1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. NRIニュース
  6. 事業継続マネジメントの成熟度評価サービス

事業継続マネジメントの成熟度評価サービス

2012年2月号

ERM プロジェクト部 森哲也

事業継続マネジメントの成熟度評価サービスを開始 ~共通指標を用いて、事業継続に関する現在の実力を知る~

 野村総合研究所は、6段階からなる事業継続マネジメントの成熟度モデルを開発し、企業の事業継続に関する成熟度を測定するサービスを開始した。当該サービスは、自社のポジションの把握と、今後の事業継続戦略の策定に有用である。

再認識されたBCMの重要性

 米国で起きた同時多発テロ以降、BCP(事業継続計画:Business Continuity Plan)を策定する企業は増加している。2010年11月の日本銀行の調査(「業務継続体制の整備状況」に関するアンケート)では、金融機関(大手銀行、地域金融機関、国内証券、外国銀行・証券など)においては、89%の機関がBCPを策定済みという結果となっている。また、野村総合研究所が2011年6月に実施した、全国の証券取引所一部・二部に上場する企業および資本金額が上位の非上場企業3,000社を対象としたアンケート調査でも、東日本大震災発生時点でのBCPの策定状況が「策定済み」もしくは「策定中」の企業は66%に達している。
しかしながら、東日本大震災では、策定したBCPが十分機能しなかった事例が多く、それらの企業からは、意思決定者のBCP発動の遅れ、現場への代替手順の周知不足、訓練未実施による実効性検証の欠如といった課題が見つかっている。これらの課題を勘案すると、BCP(端的に言うと、計画と手順)の整備だけでは、被災時に事業を継続することは困難であるということが窺える。このような背景もあり、計画、手順、施設、リソースおよび伝達手段などの戦略からテスト、メンテナンスまでの全過程を網羅するBCM(事業継続マネジメント:Business Continuity Management)の重要性が再認識されている。

BCMの規格

 事業継続に関するガイドラインや法規制は多数存在するが、その中でも英国規格協会(BSI)から発行されているBCMの規格「BS25999」は、多くの民間企業の意見を反映させた包括的なガイドラインとして高い評価を得ている。
BS25999はPart-1、Part-2の2部構成になっている。Part-1はBCMのための「コード・オブ・プラクティス(実践規範)」すなわちガイドラインで、2006年11月にリリースされた。Part-1の目的は、「組織内におけるBCMの理解、発展および実施の基礎となること」と、「企業間取引および顧客と企業間の取引を確かなものにすること」である。そのために必要な、BCMの定義やBCM取り組みのフレームワーク、取り組み方法などを示している。Part-1で詳述されるBCMライフサイクルは図表1に示すように5つの領域で構成されている。
Part-2はBCM認証のための仕様(認証規格)で、2007年11月にリリースされた。Part-2の目的は、第三者認証を含め監査に用いることのできる要求事項を提示することである。この要求事項に基づいた認証を取得することにより、適切な事業継続マネジメントシステムを導入し、実践している組織であることが証明される。なお、2012年の前半には、Part-2をベースとした事業継続マネジメントの国際規格「ISO22301」が発行される予定である。

