Comments
Transcript
Minutes 10 on business continuity 2012年3月
10Minutes on business continuity 2012年3月 相互につながった 世界における コンティンジェンシープラン の再考 ハイライト サプライチェーンの複雑化によるコンティンジェ ンシープランの対象範囲の拡大 ITアウトソーシングの増加により生じた、新たな データ復旧要件 米国国土安全保障省にて進行中のBCM認証 プロセスから、規格が発行される方向 緊急時対応を核心に据えつつ、BCMは組織の レジリエンシー向上のためのリスク管理ツール へと進化 2011年、混乱の波~アラブの春、日本の津波、 ヨーロッパ債務危機~が、全世界のビジネスを苦 しめました。企業がこれらの危機に直面してもなお 持ち堪えるためには、危機が発生した後に迅速に 立ち直ることだけでなく、長期的なレジリエンシー を高めておかなければなりません。 しかし、最近のPwCが実施した調査によると、多く の企業においてこの能力が欠けていることが明ら かになりました。例えば、回答企業の33%は、ビジ ネスに影響を与える天然資源の枯渇に対応する ための事業継続計画を持っていません。また、回 答企業の35%は、政情不安や戦争を想定した事業 継続計画を持っていません。(注1) 事業継続管理(BCM)は、企業が今日のビジネス を営む上で、相互依存から生じるリスクに対処する ことを可能にするでしょう。そして、企業に新たなリ スクをもたらし得る、ビジネス上の変化に遅れを取 らないために、先進企業は絶えずBCMの戦略を 見直しています。 (注1)PwC, 2011 APEC CEO Survey: The Future Redefined, September 2011, p. 21 BCMを再考すべき理由 1. 昨今のビジネス中断により組織の脆弱性が露 呈した結果、経営層はレジリエンシーな戦略の 策定を急務と感じている。 2. 災害復旧計画の多くは、Information Technology(IT)部門が作成しているか、情報 システムの復旧を中心に策定されている。その ため、業務プロセスや設備、人員、外部委託先 等との依存関係について、十分に考慮されて いないことが多い。 3. 情報システムや購買、受注、会計等の業務機 能を外部に委託する企業が増えている。した がって、企業のBCM戦略には、外部サービス プロバイダーのサービス停止を考慮した対応 計画を含んでいなければならない。 4. サプライヤー(供給者)が実効的なBCMを実装 していない場合、企業はとりわけ脆弱となりうる。 At a glance レジリエンシーへの道 多くの組織はBCMの構築に着手し始めたばかりです。あなたの組織はどこまで進んでいますか? STAGE 0 STAGE 1 STAGE 2 STAGE 3 STAGE 4 危機に対する アドホックな対応 ベストプラクティスの 明文化 部署横断的な レジリエンシー 企業レベルの プロアクティブな レジリエンシー パートナーネットワークを 横断した拡張された レジリエンシー リスクマネジメント リスクマネジメント プロセスはほとんど 実装されていない プロセスはファンクション によって個別に実装され ている プロジェクトコストとスケ ジュールはリスクによって 調整されている プロセスは企業を横断して 統合されている プロセスはネットワークを 横断して統合されている 対応および復旧をつか さどるガバナンス 組織は設置されて いない 組織は部署および事業部に 個別に設置されている 部署を横断して統括する ガバナンスが設置されて いる 企業を横断した組織が、役 員の責任の下で制度化され ている おおむねネットワークを横断 したコストや影響度が評価さ れている クライシス・ コミュニケーション 正式な計画は存在しない 部署や事業部ごとに計画が 策定されている 計画は部署を横断して共有 されている 企業全体で一つの計画が存 在する 計画はネットワークを横断し て統合されている 人材管理 (タレントマネジメント) 最低限のトレーニングが 提供されている トレーニングと、矛盾しない 職務分掌が提供されている 経験豊富な人材が積極的に 採用されている レジリエンシーに関する職務 能力を持つ人材が積極的に 採用されている レジリエンシーに関するト レーニングが専門家によって ecosystem全体に導入されて いる ここに挙げた4つの指標により、相互につながった世界におけるBCMの整備状況を評価することができます。 