去る2020年9月2日に、ISO 22301(事業継続マネジメントシステム)解説セミナーに登壇しました。
「事業継続マネジメントシステム」と言われてもピンとこない方もいらっしゃると思いますが、「BCP」と言えばイメージが伝わるかもしれません。
Contents
BCP(事業継続計画)とは
ISO 22301:2013の定義によると、事業継続とは『事業の中断・阻害などを引き起こすインシデントの発生後,あらかじめ定められた許容レベルで,製品又はサービスを提供し続ける組織の能力』、また事業継続計画(BCP:Business Continuity Planning)とは『事業の中断・阻害に対応し,事業を復旧し,再開し,あらかじめ定められたレベルに回復するように組織を導く文書化した手順』とされています。
また、BCPをやみくもに書いてしまうと、重要な事象を失念してしまうかもしれないので、ISO 22301では体系的に行うことを求めています。
大まかな流れをお伝えすると、内外の情報・状況を把握し、影響分析やリスクアセスメントを通じて評価した上で、事前の準備と有事の際の対応計画を立てることになります。
ここで気づかれた方もいらしゃると思いますが、BCPには「事前の準備計画」と「有事の際の対応計画」という2つの計画が必要なのです。単なる「災害時の行動計画」のように思っている方が多いようですが、実は少し違います。
BCPのつくり方
それでは、BCPのつくり方のイメージを、自然災害を例をお伝えします。
内外のリスク要因を把握
会社がある場所のハザードマップを確認(地方自治体のウェブサイトなどにあります)すると、地震・津波よりも、洪水のリスクが高いエリアであり、水位が地面から2mまでくると予想されていました。
事務所の1階にあるサーバーが基幹業務を担っており、これが停止すると事業活動が停止します。
利害関係者のニーズと期待を知る
顧客からは「替えのない材料だから、災害などで停止しては困る」と言われています。メインバンクからは「地元の産業や雇用を維持するためにも、事業を続けてください。いざというときは支援します」と言われています。
方針策定
万一被災しても、社長は可能な限り事業を継続したいと考えています。
事業影響度分析・リスクアセスメントの実施
事業影響度分析とリスクアセスメントを行ったところ、サーバーが水没することのリスクが最も高いことがわかりました。
また、資金面からは、業務停止は2か月程度が限界とわかりましたが、人の被災とサーバー停止がなければ数日で復旧が可能と想定されます。
建物が被災しても、銀行からの資金援助で場所を移転すれば片肺運転が解消できそうです。
BCPの策定
分析の結果を踏まえ、以下のような計画を策定しました。
| 事前の準備計画 | 土嚢を購入(すぐ) 救命浮き輪を準備(すぐ) 排水ポンプを準備(来年) サーバーを2階に移設(すぐ) データセンターに移設(来年移設目標) 災害発生時の代替拠点の確保(すぐ検討開始) |
| 有事の際の対応計画 | 警報の出し方 対策本部の設置 指揮命令系統 利害関係者・行政等への連絡 避難 被災状況確認 暫定業務の実施方法 |
これにより、水害が発生しても事業のダメージを最小限にとどめ、またキャッシュが残っている2か月以内に100%復旧できる見込みです。
演習
作成した「有事の際の対応計画」が機能するかどうか、今年の避難訓練時に試してみることにしました。
まとめ
いかがですか?BCPに関するおおよそのイメージはご理解いただけたのではないでしょうか?
サプライチェーン、人的資源、技術継承、サプライヤーの事故など、リスク要因を自然災害以外にも広げていくと、検討しなければならないことが飛躍的に増えるので、気が重くなることもあるでしょう。
また人事面で「社長に万一のことが起こったらどうする」となった場合、社内抗争が勃発することもあります。
従って、まずは自然災害に限定して検討を始めることで、作業量を軽減したり余計な軋轢を避けたりできます。
「これでは不十分だ」と言われることもありますが、何もない状態より遥かに良いのです。
そして、もっと精度を高めたければ、継続的に改善を続けていただければと思います。