事業継続マネジメント(BCM)/事業継続計画(BCP)
■BCM(事業継続マネジメント)とは
BCMとは、地震やテロ、取引先の倒産、大規模なシステム障害など、発生可能性が低いとしても、組織の存亡にかかわる大規模な脅威が、万一、発生した場合に、効率的に事業の継続性を確保する経営上の管理手法です。
BCMに対する取組みは、頻発するテロや大規模災害などを契機に国際的にも注目されており、ISOでも標準化の議論が進んでいます。地震災害の多いわが国でも事業継続に関する指針として、内閣府や経済産業省などからガイドラインが公表されています。
■BCMの体系的な整理
BCMでは、不測の事態において組織が存続するために、何を諦め、何を生かし、そのために前もっていくら投資しておくべきかという経営上の戦略を初めに決定します。また、BCMを継続的に管理する体制も整備しなくてはなりません。企業の事業継続戦略を具現化するためには、事態の沈静化を目的とした危機管理計画、事業継続・復旧に関する手続きを示した事業継続計画、リソースの備蓄やバックアップに関する平時の手続きを記載したリソースバックアップ計画の3種類の文書を整備します。これらの文書は、前述の管理体制によって、PDCAサイクルにもとづき運用されます。
この全体の枠組みを、事業継続マネジメント(BCM)と呼びます。
■BCP(事業継続計画)とは
BCPとは、BCMに含まれる要素の一つであり、地震や火災など不測の事態の発生によって、業務遂行のためのリソースが強制的に制限されてしまった状況下で、重要な業務を継続するための手続きがまとめられた文書です。
■BCPの策定手順
BCPの策定では、初めにビジネス影響度分析(BIA)を行います。ビジネス影響度分析では、BCPの対象となる重要業務と復旧要件である目標復旧時間(RTO: Recovery Time Objective)、目標復旧レベル、目標復旧時点(RPO: Recovery Point Objective)を決定します。目標復旧時間とは、組織として中断した業務をいつまでに復旧させるかを示した指標です。目標復旧レベルとは、重要業務を平常時対比でどの程度の割合まで復旧させるかを示した指標です。目標復旧時点とは、事業中断時から遡ってどの程度、直前の状態まで戻す必要があるかを示した指標です。
【目標復旧時間、目標復旧レベル、目標復旧時点】
次に、リスクシナリオの策定を行います。リスクシナリオとは、BCPで想定する脅威(例えば、東京直下型地震や工場火災など)と、その結果生じる業務リソースのダメージ(例えば、建物への入館制限や製造ラインの一部焼失など)の組合せであり、BCPはこのシナリオごとに作成されます。
これら2つの分析結果にもとづき、リスクシナリオで想定した事態が発生した場合に、復旧要件に適った復旧作業をするための体制や手続きを検討し、文書としてまとめたものがBCPです。
復旧要件を満たす手続きを整備するためには、現状の設備やバックアップリソースに追加投資をする必要があるかもしれません。投資と損失の最適化を達成するBCPであるためには、BCP策定に経営者が積極的に関与し、経営的な視点から的確な判断をすることが求められます。
■BCPの目次例
- 対応体制
- 重要業務と復旧要件
- 想定するリスクシナリオ
- BCPの発動基準
- エスカレーションフローと連絡網
- 代替業務の手続き
- 業務リソースごとの復旧手続き
|