BCM成熟度評価サービス

 野村総合研究所では、事業継続計画の策定・構築に関するコンサルティングサービスを行っているが、企業の危機管理部門の担当者から「BS25999等のガイドラインで、事業継続計画の枠組みは理解できるが、どこまで整備すればよいのか」、「同業他社と比べて自社の整備状況はどうなのか」という相談を受ける機会が多い。BCMには、どのレベルまで準備をすれば“合格”という絶対的な基準がないためである。もちろん、BCMの「あるべき姿」は事業特性、事業環境、経営方針等によって異なる。しかしながら、他社やライバル企業に対する自社のポジションを把握することは大切である。
弊社では、そのようなニーズに対応するために、6段階のBCMの成熟度モデルを開発し、各企業のBCM成熟度を測定・評価するサービスを2011年12月から提供している。BCM成熟度の測定は、BS25999 Part-1に基づく25問の質問によって行われる。例えば、「事業継続マネジメントの責任者(経営レベル)は決まっていますか?」、「業務とシステムなど業務遂行に必要な経営資源との関係を整理・把握していますか?」等の質問に現在の状況を選択方式で回答する。回答に要する時間は、およそ30分~1時間である。
当該サービスの結果には、成熟度レベル(レベル1~レベル6)と、BS25999 Part-1の各領域における強み・弱み、および業種別、売上高別、社員数別等の他社ベンチマーク結果(平均値等)が含まれる。そのため、①自社のBCMのどの領域のどの要素に強み・弱みがあるのかを客観的に把握できるとともに、②他社と自社のBCM状況を相対的に比較できる、という特徴がある。
また、当該サービスは1年に1回など定期的に自社のBCM成熟度を測定し、計画的(戦略的)にBCMの整備が進んでいるかを測る指標としても利用できる。BCMの整備は一過性のものではなく、継続的に維持・改善していくことが重要だからである。
当該サービスの診断費用は1回10万円(初回の診断は無料)で、診断の結果は、10~15営業日程度で通知される。なお、結果のフィードバックは、通常は郵送で行われるが、要望のある企業には、個別に訪問し、成熟度や各領域の強み・弱みに応じた改善施策の紹介等を行っている。

BCM成熟度のベンチマーキング

 BCM成熟度評価サービスの提供に先立ち、事業継続に関連するセミナー参加企業などに協力を頂き、日本国内に本社・拠点を置く83社(約半数が金融機関)のBCM成熟度を調査した。
対象企業のうち最も多かったのはレベル4(27社)で、レベル3(26社)、レベル2(16社)と続き、回答した全企業の平均値はレベル3であった。また、最も成熟の度合いが高いレベル6に該当する企業はなかった。
領域別の平均では、「プログラムマネジメント(55%)」、「対応策の構築・導入(51%)」の整備が進んでいる一方、「事業継続戦略の決定(23%)」、「訓練・改善・レビュー(34%)」の整備が進んでいなかった。
業種別では金融(大手銀行、地域金融機関、国内証券、外国銀行・証券など)と非金融で、整備状況に大きな差が見られた。高いレベルに位置づけられるレベル4もしくはレベル5の該当が、非金融では2割に満たないのに対し、金融では6割以上となっている。また領域別の平均値でも、すべての領域において、金融の成熟度が非金融を上回っている。特に「組織の理解」、「訓練・改善・レビュー」の領域での差が大きい。この結果からは金融機関のBCMは重要業務と復旧目標時間が明確に定義され、かつ訓練に対する意識も高いということが読み取れる。

ベンチマーキングから導出されたBCM課題

 さらに、個々の回答を深堀して調査したところ、以下のような共通的なBCM課題が導出された。

(1)先行する形式的な整備

 1点目は、形式的な整備が先行している点である。事業継続マネジメントの内容について、経営陣の承認を得ている企業は全体の約7割。しかし、そのうちの半数が、実質的に経営陣が内容を理解しているか否かは「不明」と回答している。同様に、BCPや初動体制について、社員へ周知徹底している企業は全体の約6割。しかし、そのうちの約8割は実質的に社員が内容を理解しているか否かは「不明」と回答している。危機管理部門がリーダシップを取り、BCM文化を浸透させることが望まれる。

(2)計画の陳腐化

 2点目は一度定めた計画の見直しが行われていない点である。主要な業務や活動について、業務の重要度や復旧目標時間、復旧目標ポイントについて検討している企業は7割を超えているが、毎年(もしくは新しいサービスリリース時に)見直しを行っている企業は全体の約1割に留まる。事業環境の変化のスピード、変化の度合いが大きい昨今の状況においては、業務の重要度や復旧目標時間も一度決めれば終わりというものではない。また、リスクも内外の環境によって変化する。こういった状況に対処するためにも、BCMの取組の中で、定期的もしくは必要に応じて事業継続に関する計画を見直さなければならない。

