BCPの策定に欠かせない「事前の準備」と「5つの視点」

企業のリスクマネジメントにBCPは不可欠

未曾有の災厄となった東日本大震災(2011年3月)をはじめ、熊本地震(2016年4月)、九州北部豪雨(2017年7月)、西日本豪雨(2018年6~7月)、台風15号および19号(2019年9~10月)など、我が国では大規模な自然災害が毎年のように発生しています。

企業が経営活動を行っていく上でのリスクは、こうした自然災害だけではありません。インフルエンザなどの感染症の流行や、ニューヨーク同時多発テロ(2001年9月)のようなテロ攻撃、大規模な情報漏えい事故、国家間の紛争など、社会には多種多様なリスクが存在しています。

かつてはこうしたリスクに対処するため、企業は台風対策、地震対策、パンデミック(広域に及ぶ流行病)対策、テロ対策…といったように、さまざまなリスクに対し個別に対策を立てるのが一般的でした。

しかしここにきて、こうした個別の対策により自社の施設や設備を早期に復旧できたとしたとしても、事業の継続は容易でないことが明らかになってきました。仮に自社が被災を免れたとしても、サプライチェーンが崩壊すれば資材や部品を調達できなくなりますし、取引先が営業を休止すればビジネスを続けていくことは困難です。また、個別の対策では災害ごとに計画を立てる必要があり、数多く存在する災害すべてに対応するのは難しいという問題もあります。

そこで生まれた考え方がBCP(Business Continuity Plan:事業継続計画)です。個別の対策ではなく、包括的に「事業を継続するには何をするべきなのか」をあらかじめ考えておくというものです。

とはいえ、災害はいつ発生するのか予測できません。1年後、10年後かもしれませんし、今日、明日に発生するかもしれません。だからこそ、いざ災害に巻き込まれた際に、BCPが「策定中」「検討中」であってはなりません。「BCPが未策定」の状態にあることは企業にとって最大のリスクであり、その策定は喫緊の課題なのです。

単にBCPを策定すればよいわけではない

企業は災害が起きても事業を継続させるために、平時にBCPの基本方針を策定しておく必要があります。そして万一災害が発生した場合には、従業員とその家族の安否確認や、自社の設備、拠点、取引先の被害状況を把握するための初動対応を皮切りに、作成したBCPに基づいた復旧対応を実施していかなければなりません。

BCP対策:平常時~復旧の対応フロー

このように有事の際に道しるべとなるBCPは非常に重要です。しかし、BCPの策定を焦るあまり、出来合いのテンプレート(ひな型)をそのまま流用したとしても、企業にとって本当に実効性のある計画にはなりません。実情を勘案せずに作ったBCPでは、文字通り「計画倒れ」になってしまうおそれが高いのです。重要なのは、自社が「なぜ、BCP策定をするのか」という目的を見失わないことです。

どんな計画であっても、策定する前には土台となる戦略や基本方針の検討が必要です。そして、計画通りに物事を進めていくためのマネジメントも欠かせません。BCPも同様で、「計画書」を作るところから、継続的な運用、改善していく仕組みづくりまで、PDCAサイクルとしてとらえることが大切です。

そこで最近では、BCPとBCM、BCMSをセットで考えることが増えてきました。BCP(Business Continuity Plan:事業継続計画)が事業継続のために平常時に行うべき活動や、緊急時における体制や行動の手順などを記載した計画を指すのに対し、BCM(Business Continuity Management:事業継続管理)は策定したBCPを継続的に運用し、従業員を教育・訓練する活動や管理の仕組みであり、BCMS(Business Continuity Management System:事業継続マネジメントシステム)は策定したBCPに不備や不整合がないか、継続的に検証・改善を行っていく仕組みのことです。要は、「計画」が計画倒れに終わってしまわないように、運用や改善の仕組みも取り入れておきましょうということです。