リスクマネジメント戦略の 再評価 CEOの回答によると、ビジネス中断への備えは改善され てきている。 下記に挙げる、発生可能性が低く影響度が高い事象について、 貴社の事業継続計画をどう評価しますか。 % 整備していない 17 20 33 12 11 サイバー攻撃(DoS攻撃等を含む) 7 20 20 30 13 10 自然災害(火山噴火、地震、津波など) 11 13 28 24 18 6 伝染病 9 9 12 13 31 27 13 天然資源の枯渇 33 26 18 政情不安、戦争 35 23 11 10 7 4 4 8 計画策定中である 計画は存在する 計画は存在しない 計画はテストされている わからない 計画は現実の事態を 想定して策定されている 母集団:324の回答 出典:PwC「2011 APEC CEO Survey」(2011年11月) • コンティンジェンシープランとは、危機をもたらす現 象に特化した様々な事案に対処することであり、そ の事案には特別な措置や思考プロセスを必要としま す。 多くのエレクトロニクス企業が日本やタイで発生した災 害によりサプライチェーンが途絶したことをうけて、 我々は彼らのBCMを強化する取り組みを支援しました。 これらの企業は、世界中で発生し得る災害の影響度 を測るため、サプライチェーンにおける脆弱性の診断 に着手しました。 リスクに対処するより包括的なアプローチ 整備している エネルギー供給の途絶 7 近年の災害は、過去のものに比べて甚大な被害や影 響をもたらします。ここ数年における外部委託先の利 用の増加により、サプライチェーンは大きく複雑化し、 企業同士はよりつながりを持つようになりました。企業 の相互依存が強まることにより、大災害に対する脆弱 性が表面化しています。いわゆる「ドミノ倒し」現象は 2011年に大々的に発生し、3月に日本で発生した大 地震と津波、10月にタイで発生した大洪水は、現地の コンピュータや自動車工場を停止させ、世界中のサプ ライチェーンを中断させました。 BCMとは、組織が大惨事に直面した場合でも確実に 生き残るための準備のことです。大惨事とは、自然災 害の場合もあれば、人為的な事故の場合もあり、また 一過性のものもあれば長期間に及ぶものもあります。 BCMは4つの要素で構成されています。 • 緊急時対応とは、仕事場で緊急事態が発生した場 合に、雇用主や従業員を組織的に行動させる手助 けとなるものであり、全ての社員や訪問者の安全を 守る手順が実施されます。 • 災害復旧とは、事態が収束するまでの間に、システ ムのソフトウェアやハードウェア、ITインフラ、データ を回復させることをいいます。 • 事業継続とは、事態が収束するまでの間、重要なビ ジネス機能を回復し継続させるために、必要最低限 の業務を維持することをいいます。 実効性のあるコンティンジェンシープランは、相互に つながったビジネス上の依存関係を捉えています。こ のような計画の策定にあたっては、以下に挙げる事項 が検討されています。 1. 重要業務の継続のために、他部門から人員を再 配置する際に、サービスや職務機能の変更も考慮 した最低限の判断基準(しきい値)を設定する。 2. 継続・復旧計画を実施するために、生産性や収益 性を縮小する必要がある状況を特定する。 3. リモートアクセス環境を改善する。 4. サービス対応時間やサービスの縮小に関する顧 客要求を適切に把握する。 5. 外部サービスプロバイダーが、大災害の発生時に、 どの程度まで、サービスレベルアグリーメントに定 義されたサービスレベルを維持できるかについて 確認する。 ITリスクへの対処 あなたはクラウドがもたらすリスクに取り組む準備が できていますか? まずクラウドプロバイダーに確認すべき事項 あなたが利用している クラウドサービス リスクに関係する事項 Software-as-a-Service (SaaS) インシデント サービスレベル アグリーメント(SLA) Infrastructure-as-a-Serivce (IaaS) レポーティング 変更 Platform-as-a-Service (PaaS) ユーザー インタフェース ライセンス Business Process-as-a-Service (BPaaS) 使用量の計測 キャパシティ計画 長い年月の間に、組織はITシステムの大部分に対する • データセンターおよび自動処理の外部委託:あなた 直接的なコントロールを他者に譲ってきました。