前回2017年6月19日に配信した「事業継続計画(BCP)の策定」に関心を持っていただいた何人かの方々から、BCP策定の手順は分ったが、実際にBCP策定の作業に取り掛かると、どうしたら良いのかと迷うケースが幾つも出てくるという質問をいただきました。
メルマガ原稿という限られた文字数の中で、実践現場のノウハウまでは記述できなかった結果、当然に出てくる疑問だと思います。
今回は現実の策定作業において留意すべき事項やノウハウを前回の手順に沿って述べていきます。
(本稿は、6月19日号の補足編になりますので、必要に応じて当該バックナンバー記事を参照ください。↓文末参照)
1.基本方針の明確化と適用範囲の確定
基本方針に関しては特に問題はないようですが、適用範囲の明確化については、いくつかのポイントがあります。
先ず、人、モノ、カネ、技術・情報等の経営資源が大きく損傷して事業中断に追込まれた経験がない場合は、気軽にBCPで100%の事業復旧を想定しがちです。しかし、現実に100%の事業復旧が可能な程度なら、そもそもの被災レベルが軽い訳で、BCPを発動する必要もないのです。経営資源が大きく損傷した状態下の生きるか死ぬかの極限状況の中で実行するのがBCPですので、100%は当然にありません。そのような状況下で、自社の存在価値を世に示すことができる事業範囲に絞ること、自社関係者が何とか生き残ることが可能な事業範囲に絞ることが適用範囲確定のポイントになります。
ここで、BCPの適用範囲から外れた業務に従事する特に若年層従業員への配慮も必要になります。自分の担当する業務が企業存続の決め手としてのBCPの適用範囲から外れたということは、つまり自分の担当業務が企業にとって重要な仕事ではないのだと早合点して、モチベーションを失うケースが考えられます。そのような現象が起こらないように、担当業務の位置付けや企業にとっての価値を認識させるように十分なコミュニケーションが必要になります。
2.ビジネスインパクト分析(BIA)
ビジネスインパクト分析(BIA)の実施に際しては、通常関係各部署に用紙を配布して記入してもらい、回収後に調整をする方法が多いと思います。或いは、関係各部署の担当者を集めて、ワークショップ形式で作成した後、調整するというやり方もあります。それぞれの組織に適した方法で行いましょう。ポイントは、集計後に業務のフローに沿って目標復旧時間(RTO)を精査して、業務間における不整合や不合理を調整する必要があるという点です。
その次の各業務を支える経営資源の洗い出しでは、各業務に必要な経営資源を質と量から特定することが重要です。なお、調達先や下請け先等の外部との取引では、契約内容や取引条件等もチェックしておくべきです。
3.リスクアセスメント(RA)
リスクアセスメント(リスク評価)の際には、被災シナリオを明確に想定しますが、初めてBCPを策定する場合は、最も発生確率が高いと思われるリスクを採用しておけば良いのです。例えば、大地震、風水害が一般的でしょう。これは、企業が立地する地域によって異なります。沿岸部では大地震、津波を想定する場合があり、山間部では風水害や時に火山噴火かも知れません。日本では未だ少ないテロも東京オリンピックに向けては想定することもあるでしょうし、企業によってはサイバーテロもあります。この他に、毛色の違うパンデミックもありますが、初めてのBCP策定は、先ず大地震か風水害を想定すれば良いでしょう。
また、各経営資源ごとの被災耐性も把握する必要があります。そのために専門家による耐性診断を受けておくと、リスクアセスメントがスムーズに行くようになります。この種の診断は、地方自治体も補助金を付けてバックアップしているケースがありますので、公的な支援施策も調べてください。
4.継続対策の立案
継続対策の検討では、可能な限りの対策案を作成するのがポイントです。その際には、事前対策には如何ほどの費用が必要なのか、事後対策にはどの程度の費用が必要になるのかを対策案毎に算出しておくことが大切です。
この結果は、組織のリスク耐性を何処まで強化するのか、それと対策実施のための費用とのバランス、経営者による費用対効果のバランス点の意思決定に直結します。
5.財務面の検討
整備されてきたとはいえ、地震保険で支払われる補償額は、火災等の損害保険から見ると見舞金程度にしか思えません。BCPによる復旧見込みを織り込んで、被災後の2年間程度にわたる資金繰りシミュレーションは必ず実施しておきましょう。
また、災害時に開設される特別相談窓口は、通常の融資条件とは全く異なり大幅に緩和されますので、必ず行って相談しましょう。
6.事業継続推進体制
緊急時対応計画(IMP)と事業継続計画(BCP)とは、多少体制の機能役割が異なりますが、規模の小さな組織では当然に同一の従業者が複数の兼務をすることになります。特定の人に集中して、オーバーフローしないように配慮すれば、特段の問題はないでしょう。
7.IMP/BCPの発動基準
本来、IMPは初動対応ですから、リスクの種類だけ策定するということになりますが、BCPは複数策定する必要はないというのが理屈です。
規模が大きな企業の場合、全社共通のBCPで行くか、それとも事業所ごと若しくは事業部門ごとにBCPを作るのかという問題があります。これは、それぞれの企業の方針ですので、事業及び組織の状況に合わせて自由に選べば良いと言えます。
ただし、発動基準だけは、状況判断による発動の他に、自動発動の仕組みを作らねばならないケースがあることに留意しておけば良いでしょう。
8.BCPの文書化
9.BCPの維持更新及び継続的な改善
6月19日号でも書きましたが、策定したBCPが本当に有効に機能するかどうかの検証は、平常時にはできません。始めてのBCP策定では、未経験の世界であり、良く分らないままに作りますので、完成度の低いものしかできない訳です。だから、策定したBCPを本当に被災した時に有効に機能させるために、演習や見直しを通じて継続的に完成度を上げていく必要がある訳です。
また、極限状況の中でのオペレーションになりますので、従業者には教育や訓練を通じて身体でBCPを覚えてもらう必要があるのです。
前回と同じことを言いますが、「演習なくして、BCPなし」です。
BCPは策定した処からがスタートなのです。ぜひ、PDCAによる継続的改善を通じて、貴社のサバイバルを実現されることを願っています。
(2017年6月19日号のURL↓)
------------------------------------------------------------------------
■執筆者プロフィール
中村久吉(なかむらひさよし) (NPO)ITコーディネータ京都理事長
ITコーディネータ、中小企業診断士、プライバシーマーク主任審査員
e-mail: ohnakamura@gmail.com
コメントをお書きください