日本BCM協会

わが国は地震・津波・火山噴火・台風・洪水といった自然災害の多い国であります。ひとたび自然災害が発生すると、安定した操業や事業継続が困難になっているのが現状です。

また、自然災害以外でも経営上のリスクとして、例えば、情報漏洩(個人情報漏洩を含む)リスク、品質不良などの品質リスクや環境負荷の増大、環境汚染などの環境リスクが顕在化したため、その企業の信用失墜、取引停止など事業継続が困難になっているケースが多く見られます。

地震や台風などの自然災害による重大なリスクや情報漏洩、品質、環境等のリスクに対する、事業継続マネジメントシステム(BCMS)を柱とする全社的リスク管理システム(全社を挙げてリスク管理に取り組む体制)がないため、これらのリスクの防止・低減が徹底されず、ひとたび、重大なリスクに見舞われると甚大な被害を受け、不幸にして倒産に追い込まれ、従業員を解雇するという最悪の事態を招くことになりかねません。

日本BCM協会は、このような事態を未然に防ぐため、企業を取り巻く様々なリスクに対する全社的リスク管理システムの構築・導入を提案し、その構築・導入のお手伝いをいたします。

このことが、企業・組織の競争力、信用、雇用維持等を向上させ、ひいては地域社会の活性化に貢献するものと考えております。

リスクの定義

中小企業へリスク管理の導入効果を最大限に活かすためには、それによる実利がいかに大きいかを経営者にまず理解してもらうことが、先決である。
そのためには、リスクの対象になるものには、一体、何があるかという考え方を明確にすることが重要である。

リスクには、平常時から存在するものと緊急時に発生するもの(重大なリスクなど)とがあり、それぞれに顕在化したリスクと潜在的なリスク(将来顕在化するような事象、又は潜在意識の中に埋もれている事象)とがあると考える。
製品品質に関わる課題や機会であれば、それらを品質リスクとして取り扱い、環境保全に有効か又は環境負荷を招くような企業活動であれば、それらを環境リスクとして捉えることになる。

ここで顕在化したという意味は、人や企業がその営みや事業目的に対して明らかに障害になる事象であることを自覚できた、または認識できた(問題意識を持つ)ということであり、これらのリスクの洗い出しは最低限必要なことであるが、十分な洗い出しにはほど遠い。
潜在的なリスクの洗い出しを置き去りにしているからである。結果的に自分で視野を狭く設定した条件(障害になる事象)での洗い出しになってしまう。
これでは、折角のビジネスチャンスに結びつき難くなってしまう。

従って、リスクとは、いかなるものでどのように捉えるかが重要になってくる。
企業の場合には、顧客を初めとするステークホールダが製品やサービスの質をどのように受け止めているか、どんなことが不便であり、不都合なことかを(これは、当然だから仕方がないと思っていながら、ボヤキ続けているようなこと、これもリスクになる)、その製品やサービスを受け取る、あるいは、取り扱う側になって洗い出しを考えないと将来顕在化するような事象や潜在意識の中に埋もれている状態や事象をキャッチすることはなかなか難しい。

製品(サービス)がエンドユーザーに購入され、使用され、最後にどのように廃棄され、再利用されるか、資材や部品の供給から始まって、製造、輸送、販売、使用、廃棄、再利用という製品のライフサイクルから眺めた時にどのようなリスクがあり得るかを洗い出して、それらを考慮した上で製品の「狙いの品質(設計品質)」を決めていかないとステークホールダに喜ばれるヒット商品はなかなか生まれてこないと考える。

リスクには、人の営みや企業の事業目的に対する活動が外部環境にどのように影響を与え、どのように貢献しているか、また、どのようなインパクトを与えているか、などさまざまなものがある。

国際規格ISO31000*やISO22301**では、リスクを、「目的に対する不確かさの影響」と定義している。
これでは、簡潔な表現であるため、中小企業の事業活動で何がリスクに該当するかを特定することを難しくしている。
定義が抽象的であるため、自分達の実務に落とし込み、理解を深めるのに時間を要する。