また今 が利用しているデータセンターは、運用業務やヘル 日では、多くの組織はデータセンターを強化し、主要な プデスク業務を他のサービス会社に外部委託してい 業務アプリケーションや保管データをデスクトップPCか るかもしれません。その場合、あなたのデータはその ら移しています。さらに、企業によっては、これらの運用 先に移動し、それがさらなる脆弱性をもたらします。 を外部に委託したり、クラウドに移行するなどしています。 サービスレベルアグリーメントには一定量の防衛策が 含まれているとはいえ、大規模な中断が発生した際 この結果、企業はシステムやネットワークにますます依 にデータに対する要求事項が十分カバーされない可 存することとなりました。これらシステムの中断が、ビジ 能性は否定できません。もし企業が同様に自動処理 ネスやパートナーに対して大きな被害をもたらしかねま の機能を外部委託している場合は、それがもたらす せん。大部分の従業員が手作業や代替手段による業 中断の可能性を認識し、クリティカルになっているもの 務を経験していない状況において、仮に外部委託先に はなるべく減らすべきでしょう。 管理を委託している情報システムがネットワーク障害な どで停止してしまった場合、組織はパニックに陥ること • クラウド:クラウドサービスの利用は、それがソフトウェ になるでしょう。 アか、ITインフラか、ITプラットフォームか、ビジネスプ ロセスかにかかわらず、企業のデータに対し異なる種 着目すべきファクター 類のリスクをもたらします。規律あるマネジメントがこれ らの資産を守る鍵となります。(注2) • オフィスに縛られない従業員:フレキシブルな労務環 境や、スマートフォンやタブレットといったモバイル端 (注2) PwC, 10Minutes on the Cloud, June 2010 末の出現により、多くの従業員はオフィスから解放さ れました。その結果、ワイヤレスアプリケーションが受 発注といった重要業務を担うまでに至りました。これ に対し、企業は疑問を投げかけるでしょう。 我々が使っているワイヤレス機器やワイヤレスアプリ ケーションは、長期間ネットワークに接続せずに機能 するよう設計されているのか?ネットワークに接続でき ない状況にあっても、最低限のレベルで顧客サービ スを維持できるのか? バーを上げる: BCM標準の出現 BCM認証プロセスへの取り組みがもたらす便益 保険料削減の可能性 企業が、業務中断による影響に 対する備えとして、BCMプログラ ムの責任者と保険アドバイザーに よる徹底したアセスメントを実施 することで、保険の保障範囲の妥 当性を検証でき、結果として、保 険料を削減できるかもしれません。 サプライチェーン/サービス チェーンの信頼性向上 企業の信頼性は、ビジネス上の 競争や、契約条項への準拠にお いて、アドバンテージになるかもし れません。 法的責任の軽減 予防策を講じることで、一定の法 的リスクを軽減できるかもしれま せん。 ベンチマーキング 実装したBCMは、認証基準を用 いることでモニタリングされたり比 較されたりするかもしれません。 米国では、主要なライフライン(交通機関や銀行、ガス、 • 施設 水道等を含む)の約85パーセントが民間組織により運 • クライシス・コミュニケーションと公開情報 営されています。ライフラインの損傷は、米国経済に対 • 財源と管理 する連鎖的な脅威となります。 生体防御のためのBCM 多くのグローバル企業は、既に災害復旧計画を策定し ています。ところが、その品質にはかなりのバラつきが 新たなBCM標準規格には、生体防御と国民の健康被 見られます。業界を問わず、実装されたBCMがデータ 害も取り扱うと明記されています。組織は、自然災害や バックアップや保管方法に限定されており、代替の施 人為的な脅威(コレラの発生か炭疽菌攻撃かにかかわ 設や設備については検討されていないことが明らかと らず)に対してより効果的に対応するために、伝統的な なりました。