リスク・フォーカスレポート

事業継続マネジメントシステム編 第三回(2012.10)

2012.10.27
印刷

 皆さん、こんにちは。先月に引き続き、事業継続マネジメントシステム(BCMS)の強化、整備の方策について、危機管理の視点を踏まえて、皆さんが考えていくためのヒントとなるような考察をしていきたいと思います。

 前回は、ビジネスインパクト分析(BusinessImpactAnalysis;以下、BIA)の考え方に潜む問題点や事業継続マネジメントシステムの本質論との関係でのゆがみについて、検証・考察を行った。そして、平時の損害をベースとする事業停止防止のための対策論としての代替戦略について、コスト競争力にその実効性が左右される限界があることを指摘した。

 今回は、事業継続のために設備やインフラ等の物理的代替を主眼とする対策論に潜む問題点とその克服策について考察してみたい。

1.物理的代替戦略の考え方とその限界

 事業継続を脅かす事象についてのリスク評価の指標として、従来、地震や津波、インフルエンザ等の原因事象別想定が主流であった。しかし、このような原因事象別想定は東日本大震災での複合災害に対応できないとして、例えば、「本社社屋が使えなくなった場合」、「電気の供給が止まった場合」などの結果事象想定に基づく事業継続計画策定が提唱されている。

 確かに、結果事象想定の方が応用範囲が広く、想定の幅は広がることは間違いがない。しかしながら、注意しなければいけないのは、結果事象想定をベースとする状況想定が、過度のインフラ依存の対策を誘発しかねない点である。すなわち、結果事象想定に従った場合、例えば、「本社社屋が使えなくなった」、「電気の供給が止まった」等の状況想定を前提とした被害(損害)分析が行われ、当該損害を回避するための方法論として、比較的安易な本社社屋や電気供給機能の「代替設備を用意する」という、物理的な代替設備確保という方法論による事業継続戦略が策定されやすい。

 従来、国内では、2000年問題を契機にITシステムに対する事業継続マネジメントシステムが論じられ、その後は、主に防災対策から発展させた地震に対する事業継続マネジメント、そして、インフルエンザ・パンデミックを契機としたインフルエンザに対する事業継続マネジメントが順次整備されてきた。ITシステムや地震による構造物の倒壊等への対策としては、バックアップや代替設備の確保というリスクマネジメント施策が一般的にも推進され、多くの企業での事業継続計画にも、その内容が記載されている。事業継続マネジメントシステムを構築する場合に限らず、リスクマネジメントを推進する上では、リスクの算定や評価及び対策として、分かりやすい指標が用いられることが多い。具体的に言えば、数値化して比較する定量的リスク評価が多くの場合に用いられる。事業継続マネジメントシステムの構築・整備においても、前回取り上げたように、事業インパクト分析でも、「生産量の減少、利益損失、賠償責任金額、信用失墜(顧客離れ)、資金繰りの悪化など」の数値化しやすい分析指標が用いられることが多いのも、この典型例と言え、数字という分かりやすい指標により、リスクを分析したり、対策を比較・検討していくことが思考経済上も合理的とされるのである。

 しかしながら、事業継続マネジメントシステムの整備に当たっては、このような定量的指標をベースとしたリスクの評価や対策論の立案は、例えば、一日の生産量に基づく工場の稼動停止の損害や価格や費用・工期が比較的明確な設備・機器の損壊(破損)等の定量的算定が可能な場合には極めて有用であるが、例えば、人員不足による生産性の低下、業務スキルやノウハウ不足による業務効率の低下によるロスなど、算定が極めて難しい場合のリスク評価や対策論を敬遠する思考に陥ることになる。

 同じ事業継続マネジメントシステムでも、インフルエンザや経営悪化による人員削減、主力スタッフの大量離職のような人的損害(ソフト面への損害)をもたらす場合と、ITシステムダウンや地震等の設備・機器が損壊するような物的損害(ハード面への損害)をもたらす場合とがある。前者を人的損害型、後者を物的損害型と分類したとすれば、従来のわが国の事業継続マネジメントシステムは、後者への対応・対策を中心に組み立てられ、前者への対応・対策が軽視されてきたといえる。人的損害型リスク対応のための事業継続マネジメントシステムは、断続的に事業継続危機が発生し、被害が最大になる時点も流動的であるが、物的損害型リスク対応のための事業継続マネジメントシステムは、複合災害により被害が拡大する可能性はあるものの、最初に大きな事業継続危機が発生し、被害も最初の時点が一番大きいのが通常である。算定が容易なハード面への対策を中心とする事業継続マネジメントシステムだけでは、大規模災害等の人的被害が出る場合には、そのリスク評価も対策論も算定しきれず、事業継続を脅かす事態に陥りかねない。

 そもそも、事業継続を行う上での重要業務は、活用可能なインフラを利用して行うことになるため、設備・機器等のハード面の対策はもちろん、人的・組織的なソフト面の対策も重要となる以上、設備・機器等のハード面のリスク評価や対策論だけでは、事業継続マネジメントシステムの構築・整備としては不十分である。

