事業継続マネジメント(BCM)とは
震災や火災、重大な事件・事故、パンデミック(大規模な感染症流行)など、会社の事業(*)運営に大きな影響を与えるトラブルが発生したときに、重要事業を中断させない、あるいは中断しても可能な限り短期間で再開させるための準備として、「事業継続計画」(BCP: Business Continuity Plan)の策定が多くの企業で進められています。
(*)ここでいう「事業」とは、企業が顧客に製品やサービスを提供するための活動すべてを指します。
事業の中断が生じたままでは顧客取引の競合他社への流出、マーケットシェアの低下、企業評価の低下などにつながりかねないため、企業を守るリスクマネジメントの一環として経営戦略上も重要性を増しているテーマといえるでしょう。
今日においては企業の事業が他社への依存を増していることもあり、リスクマネジメントを重視する企業・組織から取引先に対して事業継続計画の整備状況を確認する流れも出てきているとされています。
事業継続計画を策定し、緊急事態に際して実際に運用するにあたっては、策定の手続きや実施の体制、見直しのルールなどが必要です。事業継続に必要な作業を包括したマネジメントを「事業継続管理」(BCM: Business Continuity Management)と呼びます。
緊急事態への対応は、従来は主に「防災対策」としての取り組みでした。防災対策は災害事故対策が中心で、事業所(場所)単位の取り組みが中心、かつヒト・モノを災害から保全することに主眼が置かれています。これに対して事業継続管理では企業の重要な事業活動の「継続・復旧」が主眼になります。
事業継続マネジメントシステム(BCMS)の国際規格 ISO 22301:2012登場
事業継続管理を実施するためのマネジメントシステム(=組織経営の「しくみ」)を、組織が構築するにあたっては、その手引きや、他の組織から評価されるための基準も必要になってきます。
事業継続ガイドライン類の策定や、事業継続マネジメントシステム(BCMS: Business Continuity Management System)の規格化が各国で行われていましたが、そうした流れを受け、ISOによる国際規格制定作業が進んでいました。そしてついに、BCMSの国際規格であるISO 22301:2012が2012年5月15日に発行されました。品質マネジメントシステム(ISO 9001)や情報セキュリティマネジメントシステム(ISO/IEC 27001)などの先行するISOマネジメントシステム同様、国際規格化をきっかけにBCMS認証取得への注目がますます高まってゆくことでしょう。
日本でも取り組みが進むBCMS認証
英国では、BCMの国家規格化への取り組みが早くから行われていました。2003年には英国規格協会からPAS56が発表(*)され、2006年には正式な英国国家規格としてBS25999-1が発行されました。これはBCMについての「実践規範」を示したガイドライン規格です。一方、組織がBCMSを備えているかどうかの判断基準として用いられる要求事項規格(審査の基準として用いられる規格)として、BS25999-2が2007年に発行されています。
(*)PAS(Publicly Available Specification:一般仕様書)とは、暫定的な位置づけの文書。
日本では、一般財団法人日本情報経済社会推進協会 (JIPDEC) によるBCMS実証運用が2008年7月に始まり、2010年3月にBCMS適合性評価制度が正式に開始されています。それまでは、認証基準をBS25999-2:2007としていましたが、国際規格ISO 22301:2012の発行を受け、2012年8月1日からISO 22301:2012を認証基準とした認定が開始されました。
ISO22301(BCMS)の認証取得の流れ
以下に、事業継続マネジメントシステム(BCMS)の構築作業から審査受審までの流れを記します。
※詳細は各フェーズをクリックしてください。
1. 現状の把握・BCMS戦略の決定
BCMSでは、組織にとって中断が致命的な事業について検討を行います。まず事業内容の洗い出しと、中断がもたらす影響を分析します(BIA: ビジネスインパクト分析)。
その上で重要業務が抱えるリスクを識別、分析、評価します(RA: リスクアセスメント)。リスクは、他の必須プロセスへの影響(社内外の業務含む)や、リソース(ヒト・モノ・カネ)の代替策の状況、復帰までの時間的な猶予、問題発生以前の予防策の効力、法令遵守などの側面も考慮します。
その結果、重要な業務の復旧に関する優先順位や、復旧時間と復旧水準の目標を設定します。次に、設定された優先順位や目標設定を踏まえ、これらを達成するための対策を選択します。
2. BCMSの実装(体制決定・経営資源の準備・文書化)
選択された対策を実現するためのさまざまな取り決めを行う段階です。各対策を実施するための体制作りや、経営資源(ヒト・モノ・カネ)の手当て、さらには計画書・手順書といった形で文書化を行います。
すでに防災対策を含む緊急時対応のルールが整備されている企業も多いことでしょう。既存のルールを活かし、事業継続の考え方で足りない部分の追加を行います。
3. エクササイズ(演習・試験)、レビュー、改善
事業継続マネジメントシステム(BCMS)においても、PDCAサイクルが基本となるのは他のマネジメントシステムに準じます。
ただし、BCMSに特徴的な点として、策定した計画は日常的に実施されるものではない点があげられるでしょう。策定した事業継続計画が発動するのは、事業中断を伴うトラブルが発生した時だけだからです。しかし、事業継続計画を策定したままでは、緊急事態に際してその計画が本当に有効に働くか判断できません。また、企業を取り巻く状況の変化が計画に盛り込まれない事態も考えられます。
したがって、計画(Plan)・実施(Do)・点検(Check)・改善(Act)というPDCAサイクルにおいて、BCMS固有のポイントとしては、策定した事業継続計画の有効性を維持するための「演習・試験」が「実施(Do)」段階の重要な作業にあたることがあげられます。
机上演習や実地訓練を通じ、緊急時の手順を検証し、必要に応じて見直しすることが要求されます。
4. 事業継続マネジメントシステム(BCMS)の運用管理
前述の1から3までの活動を、組織として整合させ、確実に実施してゆくためにも、事業継続マネジメントシステムそのものの運用状況のチェックである「内部監査」や経営者への運用状況の報告と評価・改善指示の機会である「マネジメントレビュー」を実施し、マネジメントシステム自体のPDCAサイクルを1回転させます。
5.受審
他のマネジメントシステムの認証制度と同様、初めての受審時には、2段階に分かれた初回審査を受けることになります。第1段階審査はフレームワークの審査で、事業継続マネジメントシステム(BCMS)の運用を規程した文書類や、事業継続計画策定に際してのビジネスインパクト分析、リスクアセスメントの実施、演習の実施状況や、その他マネジメントシステムの運営状況が確認されます。 そして、第2段階審査において、その可否を決定されます。第2段階審査では、各サイトにおけるBCMSの運用状況の確認が中心となります。
認証取得後も、マネジメントシステムの継続的な改善が求められています。BCMS戦略や演習・訓練を踏まえての個々の計画の見直しなど、毎年実施してゆくことになります。また、認証を維持するためには毎年の継続審査(サーベイランス)、3年毎の更新審査を受審する必要があります。
コンサルティング部、システムデザイン部、
DXシステム支援部、システム運用部にて取得