCMSの実践にあたっては適用範囲及び目的の決定プロセスや決定にあたって配慮した基準や項目等を記録し、適用範囲及び目的を含めたBCMS全体をPDCAの中で適宜改善していく必要があります。
 事業継続マネジメントシステムの適用範囲及び目的決定にあたって考慮すべき事項として以下が定められています(BS25999-2 3.2.1.1)。

a) 事業継続の要求事項
b) 組織の目的及び義務
c) 受容可能なリスクのレベル
d) 法令、規制及び契約上の義務
e) 主要なステークホルダーの関心事

 例えば、2008年2月に発表された米国General Motors社の年次報告書では、ガソリン高騰による新車及び中古車の買い控え、新興国での競争激化、ハイブリッドカーや電気自動車などのエコカーへの取組み、米国はもとより世界各国における環境規制の強化などの市場認識がなされています。
 こういった市場環境やステークホルダーの意向等を踏まえた上で、組織が勝ち残り事業が存続していくための経営戦略の一環として、組織が「事業継続」の対象を決定する活動がBCMSにおける適用範囲と目的の設定であり、そこには単に決定の結果ではなく、どういった戦略からなぜそうしなければならないのか、競合分析や経営分析の視点が重要になってきます。
 組織が適用範囲及び目的を決定したら、次のステップとして組織にとって重要な製品及びサービスを決定しなければなりません。例えば、同じ自動車産業であっても、適用範囲を例えば四輪駆動車、スポーツカー、エコカー、ラグジュアリーカーとそれぞれ異にする会社では、消費者の対象も異なるため適用範囲で配慮すべきステークホルダーの関心事も当然に異なってくるため、従って各々の組織が定める重要な製品及びサービスの内容は異なってくるでしょう。リスクマネジメントをはじめる前に、何のための組織か、誰のための組織か、組織の優位性は何か等、よりハイレベルな経営判断や市場判断に基づき戦略的リスクマネジメントを行うのが事業継続マネジメントです。経営とはリスクそのものであり、経営にあたってそのリスクを管理するシステムがBCMSです。BCMSにおいて適用範囲と目的の決定が重要なのは、それが経営の成果そのものに直結するからです。

『月刊ISOマネジメント』(日刊工業新聞出版社刊)/RMCAリレー連載⑤「企業経営を強化する実践リスクマネジメント講座」/2009年10月号掲載

執筆者:前田 泉(まえだ いずみ)
 シニアリスクコンサルタント®
 BCI日本支部 事務局長
 日本リスクマネジャー&コンサルタント協会 理事
 URL:http://thebci.jp/
 電子メール:imaeda@thebci.jp
 BCM-RM研修コース講師