事業継続に真剣に取り組む インデックスページ

連載
事業継続に真剣に取り組む(3)


企業にとってのリスクと事業影響度分析

喜入 博
KPMGビジネスアシュアランス株式会社
常勤顧問

2006/11/30

前のページ1 2第4回

影響度調査とリソース調査

1. 重要業務の特定

- PR -

 第1回でご説明しましたが、BCPの策定の検討には、あらかじめ経営層が基本的方針を策定するのが効果的です。自社の置かれた社会的環境および経営戦略の観点から、BCP策定の対象とする事業領域の方針を定めます。

 企業活動の中断を皆無にするためには、すべての領域に対してBCPを策定し、維持することが望ましいですが、それには莫大なコストが必要です。限られた予算などの資源を使用し、より効果的なBCPを策定するには、次にご説明する事業影響度分析を行います。しかしながらこの作業をすべての事業領域に対して実施すると、長い期間と多くの関係者の関与が必要となります。そのために、リスクの洗い出しと整理の段階で、自社としてBCPの対象とする事業領域の絞り込み、すなわち重要業務の特定を行います。

 重要業務の特定作業では、対象とする業務の作業の流れであるプロセスを明らかにし、どの作業がどのような順序で実施され、どの部署に関係しており、そしてその作業のためにどのような資源を使用しているかを明確にします。これにより作業の種類と順序を明確にするとともに、その事業で必要な資源と関係する部署を明らかにします。

2. 影響度の調査

 事業が中断した場合の影響度の調査は、作成済みのリスクシナリオを基に、現場の責任者や担当者に対してアンケート調査やインタビューの形式で実施します。そのためには、いくつかの準備作業が必要となります。

(a)リスクシナリオの明確化
 影響度の調査では、回答者がリスクシナリオを理解していることが必要です。単に事業が停止した場合の影響を質問された場合に、回答者は自分の直感や、認識した範囲内で回答をすることになりがちです。それでは回答結果が個人の主観に大きく依存することになります。従って、回答者が事態発生時の状況を共通に認識することが可能なように、リスクシナリオを理解してもらう必要があります。

(b)影響度調査の対象者(対象部門)
 影響度調査は、業務活動が停止した場合の業務活動当事者のみではなく、その周囲の関係者(ステークホルダ)の意見も収集する必要があります。特に業務活動の利用者、顧客などの意見も十分に反映する必要があります。

(c)影響度調査における評価指標
 影響度調査では、その回答に対する評価指標をあらかじめ策定しておく必要があります。評価指標は、定量的なものと定性的なものがあります。定性的評価は、事業活動に対する直接的な影響度合いが把握しにくいため、可能な限りその評価を数値表現に変換し、定量的な比較で評価を行います。

 以上の準備を実施したうえで、現業部門の責任者や担当者、さらにはステークホルダに対しての調査を実施します。

3. リソースの調査

 リソース調査とは、業務を実施する際に必要となる資源(人、物、金など)を調査することです。工場の生産業務活動では、施設と設備に加えて、エネルギー、原材料、当該業務に関するスキルを持つ要員、情報システムの稼働などが必要です。これらのリソースを定義し、業務活動が停止した場合に目標とする復旧時間内での回復に必要なリソースを明確にします。この調査では、そのリソースそのものが必要なものと、代替が可能なものとを明確に分けます。

事業影響度分析報告書の作成

 以上の調査を行った結果、企業として事業継続を図るリスクと継続手段・方法を決定し、事業影響度分析報告書としてまとめ、経営者の承認を得ます。この報告書で対応すべきとして決定されたリスクについて、これ以降の段階の事業継続計画の実施、導入作業で対応することになります。

 報告書に記載する事項は、次のとおりです。

  1. 事業影響度分析の実施方法と手順
    2.
  2. 対象リスクとリスクシナリオ
    3.
  3. 対象とする業務
    4.
  4. 対象業務の影響度分析結果
    5.
  5. 対象業務に関係するリソース
    6.
  6. 基本方針と事業影響度分析結果の比較
    7.

 以上、BCP策定において重要な事項である対象とするリスクの整理と事業影響度分析の概要をご紹介しました。次回は、今回のこのような作業を推進するための組織作りと策定したBCPの導入作業に関してご紹介します。

筆者プロフィール
喜入 博(きいれ ひろし)
1969年日本ユニバック(現日本ユニシス)入社。都銀第1次オンラインシステムの開発、金融機関の情報システムの開発などに従事。2002年KPMGビジネスアシュアランス入社。2003年より金融庁CIO補佐官を兼務。2005年まで、内閣官房「情報セキュリティ基本問題研究会第二分科会」委員、および経産省「企業における情報セキュリティガバナンスのあり方に関する研究会」委員。
■要約■
事業継続計画/管理に関する連載の第3回として、事業影響度分析を説明する。事業影響度分析とは、企業活動を取り巻くリスクを整理し、その中からBCP策定対象を選定する作業である。

事業影響度分析には、事業活動において想定されるリスクを整理し、事態発生時のシナリオを作成する「リスクシナリオの作成」と、その事態への対応が企業にとって必要であるかを判断するための「影響度調査とリソース調査」の2つの作業がある。

リスクシナリオの作成では、リスクの洗い出し、対象リスクの絞り込み、リスクシナリオの特定を行う。

影響度調査とリソース調査では、重要業務を特定し、重要業務が中断した場合の影響度を調査し、目標とする復旧時間内での回復に必要なリソースを明確にする。
記事の先頭<Page1>に戻る

前のページ1 2第4回

BCP策定に当たって検討すべきこととは
  Page 1
事業影響度分析の実施手順
リスクシナリオの作成
   リスクの洗い出し
   対象リスクの絞り込み
   リスクシナリオの特定
→ Page 2
影響度調査とリソース調査
   重要業務の特定
   影響度の調査
   リソースの調査
事業影響度分析報告書の作成

事業継続に真剣に取り組む バックナンバー 連載インデックスへ»


ホワイトペーパーTechTargetジャパン

ITインフラ 新着記事
@IT情報マネジメント メールマガジン 情報マネージャのための情報源(無料)

@IT情報マネジメント 新着記事

この記事に対するご意見をお寄せください managemail@atmarkit.co.jp

キャリアアップ

@IT Sepcial
→ @IT情報マネジメント Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る

TechTargetジャパン

@IT Sepcial
→ @IT情報マネジメント Special ヘ
ソリューションFLASH

求人情報