2018/12/26
ローラのBCP講座
全社的リスク評価
全社的リスクマネジメントの専門家が実施するリスク評価には、既に知られているものと未知のものがあります。 結果として得られるリスク登録簿は包括的であり、ほぼすべてのリスクをカバーし、事業継続とリスクマネジメントの両方に用いることができます。
リスク評価の結果、指導者は企業にとって許容可能なリスク選好を決めることができます。
リスク選好が定義されると、事業継続マネジメントのフレームワークの残りの部分に進むかどうかを決定します。
事業継続リスク評価
特定の事業継続管理に関連するリスク評価を実行すると、さまざまな範囲のリソースとそのリスクを考慮することができます。 また、現在の管理されている状態をところどころで確認し、さらに加わった管理状況を評価するのに役立ちます。
例えば、リスクが高いという前提においては制御方法を用意するべきかもしれませんし、または移転を真剣に考慮する必要があるかもしれません。
内部および外部の問題を評価する場合(ISO 22301:2012の第4.1項)、これらはリスク登録と全社的リスクマネジメントから(部分的に)たどって、事業継続マネジメントのレンズで評価することができます。これは、頻繁に見落としたり無視されたりする手順へのハイレベルな情報の提供です。
全社的リスクマネジメントは、事業継続マネジメントよりも高いレベルですが、それは組織の目標に影響を与える可能性がある、あらゆる不測の事態を見ているからです。
事業継続のリスク評価においては、プロセスに影響を及ぼす範囲内のリソースに対して、より具体的なリスクと製品とサービスの提供が検討されます(前提とされるリスクの喪失など)。
事業継続マネジメントリスクも、全社的リスク登録で追跡する必要がありますが、事業継続マネジメントの専門家による事業継続計画または予防措置で対処することで上方に追跡することができます。
以下を考慮する必要があります。
・保護が必要なもの
・それを混乱させる可能性があるものとその方法
・混乱が生じた場合はどういった事態が想定されるか
事業継続マネジメントはその性質として、それらが生じうる可能性よりもリスクのある事象の影響に、より重点を置いていますが、そのような事象には予測不可能で避けられないものもあります。
計画の準備
事業継続計画の準備を検討する際に取り組むべき最初のステップの1つは、事業が直面するリスクを理解することです。
事業の中断は、内部および外部の両方のリスク要因によって引き起こされます。そのため、潜在的にどのようなリスクがビジネス活動を停止させる可能性があるかを理解することが不可欠です。
リスクを理解したら、それに対応する制御/緩和計画を作成して、混乱の影響を回避または最小限に抑えることができます。
すべての危険有害性へのアプローチ
もう1つの考え方は、事業継続計画では「すべての危険有害性へのアプローチ」を採用する必要があるということです。このアプローチは、リスクが現実となった後にサービスを継続/回復する方法に焦点を当てています。
現実に発生するまでに、中断に備えることは可能です。
洪水、山火事、ハリケーンを緩和することはできませんが、そのような災害が営業に影響を及ぼす場合は、それに対処して復旧するという機能を持つことができます。
特定の危険有害性から回復する能力があれば、同じ戦略により、さまざまな脅威に適用することもできます。
回復機能はリスクそのものではなく、イベントの影響(資金、場所、スタッフなどの損失)に基づいて構築する必要があります。リスクが事前の対処方法をとる余地があるなら、それを確実に実行する機会が提供されますが、多くの脅威は何の警告も与えてくれませんから、生じるかどうか分からない危険にも備えておくことがベストです。 それにはリスク登録簿に出てこないリスクも含まれます。
このアプローチでは、事業継続はリスクマネジメントと同等であり、部分集合ではありません。
組織はリスクを管理する必要がありますが、すべてのリスクをゼロにできるリソースが存在しないことを認識しておく必要があります。
これは事業継続が導入される準備段階において、同じくらいの労力を費やす必要がある理由です。
まったく同じ努力を行っている2つの学問分野ではなく、事業継続とリスクマネジメントの両方に均等な時間を費やすべきです。
優れた事業継続を行うためのリスク評価は必要ありません。
事業継続マネジメントにおいて、建物が燃えているかどうかは重要ではありません…。重要なポイントは、人をどのように再配置し、明日はどこで働くかです。
計画は、復旧に役立つ情報のみが詰まった道具箱でなければなりません。
箱の中にリスクが書かれたリストを入れても何の意味もありません。
事業継続計画がリスク管理とみなされても、その目的は異なります。つまり、確率を緩和することはまったくありません。
一般的な「すべての危険有害性」計画は、混乱の原因にかかわらず継続性を保証します。
これは予期しない、または起こる確率の低い災害に効率的に備える方法です。
その影響について計画を立てておけば、特にその原因が私たちが予想していなかったものである場合には柔軟に対応できます。
逆に、特定の危険に焦点を当てると、私たちが予期していないものに影響されやすくなる危険性があります。
すべての危険有害性へのアプローチの詳細については、Mark Armourの記事 「On Stones,Clay and Rubber Balls」 が参照になるでしょう。
事業継続プランニングにおいて、リスクに基づいたアプローチを選択するか、すべての危険性のアプローチを選択するかといった問題には、BCP Builderのオンライン事業継続性プラン・テンプレートが役に立つでしょう。
原文
https://www.bcpbuilder.com/2018/11/21/business-continuity-risk-management/
ローラのBCP講座の他の記事
直近のセミナー・イベント
おすすめ記事
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
-
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
![危機管理2022[特別版]](https://risk.ismcdn.jp/mwimgs/f/6/160wm/img_f648c41c9ab3efa47e42de691aa7a2dc215249.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方