リスクの洗い出しは、自分の部署だけで対応できることに限定せずに、外部環境の主要なステークホールダの視点から広い視野で抽出することがビジネスチャンスを創出する上で極めて重要なことと考える。

*ISO 31000:2009  「リスクマネジメントー原則及び指針」
**ISO 22301:2012 「社会セキュリティー事業継続マネジメントシステムー要求事項」
何故、全社的リスク管理体制が必要か

企業活動の中で起こり得るさまざまなリスクから地震や台風など、自然災害による重大なリスクに対して、事業継続マネジメントシステム(BCMS)を柱とする全社的リスク管理体制、つまり、全社を挙げてリスク管理に取り組むことによって初めて限られた経営資源を有効に活用して企業全体での目標を最大限に達成することができる。このBCMSでは、さまざまなリスク対応に関して個別最適よりも全体最適の視点で事業継続マネジメントを実行することを求めている。

では、何故、事業継続マネジメントシステム(BCMS)を柱として全社的リスク管理に取り組む必要があるか、その理由を説明する前に、BCMSに関する国際規格であるISO22301の概念、規格の意図を正しく理解するところから始めなければならない。

ISO22301は、2012年5月15日、国際標準化機構(ISO)から国際規格「社会セキュリティ―事業継続マネジメントシステム―要求事項」として発行された。ISO22301が目指すBCMSがどのようなものであるかを正しく理解する上で次のことが重要である。

(1) 社会セキュリティを考慮する必要があること。

(2) ISOの新たなマネジメントシステム規格共通要素を初めて取り入れたこと。

(3) ISO31000のリスクの概念が盛り込まれたこと。

(1) 事業継続マネジメントの社会的位置付け

社会セキュリティ(societal security)は、次のように理解されるようになった。つまり冷戦後、東西の壁がなくなり、国という明確な社会が曖昧になった状況下で、社会的(societal)とは、個人や共同体など国家を超える集合体までを対象に議論されるようになり、単なる国の安全保障だけでなく、国を超えた地域社会を含め、一般の社会が被るテロや自然災害などを含めて考える必要性が生まれてきた。このような歴史的な背景を踏まえて、ISO22301と同時に公表された「ISO22300 社会セキュリティ―用語」では、社会セキュリティを次のように定義している。

意図的および意図しない人間の行為、自然のハザード、技術的欠陥によって引き起こされるインシデント、緊急事態および災害に対応する社会の防御

従って、事業継続マネジメントは、緊急事態管理はもとより社会セキュリティを担保する重要な概念であり、その事業継続マネジメントの社会的位置付けがISO22301を正しく理解する上で極めて重要になっている。

(2) ISOの新たなマネジメントシステム規格共通要素を初めて取り入れたこと。

ISO 22301には、新しいマネジメントシステムの考え方である「ISO MSS共通要素」がISOのマネジメントシステム規格(MSS)として初めて導入されている。これは、ISOマネジメントシステム規格の整合化のために ISOの上部委員会が開発したものである。

このISO MSS共通要素をもとにして開発されたISO 22301は、遵守すべき最低基準というよりは、組織マネジメントのあるべき姿を提示してくれる規格になっていると考えられる。これまでのBCMの手法だけでは、こうした要求事項に対応するのは難しく、ISO22301の背景にあるさまざまな考え方を理解することが不可欠となってきたのである。

(3) ISO31000のリスクの概念が盛り込まれたこと。

ISO MSS共通要素が導入されたことにより、原則として、すべてのISO MSSにリスクマネジメント規格であるISO 31000に定められたリスクの概念が中核の定義として採用されることになった。

