Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

『Risk Management』21年 1-2月号
2021-01-01

Risk Management

1-2月号

magazine_210102
INDEX

事業レジリエンス計画のための教訓

デイモン・オーエン

COVID-19のパンデミックによって、全産業にわたって組織は事業継続と危機管理計画における明らかな欠陥を露呈している。経営幹部や管理者は、ウィルスによって引き起こされた日々の激動への対応に力を注いでいるが、企業は今や、企業運営にまで拡大している崩壊に備えなければならない。

パンデミック以前は、危機管理チームや事業継続チームが、年に1回計画を更新し、四半期ごとに会合を開いて見直すことは珍しいことではなかった。しかし、パンデミックに対して最も効果的に対応するためには、進展する、不確実性の高い環境を継続的に監視するために、チームが毎週あるいは毎日、データを共有する必要がある。

パンデミックは、組織の危機管理と事業再開能力をテストするための唯一の脅威である。前進するためには、同時に発生する自然災害、広範囲にわたる電力や技術の停電、市民・政情不安、その他の大規模な事業活動を脅かす可能性のある出来事に備えるために、リーダーたちは危機管理と事業継続計画を想像し直す必要がある。

強固な危機管理計画と事業再開訓練では、すべての「ブラック・スワン」イベントを考慮すべきである。事業継続管理は、これまで以上に、複数の脅威に対応しなければならない。災害事象は重なっていく可能性があるため、リスク管理では、以下のような「想像できない」ものを含め、新たに多くの質問を行う必要がある。

  • 災害時にデジタルインフラが故障した場合はどうするか
  • 統合される複合的な災害事象に対処し、レジリエントな企業運営を確保するためには、重要なインフラのうち、どこに余裕を持たせるべきか
  • 複数の災害事象が同時に発生したときに、リモートワーカーは仕事を遂行できるか

     

危機管理計画者は、これらのシナリオの下で可能なすべての選択肢を評価すべきである。その中には、現在利用可能な解決策や、長期的に導入可能な解決策も含まれる。

事業継続計画では、衛星電話、車両用DC-ACインバータ、バックアップ発電機、電源装置などのツールをリモートワーカーに使用させることにますます重点が置かれるようになってきている。組織は、複数の余裕部分を配置し、リモートワーカーの仕事完遂を支援しなければならない。

COVID-19では、多くの組織が最新のパンデミック対策計画を維持しておらず、テストしていないことが示された。彼らは現在、ビジネス・インパクト分析を再構築し、重要なビジネス・サービスを提供し、今後数週間から数ヵ月にわたるピーク時に現在のサービスレベルを維持するための現場要件に焦点を当てている。組織は、重要な業務サービスの遂行に貢献する第三者サービスプロバイダの徹底した評価を優先的に実施すべきである。クラウドベースのソリューション、高度に利用可能なアプリケーション、コラボレーションツールの導入が進んでいる。机上訓練は、現在ほとんどが、通信プラットフォームとバーチャル・コラボレーションツールを介して実施されている。企業は従来の計画されたIT災害復旧テストを延期することはせずに、組織とその顧客に対するサイバーセキュリティの脅威に向けて、より多くの資源を集中させている。

COVID-19がもたらしたすべての困難さによって、パンデミックは組織に危機管理と事業継続計画を再検討させる機会を提供した。組織は、パンデミックのために導入された、より積極的で継続的なコミュニケーション活動を日常的に行うことができ、可能性とコストを考えずに極端なシナリオを想像することによって、準備の範囲を広げることができる。

将来のための計画

組織間の相違やリスクプロフィールへの見解を考慮すると、事業継続とレジリエンス計画を実行したり統括したりする唯一の正しい方法は存在しない。とは言え、計画を継続的に改善することは引き続き重要であり、フィードバックの仕組みを組み込むことが最善の方法の一つである。

組織は、事業継続管理では内部に焦点を当てた変更管理での諸側面を見過ごしてはならない。業界の先行的な慣行では、事業継続管理の実施に必要となる情報を収集する計画的および非計画的な管理発動行動を特定することが組織に求められる。計画的発動行動としては、コーポレート・ガバナンス要件と同様に、年次事業継続リスク評価、ビジネス・インパクト分析、および方針基準レビューが含まれる。

非計画的管理発動行動には、買収、売却、追加的な信用脅威の特定、立地や代替的現場、データセンターと技術、法規制上の要件、組織やワークフロー、第三者への依存における変更などがある。事業継続とレジリエンス・プログラムの更新は、少なくとも年1回、または潜在的な変化に対処するために必要に応じて実施されるべきである。

歴史的に、変更管理での欠陥は、多くの事業継続計画の有効性を損なってきた。管理発動行動は継続的な改善活動の一部であり、そこでの失敗は事業継続管理の欠陥を引き起こす。危機管理および事業継続に関連する変更管理は、更新時に事業の大幅な変更が計画されたことにより、緊急時に計画外の事業停止を引き起こすことがないことを確実にするのに役立つ。

2021年、組織は、事業継続リスク管理、危機管理、事業再開計画を実施する際に、以下の重要な概念を考慮すべきである。

  1. 通常のビジネスアプローチで変化に対応できる柔軟で強靱な文化を育成する。
  2. インシデント対応チームと危機管理チーム間の会合を頻繁に行い、活動後の報告を継続的改善プログラムに統合する。
  3. 重要なビジネス・サービスを提供する場所を強調するビジネス・インパクト分析と、資源の並行配置とを更新する。こうして、ピーク時に現在のサービスレベルが維持されることを確保する。
  4. 第三者サービスプロバイダへの組織の依存度を評価し、これらのプロバイダが失われた場合の代替案を特定する。
  5. 災害が宣言されたときに代替作戦の即時立ち上げを可能にさせるように、危機管理計画を通じてインシデント管理プロセスを明確に定義し、伝達する。
  6. 業務のデジタル化を評価し、危機管理や事業継続計画など、従業員が必要なものに遠隔からアクセスできるようにする。自宅で株式を売買している証券トレーダーなど、特定の業界の規制要件を、従業員のリモート手続きが満たしていることを確保する。
  7. 危機指揮センターがCOVID-19にどのように対応したかをレビューする。改善が必要な分野を特定し、事後報告書で強調された欠陥に対処し、修正する。
  8. サプライチェーンの混乱を評価し、重要なサプライチェーンの代替案を特定する。
  9. ビジネスモデルのレジリエンスを評価し、組織が混乱に適応して回復し、短期的および中期的にコストを削減することによって将来の危機を管理できるようになっているかどうかを評価する。
  10. 危機管理と事業継続計画が、遠隔地で働き続ける可能性のある従業員に責任を持てることを確保する。

ビジネスリーダーは、事業継続とレジリエンス・プログラムのパフォーマンスを評価し、どのようなものであろうと、次のリスク・イベントを予測し、それに対応するための構造と戦略を確実に整備するための措置を講じる必要がある。継続的リスク評価と危機管理計画は、組織が急速な変化に迅速に適応できるように、スピードと柔軟性を重視しなければならない。また、リアルタイムの意思決定を可能にするためには、リーダーシップと従業員に、事実に基づいた情報とテストされた代替案を提供することも不可欠である。この統合された包括的なアプローチは、長期的な事業運用上のレジリエンスを構築し、将来の混乱に備えた組織を準備するのに役立つ。



注意事項:本翻訳は“Lessons for Business Resilience Planning
”, Risk Management, January/

February, 2021, pp16-17. をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

デイモン・オーエンはプロティヴィティ社の技術戦略責任者。

 

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。