2018/12/26
ローラのBCP講座
全社的リスク評価
全社的リスクマネジメントの専門家が実施するリスク評価には、既に知られているものと未知のものがあります。 結果として得られるリスク登録簿は包括的であり、ほぼすべてのリスクをカバーし、事業継続とリスクマネジメントの両方に用いることができます。
リスク評価の結果、指導者は企業にとって許容可能なリスク選好を決めることができます。
リスク選好が定義されると、事業継続マネジメントのフレームワークの残りの部分に進むかどうかを決定します。
事業継続リスク評価
特定の事業継続管理に関連するリスク評価を実行すると、さまざまな範囲のリソースとそのリスクを考慮することができます。 また、現在の管理されている状態をところどころで確認し、さらに加わった管理状況を評価するのに役立ちます。
例えば、リスクが高いという前提においては制御方法を用意するべきかもしれませんし、または移転を真剣に考慮する必要があるかもしれません。
内部および外部の問題を評価する場合(ISO 22301:2012の第4.1項)、これらはリスク登録と全社的リスクマネジメントから(部分的に)たどって、事業継続マネジメントのレンズで評価することができます。これは、頻繁に見落としたり無視されたりする手順へのハイレベルな情報の提供です。
全社的リスクマネジメントは、事業継続マネジメントよりも高いレベルですが、それは組織の目標に影響を与える可能性がある、あらゆる不測の事態を見ているからです。
事業継続のリスク評価においては、プロセスに影響を及ぼす範囲内のリソースに対して、より具体的なリスクと製品とサービスの提供が検討されます(前提とされるリスクの喪失など)。
事業継続マネジメントリスクも、全社的リスク登録で追跡する必要がありますが、事業継続マネジメントの専門家による事業継続計画または予防措置で対処することで上方に追跡することができます。
以下を考慮する必要があります。
・保護が必要なもの
・それを混乱させる可能性があるものとその方法
・混乱が生じた場合はどういった事態が想定されるか
事業継続マネジメントはその性質として、それらが生じうる可能性よりもリスクのある事象の影響に、より重点を置いていますが、そのような事象には予測不可能で避けられないものもあります。
計画の準備
事業継続計画の準備を検討する際に取り組むべき最初のステップの1つは、事業が直面するリスクを理解することです。
事業の中断は、内部および外部の両方のリスク要因によって引き起こされます。そのため、潜在的にどのようなリスクがビジネス活動を停止させる可能性があるかを理解することが不可欠です。
リスクを理解したら、それに対応する制御/緩和計画を作成して、混乱の影響を回避または最小限に抑えることができます。
すべての危険有害性へのアプローチ
もう1つの考え方は、事業継続計画では「すべての危険有害性へのアプローチ」を採用する必要があるということです。このアプローチは、リスクが現実となった後にサービスを継続/回復する方法に焦点を当てています。
現実に発生するまでに、中断に備えることは可能です。
洪水、山火事、ハリケーンを緩和することはできませんが、そのような災害が営業に影響を及ぼす場合は、それに対処して復旧するという機能を持つことができます。
特定の危険有害性から回復する能力があれば、同じ戦略により、さまざまな脅威に適用することもできます。
回復機能はリスクそのものではなく、イベントの影響(資金、場所、スタッフなどの損失)に基づいて構築する必要があります。リスクが事前の対処方法をとる余地があるなら、それを確実に実行する機会が提供されますが、多くの脅威は何の警告も与えてくれませんから、生じるかどうか分からない危険にも備えておくことがベストです。 それにはリスク登録簿に出てこないリスクも含まれます。
このアプローチでは、事業継続はリスクマネジメントと同等であり、部分集合ではありません。
組織はリスクを管理する必要がありますが、すべてのリスクをゼロにできるリソースが存在しないことを認識しておく必要があります。
これは事業継続が導入される準備段階において、同じくらいの労力を費やす必要がある理由です。
まったく同じ努力を行っている2つの学問分野ではなく、事業継続とリスクマネジメントの両方に均等な時間を費やすべきです。
優れた事業継続を行うためのリスク評価は必要ありません。
事業継続マネジメントにおいて、建物が燃えているかどうかは重要ではありません…。重要なポイントは、人をどのように再配置し、明日はどこで働くかです。
計画は、復旧に役立つ情報のみが詰まった道具箱でなければなりません。
箱の中にリスクが書かれたリストを入れても何の意味もありません。
事業継続計画がリスク管理とみなされても、その目的は異なります。つまり、確率を緩和することはまったくありません。
一般的な「すべての危険有害性」計画は、混乱の原因にかかわらず継続性を保証します。
これは予期しない、または起こる確率の低い災害に効率的に備える方法です。
その影響について計画を立てておけば、特にその原因が私たちが予想していなかったものである場合には柔軟に対応できます。
逆に、特定の危険に焦点を当てると、私たちが予期していないものに影響されやすくなる危険性があります。
すべての危険有害性へのアプローチの詳細については、Mark Armourの記事 「On Stones,Clay and Rubber Balls」 が参照になるでしょう。
事業継続プランニングにおいて、リスクに基づいたアプローチを選択するか、すべての危険性のアプローチを選択するかといった問題には、BCP Builderのオンライン事業継続性プラン・テンプレートが役に立つでしょう。
原文
https://www.bcpbuilder.com/2018/11/21/business-continuity-risk-management/
ローラのBCP講座の他の記事
直近のセミナー・イベント
おすすめ記事
-
-
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/07/01
-
-
-
「ビジネスイネーブラー」へ進化するセキュリティ組織
昨年、累計出品数が40億を突破し、流通取引総額が1兆円を超えたフリマアプリ「メルカリ」。オンラインサービス上では日々膨大な数の取引が行われています。顧客の利便性や従業員の生産性を落とさず、安全と信頼を高めるセキュリティ戦略について、執行役員CISOの市原尚久氏に聞きました。
2025/06/29
-
-
-
柔軟性と合理性で守る職場ハイブリッド勤務時代の“リアル”な改善
比較サイトの先駆けである「価格.com」やユーザー評価を重視した飲食店検索サイトの「食べログ」を運営し、現在は20を超えるサービスを提供するカカクコム(東京都渋谷区、村上敦浩代表取締役社長)。同社は新型コロナウイルス流行による出社率の低下をきっかけに、発災時に機能する防災体制に向けて改善に取り組んだ。誰が出社しているかわからない状況に対応するため、柔軟な組織づくりやマルチタスク化によるリスク分散など効果を重視した防災対策を進めている。
2025/06/20
-
サイバーセキュリティを経営層に響かせよ
デジタル依存が拡大しサイバーリスクが増大する昨今、セキュリティ対策は情報資産や顧客・従業員を守るだけでなく、DXを加速させていくうえでも必須の取り組みです。これからの時代に求められるセキュリティマネジメントのあり方とは、それを組織にどう実装させるのか。東海大学情報通信学部教授で学部長の三角育生氏に聞きました。
2025/06/17
-
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方