そのうえ、専用または共用のホットサイトとし 生物学的監視よりもさらにプロアクティブな方法を採る ての施設やテクノロジーの準備が取られていないBCM べきでしょう。 も多く見受けられました。 実際、新しいパラダイムである「biosituational awareness 開発中の新たなガイドライン (BSA)」は、より包括的であり、生物学上のイベントだけ でなく、長い年月をかけて進化した脅威もカバーします。 このような懸念から、米国政府は業界共通のガイドライ このアプローチにより、当局はより効果的な閉じ込め方 ンを作成しています。「Voluntary Private Sector 法と治療方法を開発することができ、結果としてより多く Preparedness Accreditation and Certification Program」 の命を救うことができます。BSAは、BCMの効力を大い または「PS-Pres」として知られるこの取り組みは、BCM に高める可能性を秘めています。 の先進的な事例を取り込み、結果的には、さらに進ん で標準化を促進しています。 エジソン電気協会(EEI)は業界をリードしています。EEI は、米国国土安全保障省と共同で、セクターに特化し た初のPS-Prepフレームワークガイドを作成しています。 19の電力および公益企業からなるEEI PS-Prepワーキ ンググループは、5つの危機およびインシデント管理計 画から成るプログラムを開発しています。 • 運用手順 • コミュニケーションと警告 長期にわたるレジリエンシーの 構築 2010~2011年に発生した中断から得られた経験 結果的にどのような行動を取られましたか? ビジネスの中断に迅速に 対応する能力の向上 49% 45% 事業継続計画の見直し 発生可能性が低く、影響度 が高い事象を対象とした シナリオ計画への投資 27% サプライチェーンのリダンダ ンシー向上 24% サプライチェーンの地理的集 中の排除 23% 危機対応における政府との 公式な協働の促進 代替エネルギー資源の確保 特に取り組んでいない 21% 16% 全てのリスクに備えることは現実的ではありません。もし やろうとすると、コストは際限なくかかってしまうでしょう。 したがって、重大な影響を与える可能性がある脅威に フォーカスする姿勢が求められます。 特に、サプライチェーンは注目するに値します。グロー バルレベルのサプライチェーンは、地域固有の中断リ スクを孕んでいます。しかし、Aberdeenグループの調査 によると、完全なサプライヤー管理プログラムを有して いる企業は、調査対象の50%に留まっています。(注3) ビジネスリーダーは全ての事象に対する計画を策定す ることは現実的でないことを認識しており、原因やリスク 発生確率の計算よりも、ビジネスの中断がもたらす結果 にフォーカスしています。 結果事象に対する準備にフォーカスすることで、より戦 略的かつ実効的なアプローチを採ることが可能となりま す。成果にフォーカスした議論を行うには、戦略やオペ レーション、リスク管理、危機管理、事業継続管理に携 いくつかの企業では、サプライチェーンを柔軟かつ機 わる人々を巻き込む必要があります。これと対照的に、 敏なものにするよう戦略を再考しています。彼らは、 特定リスクの発生可能性の評価作業は、リスク管理者 たった一つのクリティカル要素にアクセスできないことが、 の業務であり、理論的になりがちです。 生産ひいては売上に対して多大な影響を与えることを 知っており、したがってセーフガードを設けました。 相互につながった世界におけるBCMの戦略を評価す るにあたり、次の質問について考えてみてください。 我々は、サプライチェーンの信頼性が、クリティカル要 素を担うベンダーに依存していることを理解する必要が • 既存のBCM戦略はあなたに迫りくる危機を適切に捉 あります。例えば、次の質問を考えてみてください。 えているか。どのような種類の結果事象に対して準備 すべきか。 • 委託先の主要な委託先はどこか?また、彼らのビジ • BCM戦略は、短期的な生き残りだけでなく、長期的な ネスの中断はあなたのビジネスにどのようなリスクをも レジリエンシーを目標としているか。 たらし得るか? • BCM戦略はアウトソースされたITやビジネスプロセス、 • 主要なプロバイダーのコンティンジェンシープランが 設備、および主要な外部委託先を考慮しているか。 