「BCPの見直し」のすすめ
[このコラムを書いたコンサルタント]
-
- 専門領域
- 企業のBCM構築支援コンサルティング、BCM監査支援、情報セキュリティコンサルティングなど。
- 役職名
- コンサルティング第二部 BCM第二グループ 上席コンサルタント
- 執筆者名
- 藤田 亮 Ryo Fujita
2010.6.4
“事業継続”という言葉をGoogleで検索してみると、ヒット数は約40万件であった。これに対し、“J-SOX”のヒット数は約16万件、また、いま多くの企業で対応が要請されている「国際会計基準」は約23万件のヒット数であった。このことから類推するに、経営企画部門や総務部門の担当者にとって、「事業継続」という言葉は珍しいものではなく、「J-SOX」や「国際会計基準」といった言葉よりも耳に馴染んだ言葉であるということが言える。
しかし、「事業継続」という言葉が耳に馴染んでいたとしても、この言葉の意味が正しく認知されているかどうかは別の話である。
ここに、一つのデータがある。弊社が全上場企業を対象として「自社のBCPの有効性を定期的に見直す仕組みがありますか。」というアンケート(第3回BCP実態調査報告書:2008年実施)を実施したところ、BCPを策定済/策定中の企業でも、40%を超える企業が「BCPを定期的に見直す仕組みはない」と回答している。また、情報システムのみを対象としたBCPを策定している企業に及んでは、85%近くの企業が「BCPを定期的に見直す仕組みがない」と回答している。このような企業の場合、平常時の業務手順の変更や担当者の異動などがあった場合には、その内容がBCPに反映されず、形骸化していく可能性が高いと言える。
このようなことの無いよう、各種ガイドライン等では、「BCPの見直しを行う体制」を社内に構築することを求めている。例えば2009年11月に内閣府から出された「事業継続ガイドライン第二版」は、「BCPの見直し」を行う体制を構築することを強く強調している。また、2010年3月から我が国でもBCMS適合性評価制度が開始されたが、この制度における認証基準であるBS25999-2(注)は、BCPの有効性を維持および改善するための体制を構築することを求めている。
では、「BCPの見直しを行う体制」をどのように構築すればよいか。コンサルティングの現場では、「訓練の実施」や「監査の実施」を会社としてルール化しておくことをお勧めしている。訓練や監査を実施することで課題や不備事項を洗い出し、BCPを絶えず見直していくPDCAサイクルを回すことが出来る。訓練を実施する場合には、対象を「対策本部向け」、「一般社員向け」、「代替拠点向け」のように分割して実施すれば、課題の洗い出しと見直しが順次、網羅的に行うことが可能である。また、監査は、「BCPの実効性監査」と、「PDCA監査」の2つの観点から実施する。前者の観点では、BCPに記載した時系列に応じて必要なリソース(要員、モノ、システム)が使用可能となっているかということの確認を行う。後者の観点では、BS25999-2のようなマネジメントシステム規格を利用して、要求事項を見たしているかを確認する。
また、BCPの訓練や監査を実施する場合には、経営層が関与するようにしておくことも重要である。例えば、訓練には経営層にも参加してもらい、意思決定を行ってもらうようなシナリオを準備したり、訓練で洗い出された課題を経営層に報告することなどが挙げられる。更に、監査を実施した後には、その結果を経営層に報告しておくことも重要である。
以上のように、「事業継続」というキーワードの基に企業が取り組むべきことは、多く残っている。その一つが、「BCPの見直し」を行う体制の構築であり、上記手法を参考に取り組んで頂きたいと強く願う。
(注)BS25999-2は、事業継続に関する英国の国家規格である。事業継続の取り組みをPDCAサイクルで管理・運営するマネジメントシステムを規定している。
以上