2011~2012年の頃に事業継続管理(BCM)やISO22301を取上げましたが、それから既に5年が経過しており、最近やっと事業継続計画(BCP)の策定に関心を示す組織が散見されるようになってきました。今回は、中小企業の実情に合わせて、身近に事業継続計画(BCP)を策定する手順を説明していきます。
事業を中断させるリスクは、大流行病(パンデミック)、大地震、風水害、火災、停電、設備事故、テロ、サイバーテロ等と多種があります。通常、企業が最初に策定する事業継続計画(BCP)は、大地震を想定することが多いのですが、地域によっては風水害を想定する場合もあるでしょう。結論を言えば何でも良いので、とにかく事業継続計画(BCP)を策定することが重要です。
事業継続計画(BCP)は大きく2つに分けて考えます。つまり、被災と同時に動き出すのは、緊急時対応計画(IMP:Incident Management Plan)で、事態が落ち着いてから発動されるのが事業継続計画(BCP:Business Continuity Plan)なのです。お気づきのように、事業継続計画(BCP)は広い意味と狭い意味の2つの使い方があります。以降は、IMPとBCPを区別して進めます。
それでは、早速に手順を始めましょう。
1.基本方針の明確化と適用範囲の確定
基本方針は、企業における経営理念のようなもので、事業継続を推進するにあたり、経営者が内外に宣言する基本的な考えですので、自社を取り巻くステークホルダーを意識して策定します。例えば、顧客、取引協力会社、仕入先、従業者、地域社会、行政協力等があるでしょう。
適用範囲は、自社の現状事業を見直して、被災時の極限状態においても守るべき事業範囲、早期復旧し維持すべき事業範囲を決めることです。これが明確でないと、有効なBCPを策定することはできません。ポイントは、100%の復旧ではなく、自社が何とか生き延びるための操業レベルや業務範囲を明
確にすることで、それが現状の40%なのか60%なのかは個々の企業によって異なります。人、モノ、カネ、技術・情報等の経営資源が大きく損傷した状況の中でやれることは、限定された範囲にならざるを得ません。自社ならではの、或いは自社の重視する事業範囲、利益の確保できる事業範囲を特定する必要があるのです。
2.ビジネスインパクト分析(BIA)
適用範囲が決まれば、その範囲の事業を稼働させ続けるために必須の業務を洗い出します。次には当該業務が中断している時間に沿って、どのような影響が経営上で発生するのかを判定・評価します。つまり、例えば収益面、顧客との取引継続面、社会的な信用面、契約によって定められた時間等から、当該業務を構成する各作業が停止することのインパクトを時間軸に沿って判定していきます。現実的には、収益面と顧客との取引面を中心に判断すれば良いでしょう。資金的にはいつ頃まで持ち堪えられるか、顧客はいつまでなら待ってくれるかを推定します。当然、経理や営業担当の協力が欠かせませ
ん。これを、各業務ごとに、例えば4段階程度で判定して、最大に許容される時間を割り出して(最大許容停止時間)、それより短い期日を目標復旧時間(RTO:Recovery Time Objective)として設定します。
その次には、各業務を支える経営資源を洗い出して行きます。例えば、当該業務に最低限必要な従業員数や業務を遂行するためのスキルレベル、機器・装置、建物施設、情報資産、ITインフラ、通信装置、仕入先や外注先等のパートナー組織等です。これにより、被災した時に何がどれくらい必要なのかが明確になります。
3.リスクアセスメント(RA)
次は、いよいよリスクアセスメント(リスク評価)を行ない、リスクへの対策の必要性を検討します。その手順は、次のとおりです。
(1)災害の種類の特定と被害想定
周辺環境等からリスク要因の情報を取得、基本的な被害シナリオの想定、もっとも可能性の高い
災害の特定
(2)リスクアセスメントの実施
経営資源への影響度と脆弱性の評価、リスク対応の優先順位の判定
リスク評価のポイントは、被害想定によって損傷を受けたリスクの大きさを把握することです。具体的には、各経営資源ごとに影響度の大きさを3段階、脆弱性を同じく3段階程度に査定していき(勿論、5段階でも良い)、これを掛け合せた数字をリスク値とします。3段階評価の場合、通常レベル3は復旧不可能な程度の損傷としますので、3×3=9と3×2=6のリスク値になるものは、被災する前に手を打っておくべき、つまり事前対策を講じる必要のある経営資源ということになります。なお、影響度とは復旧困難度、脆弱性とは被災強度若しくは実施している対策の万全性と考えれば良いでしょう。
4.継続対策の立案
以上の作業によって、基本的な資料は揃いましたので、いよいよリスクへの対策、継続対策の検討を行います。リスクアセスメントの結果を受けて、事前対策と事後対策をどうするかについて、個々に対策案を検討します。つまり、損傷を受けた個々の経営資源ごとに復旧策を洗い出していきます。従業員、機器装置、事務所や工場スペース、情報資産、ITシステム、通信手段、依存関係にある組織等について、先ず個別対策を立案します。この際に、個別対策では目標復旧時間内に目標とする操業レベルに到達できないケースが出てきますから、必ず総合対策として一括外注のような方法も立案しておきます。
(1)リスクの回避、軽減対策等の立案
効果的な予防策、リスクの低減、受容、回避や移転の可能性検討
(2)リスク対策レポートの作成と承認