ISO 31000は、認証に用いることを意図したものではなく、単なる原則及び指針の規格である。このISO 31000は、すべてのリスクを管理するための汎用的なプロセスとそのプロセスを組織の業務に効果的に組み込んでいくためのフレームワーク(枠組み)を提供しており、部門や担当者レベルの業務管理ツールにすぎなかった従来のリスクマネジメントを、経営者の経営手法に引き上げ、リスクに対する組織のあるべき姿を提示した規格と言われている。こうしてISO 31000のリスクの概念がISO 22301に採用されたということは日本で主流になっている大地震や感染症の流行など特定災害のみに特化したBCMSでは、もはや国際的な理解が得られにくいということである。ISO 31000のリスクの概念が盛り込まれたことによって、ISO 22301に準じたBCMSを構築することはall-hazards(全ての脅威が対象)のBCMSを構築する必要があることを意味している。

以上のように、ISO22301の目指すBCMSがどのようなものであるかを正しく理解する上での重要な要件を示した。

しかし、日本の現状は、ISO 22301について正しく理解されていないためか、前述したように大地震や感染症の流行など特定災害のみに特化したBCMSを構築しているケースが多く見られる。リスク管理は様々なリスクを対象とすべきところを重大なリスクのみに偏重しているため、BCMSの取り組みに極端な偏りが見られる。決して緊急事態だけが、BCMSの対象ではないことは、ISO 22301の適用範囲、並びにISO 22300-用語「インシデント」の定義を見れば容易に理解できる。

【適用範囲の抜粋】

この規格は、事業の中断・阻害を引き起こすインシデントを防止し、その発生の起こりやすさを低減し、発生に備え、発生した場合には対応し、事業を復旧するための文書化したマネジメントシステムを計画し、確立し、導入し、運用し、監視し、レビューし、維持し、継続的に改善するために必要な事業継続マネジメントに関する要求事項について規定する。・・・

 【インシデント(incident)】の定義

中断・阻害、損失、緊急事態又は危機になり得る又はそれらを引き起こし得る状況

全社的リスク管理体制を運用するに当り、事業継続マネジメントシステム(BCMS)を柱とする理由は、BCMSが様々なリスク対応に関して個別最適よりも全体最適の視点で常に企業の目的及び戦略的な方向性を考慮して限られた経営資源を有効に活用して企業全体での目標を最大限に達成する仕組みを提供してくれるからである。

BCP及びBCMSの導入効果 

1 はじめに 

我が国では毎年、地震、台風、集中豪雨等の自然災害が数多く発生し、 全国の多くの企業が直接間接の被害を受けている現状があります。 このような災害で被害を受け、不幸にして事業の中断や休止せざるを得なくなったとき、事前にしかるべき対策が講じられていないと、多大な損害を被ることになり、そのまま廃業や倒産といった事態になりかねません。 このような最悪の事態を避けるため、企業が事前の備えとして速やかに事業を継続・復旧させるために効果的な事業継続計画(BCP)を策定し、万一災害に遭っても被害そのものを最小限に抑えるための仕組み(BCMS:事業継続マネジメントシステム)の構築・運用が不可欠です。

2 BCPとは 2.1 BCPについて BCPとは、企業が操業中に事業の中断・阻害を引き起こす事態に遭遇した際に、経営者が望む迅速にしてかつ、必要とするレベルで重要な事業を継続し、また中断した場合には、予め設定した時間の枠内で事業を予定したレベルまで復旧あるいは再開する流れを示す「文書化した手順」のことです。

その対応手順には、災害の直接的影響を受けた場合の避難にはじまり、負傷者の救助活動、被害拡大防止、対策本部の立上げ、被害情報の収集、ステークホルダへの情報発信、代替品の調達、代替拠点での重要業務の再開、対策本部の解散に至るまでのさまざまな活動があります。 2.2 BCPの特徴 BCPの最大の特徴は、事後の対応を事前に考慮することにあります。企業にとってインシデントが起きてしまったとしたら、その時にどうするかを予め検討しておくことになるということです。 いわゆる一般的なリスクマネジメントでは、次表に示すように起こって欲しくないことに対して事前に予防策を検討することに力点が置かれていますが、BCPでは、事前の発生防止策だけではなく、発生後の被害を最小限に抑える観点から対応策を事前に準備し、対応することに力点が置かれている点が異なります。 BCPは、発生頻度はさほど高くないが、ひとたび発生すると大きな被害をもたらすリスクの対応に有効です。BCPの導入によりインシデントを予め想定して対応策を検討することに特徴があります。

