1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. リスク管理
  6. BCPの実効性確保に向けて

BCPの実効性確保に向けて

2014年3月号

ERM事業企画部 副主任コンサルタント 太田賢吾

東日本大震災から3年が経ち、BCPの論点はその構築から実効性確保に移りつつある。社員の成熟度向上や、BCP発動時に予想される事務リスクへの対応など、平時における取り組みを継続することが大切である。

 「自社のBCPに実効性はあるか?」という不安の声をよく耳にする。BCP(事業継続計画:Business Continuity Plan)とは、大地震、パンデミック、テロなど組織を脅かす事象が発生した際に、事業を継続するための計画である。近年では、事業の重要度やRTO/RLO(※1)の検討、リスクシナリオの評価や初動対応の決定など、BCP構築のフレームワークが確立してきたことによって、金融機関においてBCPそのものが作成されていなかったり、大きな欠陥・検討漏れがあったり、ということは少なくなってきた。しかし、災害が発生するまで実際に使用する機会がないというBCPの特性から、その実効性に疑問を持っている金融機関は依然として多いようである。「構築したBCPを如何に組織に浸透させ、実際に災害が発生した際に想定した通りに行動できるか」という実効性確保にBCPの論点は移りつつある。

BCPの実効性確保において注意すべきポイント

 構築したBCPの実効性を確保する上で、注意すべきポイントは何か。以下で3つの点を紹介する。

 ①経営層の習熟度不足

 被災時に社員が定められた役割や権限に応じた動きをするには、その社員の習熟度が期待されるレベルに高まっている必要がある。中でも、被災時に最も重要な役割を果たす「災害対策本部」のメンバーである社長・経営層には高い習熟度が求められる。まず、現場の被災状況について情報収集を行い、その情報に基づき災害対策本部長が災害対策本部を立ち上げ、BCP発動の判断と社員への指示・連絡を行う。この一連の役割は、彼らの通常業務と大きく異なる上、現場状況の理解・臨機応変な対応・迅速な意思決定など、非常に難度が高い。万が一、災害対策本部が立ち上げられずBCPが発動されなかったり、BCP発動の意思決定が遅かったりすると、会社全体が適切な対応を取れなくなってしまう恐れもあるため、その重要性を認識しておく必要がある。

 ②代替業務担当者の習熟度不足

 被災時に通常とは異なる代替業務を担当する可能性のある社員は、必ず代替業務マニュアルに目を通し、自分が実際に実行できるかどうかを確認しておかなければならない。特にマニュアル類を本部で取り纏めて作成している場合は、その内容が現場に浸透していなかったり、記載内容が分かりにくかったりする可能性が高く、注意が必要である。また、被災時のシステムダウンによって、社内イントラネット上にある電子ファイルを見ることができないことも考えられるため、マニュアルが不可欠なのであれば、代替業務担当者の分を印刷し、すぐに参照できるところに保管しておく必要がある。このように、代替業務担当者の習熟度が不十分であることを想定し、実際に業務を実施できるよう準備しておきたい。

 ③事務リスク、システムリスクの高まり

 すべての社員に該当することだが、被災時の業務は事務リスク(※2)、システムリスク(※3)が非常に高い。例えば、バックアップサイトを使用する場合、システム環境が通常と異なり操作ミスが起こりやすかったり、通信速度が遅くて使い勝手が悪く、通常時と同じ量の処理を行えなかったりする。また、人員が不足しているためダブルチェックが行えないなど、普段はヒヤリハット(※4)で済むようなミスでも大きな事故に繋がる可能性がある。このような異常環境下で事務事故やシステム障害等が発生してしまうと、想定通りの業務継続ができなくなる可能性が高いため、平時からどこにリスクが潜んでいるか認識しておくことが望ましい。

実効性向上に向けた取り組み

 前述のような注意点が発生する原因として、BCP発動時に求められる役割が通常と大きく異なることが挙げられる。これについては、訓練を繰り返し実施して社員の成熟度を上げるしかない。最近では、全社規模の訓練を始めたという話もよく聞くが、準備にかかるコストが大きいため、年に何回も実施することは現実的ではない。全社規模の訓練に加えて、「災害対策本部立ち上げ訓練」、「代替業務訓練」など、弱点と思われる役割・業務・社員に的を絞り、実現可能な規模で訓練の実施回数を増やすことが推奨される。

 また、訓練を通じて、被災時の初動対応や業務の分かり難い点、ミスしそうな手順、対策の検討が不十分な点などを洗い出し、可能な限り事前に対応しておくことが望ましい。しかし、普段からBCPや災害対策等を検討していない現場社員が、訓練において改善すべき点を挙げるということは簡単ではない。そこで、様々な観点から訓練参加者の気付きを促すような仕組みを導入することが考えられる。推奨する手法として、医療業界や航空業界等における通常業務のヒューマンエラー防止や原因分析で用いられる「SHELL(シェル)」フレームワーク(※5)の活用がある。図表に示すように、SHELLは人が業務を行う上で関連する要素としてSoftware、Hardware、Environment、Liveware1、Liveware2の5つの観点を挙げており、これらのいずれかに不備・不具合があると正常に業務が行われずミス等に繋がるという考え方である。SHELLは、業務を行う本人にとって、業務遂行に必要な観点(※6)を網羅的かつ分かりやすく洗い出すフレームワークであり、通常時だけでなく被災時の業務についても用いることができる。図表(右欄)のようにSHELLに則って確認ポイント作成し、これを用いて訓練参加者に確認してもらうことで、各自が様々な観点から気付きを得やすくなる。例えば、「Hardware(機器):衛星電話のバッテリーは充電してあるか?」、「Liveware2(コミュニケーション):他社のバックアップサイトの連絡先を把握しているか?」など、具体的な疑問や課題が浮かび上がってくれば、その後の改善策も検討しやすい。

 BCPは滅多に使わない仕組みである。だからこそ、作って終わりではなく、その実効性向上に向けた取り組みを続けることが大切である。

1) RTO(復旧目標時間:Recovery Time Objective)は、災害発生後どのくらいの時間で業務を復旧させるかの目標、RLO(復旧目標ポイント:Recovery Level Objective)はどの水準まで復旧させるかの目標のことである。
2) 事務リスクとは、役職員が正確な事務を怠る、あるいは事故・不正等を起こすことにより会社が損失を被るリスクのことである。
3) システムリスクとは、コンピュータシステムのダウン又は誤作動、システムの不備、コンピュータの不正使用等により会社が損失を被るリスクである。
4) 事故には至らなかったものの、事故に発展したかもしれない危険な事象のことを「ヒヤリハット」という。「ヒヤリとした」、「ハッとした」が語源。どこまでを「ヒヤリハット」とし、どこからを「事故」とするかは企業毎の定義による。
5) 医療業界、航空業界だけでなく、一部の先進的な金融機関では、オペレーショナルリスクの管理にも活用されている。
6) SHELLには、システム、オフィス、人員のような経営資源だけでなく、規定・ルール、本人の精神状態・体調、顧客・同僚・他社とのコミュニケーション、組織の統制など、業務を行うのに必要な経営資源以外の観点も含まれている。

※組織名、職名は掲載当時のものです。

Writer’s Profile

太田賢吾

太田賢吾Kengo Ohta

NSグローバル推進部
主任コンサルタント
専門:金融機関のリスク管理

注目ワード : BCP

BCPに関する記事一覧

このページを見た人はこんなページも見ています