リスク対策の立案と調整、リスク対策レポートの作成及び経営者の承認
となります。
ポイントは、目標復旧時間内に目標とする操業レベルに回復する対策を複数準備しておくことです。その内のどの案を採用するかは、実際に被災した時に対策本部長等が決定します。
5.財務面の検討
BCPを実行するためには、相応の費用も発生します。しかし、効果的な予防策を講じておくと被災時の損害が軽くなりますので復旧するまでのトータル費用を低く抑えることができます。被災して完全復旧するまでの期間は、BCPの有効性や予防対策の実施状況によって変わりますが、損傷を回復するための費用と事業が稼働してもしなくても発生する固定費がありますので、完全復旧するまでの全期間にわたり資金繰りのシミュレーションをしておくことが大切です。自己資金、損保から支払われる保険金、会社資産の売却、そしてどの程度の借入金が必要になるのかを予め想定して準備をしておくべきです。
この場合、リスクアセスメント結果に基づき事前対策を講じるための支援策として政府系金融機関や民間銀行の一部では優遇金利での融資をしています。実際の災害時には、行政が特別相談窓口を開設しますので、利用することも忘れないようにします。日本政策金融公庫が特別融資を実施するほか、中小企業団体中央会と連携して商工中金にもBCP支援の事前対策向け優遇融資や被災後の災害復旧貸付制度があります。
6.事業継続推進体制
被災時のBCPが有効に機能するためには、対応体制をシッカリと作っておかねばなりません。先の説明で、被災直後の一時対応がIMPで、事業継続を実施するのがBCPだと言いました。つまり、この2つは目的が違いますので、それに伴い推進体制も少し異なります。各組織の実情に応じて、被災時に最も有効に機能する体制を構築すれば良いのですが、事例を次に挙げておきます。
(1) IMP推進体制
想定するリスクの種類にもよりますが、一般には次のような構成とすることが多いようです。
(A)対策本部
本部長及び副本部長の他、
災害復旧班、情報管理班、調達/スタッフ管理班、事務・会計班
(計画と進捗管理、重要関係先との連絡、物資の調達、予算・経理管理と調整)
(B)初動対応チーム
消化、救護、避難誘導、安否確認等
(C)被害状況調査チーム
部署ごとの被害状況のとりまとめと報告
(2)BCP推進体制
対策本部長及び副本部長の他、(A)対策本部、(B)業務継続チーム、(C)災害復旧チームを置くことが
多いです。
業務継続チームが仮復旧を担当するBCPチームです。災害復旧チームは全復旧を目指したするチームになりますが、もちろんBCPチームの活動を補佐します。サポートチームは現場の各部署であり、対策本部や業務継続チーム、若しくは災害復旧チームからの要請により必要な人材を提供するほか、BCP進行のために様々な協力を行ないます。
7.IMP/BCPの発動基準
どのような場合にIMPを発動し、更に続くBCPを発動するのかの発動基準を明確にしておく必要があります。事業所が1カ所の場合は被災状況を確認して発動を決めることになりますが、複数の事業所を持つ場合は自動的にBCPが発動する仕組みが必要になることもあります。例えば、震度6.5以上の地震が発生したと報じられた場合、本社との通信が3時間以上途絶えた場合には自動的に発動するというように。これは、全社が共通のBCPを持つ場合で、地理的に離れた事業所が夫々別個にBCPを策定している場合は様相が違ってきます。
8.BCPの文書化
以上の成果物を基にして、BCPの文書を作成します。その際に留意すべきは、IMP、BCP共に非常事態下での活動ですので、一連のこと細かなステップを書き出すのではなく、その手順の先にある達成目標又は方向付けを明記することです。例えば、「Xを確保する」と記載して、具体的なステップは現場レベルの対応と責任に委ねるべきでしょう。押えるべき要点を明記して、日常業務の基本ルールとして定着させ、緊急時には反射的に現場の知識及び判断で実行できるようにすることが重要なのです。
9.BCPの維持更新及び継続的な改善
どのような組織も、初めてBCPを策定した時は、完成度の低い内容のBCPが出来上がります。これは、未経験であることに加えて、BCPは企業機密を多く含んでいること、日常業務の中で検証することができないことからの結果です。従って、本当の緊急事態下で有効に機能するためのBCPに仕上げるためには、そのための活動が欠かせません。つまり、演習や訓練、教育の繰返しによって、策定したBCPに内包される不備や不整合を是正して、更に完成度を高めていかねば、本当の被災時に役立たないモノになってしまいます。演習には、机上演習、訓練、機能演習、全規模演習がありますが、BCPを策定するときは文書化の後で少なくとも主要メンバーを集めて机上演習を実施した後に、バージョン1のBCPとして制定する必要があるでしょう。
BCPは策定した処からがスタートなのです。『演習なくして、BCPなし』を肝に銘じておいてください。
------------------------------------------------------------------------------------------------------
■執筆者プロフィール
中村久吉(なかむらひさよし) (NPO)ITコーディネータ京都理事長
ITコーディネータ、中小企業診断士、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com
コメントをお書きください