一般的なリスクマネジメントとBCPの観点の違い

  一般的なリスクマネジメント(未然防止に力点) BCP(事前及び事後対応に力点)
組立部品 組立部品のピッキングミスを防止するために予め部品毎に識別した専用トレイを用い、そこから部品をピッキングするようにした。 それでもピッキングミスが発生した場合を想定して基板の組立完了時に外観検査を通して良品・不良品の判定をするようにした。
従業員 安全管理の面から従業員にヘルメットなどを身につけさせる 従業員が負傷しても代わりの者が業務を継続できるようにマニュアルを用意しておく
装置 装置の転倒や冠水を防ぐために2階などに免震化して設置する。 旧装置の一部を売却せず、予備として同時被災のない遠隔地の倉庫 に保管しておく
サプライヤ 品質や信頼性で実績のあるサプライヤを選定する 複数のサプライヤと取引する

 

2.3 BCPの構成

BCPは、目的別に次の3種類の活動に分解することができます。

 (1) インシデント対応計画(緊急時の対応)

 (2) 事業継続計画 

 (3) 事業復旧計画

 

 (1) インシデント対応計画 インシデントの発生が確認された際に、まず、これに早急に対応するため、事業をどのように継続するかというよりもむしろ、インシデントをいかに素早く検知し、通報し、対応し、被害の拡大を防止するか、緊急時での指揮命令系統を確立させるか、といったことに重点が置かれています。

インシデント対応計画に必要な代表的な活動を以下に示します。

 ⅰ) 従業員や来客者の人員掌握

 ⅱ) 災害対応

 ⅲ)被害拡大防止

 ⅳ)要員の招集・対策本部の設置

 ⅴ)クライシスコミュニケーション

 ⅵ) 事業継続計画の発動

 

 (2) 事業継続計画 事業継続計画は、文字通り事業を継続することに主眼を置いた活動です。 事業継続計画における重要な業務の継続・再開例を以下に示します。 ・代替拠点での人員を移動させての業務継続 ・別会社に業務委託しての業務継続 ・バックアップシステムに切り替えての業務継続 ・別の取引先からの原料を調達しての業務継続

これらの活動を確実に実行させるためには、平時において以下のような事前の準備及び確認が不可欠です。 ▣代替拠点へのアクセス性、代替資源が使用可能かの確認

 ▣確実なスキルと知識を持つスタッフの代理者が確保できる体制確認

 ▣代替拠点への迅速な移動(移動手段と所要時間の確認)

 ▣業務継続に必要なレベルの代替ツール、資源の調達の確認

 ▣代替手段による目標復旧時間内の稼働体制の確認

 ▣供給先に保証できる品質/数量などの確認

 

 (3) 事業復旧計画 事業継続計画が暫定的な継続目標を満たすための活動手順であるのに対し、事業復旧計画は、完全復旧、平常の事業活動に回復、復帰させる活動手順のことを指します。 なお、事業復旧計画は事業継続計画に比べて時間的な余裕があるため、通常、事業継続計画ほど詳細な手順にする必要はありません。

 