(3)不十分な初動態勢

 3点目は、初動対応における情報収集に関するルールが定められていない点である。被害状況についての情報収集ルートおよび情報収集項目、収集情報に基づく意思決定方法が定められている企業は3割に満たない。今回の震災でも明白になったが、BCP発動権限者は、意思決定するための条件(情報)がすべて揃わない状況でも、不足する情報をもとに、短い時間の中で、対処方法を検討、決断しなければならない。さらに、通常の事業戦略の意思決定と異なり、発動権限者も何を頼りに意思決定を行えばよいか不慣れな場合がほとんどである。そういった状況に対処するために、緊急時の意思決定者だけでなく、権限(業務及び範囲)、意思決定手順等も明確に定めておく必要がある。
また、BCP発動権限者が的確でタイムリーな意思決定を行うためには、情報収集方法とコミュニケーションルートも明確に定めておく必要がある。災害や事故が発生した場合などにおいて、情報の収集、分析、連絡、報告などを通じ、リスクに対する認識の程度を揃え、情報の共有を行うための活動を“リスクコミュニケーション”と呼ぶ。リスクコミュニケーションは、社会を取り巻くリスクに関する正確な情報を、行政、専門家、企業、市民などステークホルダーである関係主体間で共有し、相互に意思疎通を図ること、という意味合いが強いが、災害時の社内のコミュニケーションツールとしても機能する合意形成の手段である。

(4)代替リソース整備の先送り

 4点目は、代替リソースの整備が進んでいない点である。オフィス面での事業継続戦略として、有事の際には、自社内もしくは外部業者が提供する代替オフィスに切替えて業務継続する企業は全体の約3割。同様に、システム面での事業継続戦略として、有事の際には、自社内もしくは外部業者が提供する代替サイトに切替えて業務継続する企業も全体の約3割に留まる。オフィスやシステムの代替リソースの整備には、大きな投資が必要となる場合が多く、対策が先送りとなる傾向がある。一方で、代替リソースについては、リスクを適切に把握できずに、必要以上に対策を講じている企業もある。企業のリスクを事業への影響度とともに正確に捉え、リスクを許容する範囲を明確にすることが重要である。

(5)実効性の欠ける訓練

 5点目は、実効的な訓練ができていない点である。約9割の企業が机上訓練も含めて、事業継続に関する何らかの訓練を行っている。しかし、代替オフィスやセンターを使って、実務的な訓練を行っている企業は全体の約1割。また、全体の約4割の企業が、初動対応に関する訓練を行っていない。さらに、訓練に外部委託先を交えている企業も全体の約1割に留まる。訓練については、訓練経験度に応じて、次第に参加者や訓練対象の範囲を拡充していくべきである。
将来的には、同じ業界に属する企業同士もしくは業界をまたいだ形でのストリートワイド訓練の実施も望まれる。海外では、業界横断的な訓練を通して、競合相手同士が被災時の際には相互支援できるように事業継続計画を高度化させた事例も多い。

 震災を契機に、上記の課題も含めて、現在、多数の企業が事業継続計画の見直しを行っているが、「どこまで対応すればよいのか」、「対応のポイントは何なのか」が不明確なまま、整備を進めている企業もある。改善の方向性を見失わないために、当該サービスの活用を推奨したい。

■ BCM成熟度評価サービスおよびBCMコンサルティングサービスについては以下へお問い合わせください。
部 署:ERMプロジェクト部
電 話:03-5533-2145
E-mail:bcm-info@nri.co.jp

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

森 哲也

森哲也Tetsuya Mori

金融システムリスク管理部
上級コンサルタント
専門:BCP の構築、評価

この執筆者の他の記事

森哲也の他の記事一覧

注目ワード : BCM

BCMに関する記事一覧

このページを見た人はこんなページも見ています