未成熟である場合に備え、代替となるプロバイダーを • IT部門は、ITがカバーすべき対象について、業務部 特定しているか? 門に代わって正しい仮説を検討しているか。ITの復 • ベンダーとのサービスレベルアグリーメントは、あなた 旧能力を計画的に見直しているか。もしくは、その計 のサービスニーズを確実に満たしているか? 画への投資を優先させたか。 • 認証取得により保険料金を軽減することは可能か。 19% 母集団:304の回答 出典:PwC「2011 APEC CEO Survey」(2011年11月) BCMを改善するための部署横断的なアジェンダ (注3) “State of Supplier Management”, Aberdeen Group, April 2011 Upcoming 10Minutes topics ユーロ危機によって引き起こされた変化への順応 より柔軟なサプライチェーンに向けて 公的債務問題の処理に伴ってユーロ圏は変わりつつ あり、この危機からはおそらく脱するでしょう。この危機 はいくつかの企業にとっては死活問題ですが、ヨーロッ パでビジネスを展開するあらゆる企業に影響するもの です 今日のビジネスにおいて不確実性は現実のものとなり ました。しかし、グローバル展開から数年が経った後も、 多くの企業のサプライ・チェーンは脆く、需要と供給の 頻繁な変動に応えることができていません。 次回の10Minutesでは、企業がリスクにより良く対処し、 機会を掴むために考慮すべきアクションについて議論 します。 次回の10Minutesでは、より機敏で融通が効くサプライ チェーンを展開するための戦略を探ります。 How PwC can help 右表のサービスは、PwCのBCM 関連サービスの一例です。これ ら以外にもお客様のご要望に応 じて様々な形態でご支援するこ とが可能です。 サービス名称 概要 BCP策定支援 BCM構築支援 • BCPのスコープ設定、BCP運用体制構築、BIA(事業影響度分析)、ド キュメント作成、BCPの導入、社員教育、BCPの試験・訓練等、企業の 業務継続を支援するサービス BCP試験・訓練支援 • BCP試験・訓練の手法検討、リスクシナリオ策定、詳細計画策定、試 験・訓練のファシリテーションを支援するサービス BCM監査支援 • BCPの運用状況を客観的にチェックするサービス • 企業自らBCPの内部監査を実施するための体制および監査手順構築 を支援するサービス 委託先のBCM監査 • 企業の委託先が適切に業務を継続できるか客観的にチェックするサー ビス BCM実効性診断 • BCPの内容、BCPの運用体制、従業員への浸透度、いざという時に本 当に使える状態になっているか等について診断するサービス (診断1週間、報告書作成1週間) 在宅勤務体制構築支援 • 人事制度の改定、シンクライアント・Web会議システム等の導入を支援 するサービス 情報システムに関するディザ • 情報システムの信頼性を確保するために、RTO・RPOを明確にし、必 スターリカバリープラン策定 要なバックアップ、システム、ネットワークやハードウェアの冗長化等を 支援 支援し、また運用手順の見直しを行うサービス Contact us PwC Japan あらた監査法人 プライスウォーターハウスクーパース 株式会社 税理士法人プライスウォーターハウスクーパース PwC Japan ウェブサイト: http://www.pwc.com/jp PwC Japan: 電話: 03-3546-8650 E-mail: [email protected] PwCは、世界158ヵ国におよぶグローバルネットワークに約169,000人のスタッフを有し、高品質な監査、税務、アドバイザリーサービスの提供を通じて、 企業・団体や個人の価値創造を支援しています。詳細はwww.pwc.comをご覧ください。 © 2012 PwC. All rights reserved. PwC refers to the PwC Network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors. 本誌はPwC Globalが2012年3月に発刊した「10Minutes on business continuity management」をPwC Japanで翻訳したものです。 日本発刊日:2012年6月