3 BCMSとは BCMSは、経営者の意思に基づき、組織の事業継続能力を効果的・効率的に維持・改善していくための仕組みです。 ここで、混乱を避けるため、BCP/BCM/BCMSの意味を正しく理解するためにISO22301規格の用語の定義を引用しておきます。 ➢事業継続(business continuity): ISO22301の用語の定義3.3  「中断・阻害を引き起こすインシデントに続いて、事前に定められた許容レベルで製品又はサービスの提供を継続する組織の能力」 ➢事業継続計画(BCP):ISO22301の用語の定義3.6 「事業の業務の中断・阻害に対応し、事業を復旧し、再開し、あらかじめ定められたレベルに回復するように組織を導く文書化された手順」 ➢事業継続マネジメント(BCM): ISO22301の用語の定義3.4 「組織への潜在的な脅威、及びそれが顕在化した場合に引き起こされる可能性がある事業活動への影響を特定し、主要なステークホルダの利益、組織の評判、ブランド、及び価値創造の活動を保護する効果的な対応のための能力を備え、組織のレジリエンスを構築するための枠組みを提供する包括的なマネジメントプロセス」 ➢事業継続マネジメントシステム(BCMS): ISO22301の用語の定義3.5 「マネジメントシステム全体の中で、事業継続の確立、導入、運用、監視、レビュー、維持、改善を担う部分」

組織の事業継続能力とは、組織がインシデントに遭遇した際に、経営者が望む迅速にしてかつ、必要とするレベルで重要な事業をどのように継続し、または中断した場合には、どのように復旧・再開させるか、といった組織が備える力のことを指します。

 

BCMSには具体的に次のような2つの活動があります。

  ・緊急時における具体的な行動計画(BCP)を策定・維持するための活動

  ・BCPを策定・維持するための活動を支える活動

前者には、例えば、事業を支える重要業務を特定するための分析(事業影響度分析)、リスクアセスメント、また事業継続戦略、文書化、教育・訓練などがあり、後者には、例えば、事業継続方針の策定や事業継続目的(目標)の決定・周知、文書管理や内部監査、マネジメントレビューなどがこれに該当します。

BCMSが対象とするリスクは、企業にとって一般的に発生頻度がさほど高くないが、ひとたび発生すると大きな被害をもたらすインシデントを対象とするため、BCPの策定・維持活動とそのBCPの策定・維持活動を支える活動を仕組みとして構築・運用していかないと事業継続に関する諸問題について継続的改善は望めないと考えます。

活動案内

▼中小企業を対象としたBCP及び事業継続マネジメントシステム(BCMS)の普及、啓蒙及び構築・運用支援

▼事業継続計画(BCP)及び事業継続マネジメントシステム(BCMS)、品質、環境、Pマーク制度、情報セキュリティ等の構築・運用コンサルティング

▼BCP及びBCMS、品質、環境、Pマーク制度、情報セキュリティ等のシステム診断

▼BCP及びBCMS、品質、環境、Pマーク制度、情報セキュリティ等のセミナー及び講師派遣

▼BCP及びBCMS、品質、環境、Pマーク制度、情報セキュリティ等の規格における内部監査員教育セミナー

▼上記における助成金・補助金等の取得支援

▼当協会独自のBCMS認定
ご相談・ご依頼

全社的リスク管理の構築・運用等をお考えの方は、下のパンフレットにあります相談票に必要事項を記入し、当協会事務局へご相談又は業務をご依頼ください。

ご相談例 ◆リスクとはどう捉えたらよいか ◆BCP、BCM、BCMSとは何か ◆事業継続とは、どう取り組めばいいか? ◆BCPと防災計画との違いは ◆全社的リスク管理とは

ご依頼例 ◆全社的リスク管理システムを構築したい ◆マネジメントシステム構築・導入時利用可能な助成金制度を知りたい ◆セミナーの講師を派遣してほしい ◆その他

当協会パンフレット(ご相談用)

全社的リスク管理活動は、あらゆる業種において全社員参加の力が必要です。 我が国企業数は420万社を超えるといわれていますが、実態は、品質リスク、環境リスクなど、様々なリスクから地震や台風などの重大なリスクにさらされています。

これらリスクを防止・低減し、リスクに負けない強い会社を実現するには、社員一人、二人の力ではなく、全社員参加による全社的リスク管理システムの導入が不可欠です。

BCPやBCMS、リスクマネジメント等に興味のある方、右の申込書に必要事項を記入して、当協会に入会し、私たちと共に全社的リスク管理を普及させましょう。

当協会パンフレット(ご入会用)

 

特定非営利活動法人日本BCM協会