なお、国際標準化機構(ISO)のISO22301では、BCPではなくBCMSを規格化していますが、「BCPのISO」ととらえられることが少なくありません。このことからもわかるように、今日では「BCP」と言っても計画(策定から実施まで)のみを指すのではなく、PDCAサイクルを回して継続的に改善していくことを含んでいると考えるのが一般的です。この記事でも、以後はその意味で「BCP」を用いることにします。

被災後の早期復旧のための5つの視点

BCPは策定したものの、実際に被災した際にうまく機能させることができなかったという話も少なくありません。その理由はさまざまですが、以下の5つの視点のうちいずれかが欠けていて、バランスがよくなかったというケースが多いようです。

1.人的リソースの視点

施設や設備が元通りになったところで、従業員が業務に復帰できなければ早期復旧は困難です。従業員の被災状況の把握や、少人数でのオペレーション方法、出社できない社員への対応などを明確にしておく必要があります。

2.施設・設備の視点

本社や生産拠点などの重要施設が損壊した場合、早期復旧が困難になります。施設そのものが無事でも、内部の設備が被害を受けた場合も同様です。これにより生産や調達ができなくなった場合に備え、代替できる手段を用意しておく必要があります。

3.資金の視点

被災により事業が中断した場合、どの程度の損害が発生するのか把握した上で、その間の事業資金に相当するキャッシュ・フローを確保しておけば有事の際もひとまず安心です。保険による損害補償や公的融資制度についても把握しておくのも大切です。

4.体制の視点

被災直後の混乱した状況の中で、自社のすべての事業を一斉に平常時に戻すことは困難です。そのため、経営層は速やかに優先順位を判断し、的確に指示を出す必要があります。また、指揮者が不在の場合は、誰かが代行できる仕組みを整えておかねばなりません。

5.情報の視点

施設や設備の被災が軽微であったとしても、業務に必要なデータが失われてしまっては事業の継続は難しいでしょう。広域災害に備え、遠隔地でのデータのバックアップは必須といえます。

BCPを策定するときはこれらの視点を考慮することが重要です。また、策定して終わりとせず、PDCAを回しながら常に改善し、緊急事態に備えることが望ましいといえるでしょう。

BCPの策定・運用サイクル

図:BCPの策定・運用サイクル
出典:中小企業庁ウェブサイト

BCPにとって盲点になりやすい「情報の視点」

前述の5つの視点のなかで、特に重視したいのが「情報の視点」です。もちろん5つの視点からバランスよく取り組みを行うことは大前提ですが、情報の視点は他の4つと比べて経営層に当事者意識をもってもらえずに「IT部門がなんとかしてくれるだろう」と丸投げになってしまうケースが少なくありません。

経営層の人間であれば、被災により交通機関が寸断して従業員が出社できなくなる、あるいは本社や工場が倒壊したり、事業継続のための資金繰りが困難になったりする状況をイメージし、そんなときにどんな手を打つべきか考えることは難しくないでしょう。自らが陣頭指揮を取れなくなった場合に、誰へどんな権限を移譲すべきかをシミュレーションすることもできるはずです。一方で、近年ますます高度化し複雑化するITシステムについて、被災した状況を描き、具体的にどのような対策をとればよいのかを考えるのは、ITの知識が不可欠です。

経営層の多くは、ビジネスにおけるITシステムの重要性をわかっているはずです。しかし多くの場合、システムそのものを深く理解しているわけではないため、「IT部門に任せた!」ということになりがちです。もちろん専門部署の協力を得ることは大切ですが、経営層も「情報の視点」からのBCPを企業経営全体の課題として捉え、真摯に向き合う必要があります。

今や、ITシステムは企業の営みに不可欠です。災害など万一の事態が発生し被災してしまった際、スムーズに事業を再開するためにも、改めて自社のITリスクを洗い出し、BCPの策定に目を向けてみてはいかがでしょうか。

サービス案内

  • 安否確認システム

    自然災害の発生などの緊急時に、社員やそのご家族の安否状況等を迅速かつ確実に収集・集計し、事業継続に向けた次の一手をお手伝いするサービスです。

    Biz安否確認/一斉通報