 設備や機器が壊れて使えなくても、従業員が手動対応やリカバリーが可能なようにスキルやノウハウの集積、教育訓練等のソフト面の対策を行っていれば、一定程度、業務の継続は可能であるが、そのようなソフト面の対策をせずに単に物理的代替対策を行っているのみでは、物理的な代替設備が使えない場合に業務の継続が著しく困難になる点に留意しなければならない。

 この意味で、結果事象に基づく事態想定や重要業務の継続性確保のための対策論が物理的代替設備の確保を主眼とする事業継続マネジメントシステムだけでは、事業継続の確実性を担保する上では、脆弱性を有しているのである。

2.物理的代替戦略主眼の事業継続計画策定に潜むリスクと弊害

 このように、物理的代替戦略を主眼とする事業継続計画では、重要業務の継続に必要な設備・インフラの維持・確保に注力することになり、それらが使えるか使えないかが事業継続マネジメントの中心的課題になる。

 しかしながら、実際にはコストの問題で十分な代替設備や機器を予め維持・確保しておくことが必ずしもできるわけではなく、また前回触れたとおり、現行の事業インパクトをベースとする事業停止リスク算定の考え方に拠った場合、重要業務は当該企業の主要事業、コア事業とされるケースが少なくないことから、事業継続の為に維持・確保すべき代替設備・機器も相応の規模のものとなり、そこに費やすべき経営資源は企業にとっても負担の大きいものとなる。

 また、他社が管理・運営する代替の設備や機器の維持・確保を主眼とする事業継続戦略を採用した場合、そこには大きなリスクホールが生じる恐れが有る点は、十分に考慮しておかなければならない。例えば、ITに関する事業継続のための施策として、バックアップサーバーの設置やクラウドの利用等の対策が行われることが多い。このような設備・機器も自社施設で全てまかなえる企業であればそのリスクは低減するが、このような対策は、他社の機器を利用する形態であるケースが少なくないため、他社の事業継続マネジメントシステムの影響を受ける。事業継続マネジメントシステムの本質は、既に述べたように、生き残りのための危機対応そのものであり、その状況下においては、本来、全ての事業を継続するという選択はありえない(だからこそ、継続すべき「重要業務」絞込みのプロセスが組み込まれている)。自社では、事業継続マネジメントの一環として確保した設備や機器が、その設備や機器を管理・運営する他社の事業継続のための対象業務とされていない場合、果たして、その設備や機器が利用できない可能性も少なくない。

 皆さんの会社で事業継続戦略として採用されている代替戦略、他社が管理・運営する設備や機器にどの程度依存しているのか、今一度、これを機会に確認していただきたい。他社が管理・運営する設備や機器による代替実施を自社の事業継続のための対策とした場合、その選定に当たっては、当該企業の事業継続マネジメントシステムを十分に確認しておかなければ、いざという時に自社の事業継続が脅かされるリスクがあるが、その企業の主要事業だから、事業継続の対象となる重要業務だろうという推測ベースでの代替設備・機器の選定であるとすれば、それは事業継続リスクマネジメント対策としては、大きな脆弱性を内包していることを改めて確認しておく必要がある。なお、代替オフィスや業務実施拠点がテナント(共同入居)ビルに入居している場合も事情は同様である。

 そして、代替の設備・機器を画することで事業継続を図ろうとするハード面重視のリスクマネジメントは、一つの対策論としては成り立ちえても、状況に応じた動的かつ効果的なマネジメントシステムとしては機能しにくい点にも注意が必要である。

 代替設備・機器の維持・確保に主眼が置かれてしまうと、対策論として、そこで完結してしまい、代替設備・機器の対策を行うと、それが使えないときの対策やその他の代替戦略、他に取りうる手段の検討などが疎かになりやすい。また、事業継続計画の見直しに際しても、マニュアルや手順書、業務分担、スキル・ノウハウの集約等のソフト面の対策については、実務を前提に社内での検証・改善が可能であり、その意味でPDCAサイクルによるマネジメントシステムとしての運用・体制強化が可能であるが、代替設備・機器の維持・確保に主眼が置かれてしまうと、その分野に精通した特定の部門や担当者の資質に依存せざるを得ない上、サービスや仕様の内容を比較等することで、業者選定の見直しは可能でも、そこから先の検証や改善は現実的には不可能であり、PDCAサイクルによるマネジメントシステムとしての運用・体制強化には繋がりにくい。

 今回は、事業継続戦略で多く採用されていて、リスクマネジメントとしては有用な手段の一つである代替設備・機器の維持・確保を主眼とする上記で指摘した点を踏まえて、いざという時に実際に事業の継続が可能なように、今一度、貴社の事業継続戦略を検証・検討していただきたいと申し上げたいと思う。

 BCMSの強化には、自社の組織や業務特性を踏まえて、如何に継続可能性を高めるかを徹底的に社内で考えることが極めて重要であります。

 この連載での筆者の論考に対する賛否を考えてみる過程で、事業継続に関する様々な要素・要因を再考することにもなると思いますので、是非、自社のBCMSを検証・強化するためのよい機会として、本連載をご活用いただければ、幸いです。

Back to Top