全社的リスク評価

全社的リスクマネジメントの専門家が実施するリスク評価には、既に知られているものと未知のものがあります。 結果として得られるリスク登録簿は包括的であり、ほぼすべてのリスクをカバーし、事業継続とリスクマネジメントの両方に用いることができます。
リスク評価の結果、指導者は企業にとって許容可能なリスク選好を決めることができます。 
リスク選好が定義されると、事業継続マネジメントのフレームワークの残りの部分に進むかどうかを決定します。

 

事業継続リスク評価

特定の事業継続管理に関連するリスク評価を実行すると、さまざまな範囲のリソースとそのリスクを考慮することができます。 また、現在の管理されている状態をところどころで確認し、さらに加わった管理状況を評価するのに役立ちます。
例えば、リスクが高いという前提においては制御方法を用意するべきかもしれませんし、または移転を真剣に考慮する必要があるかもしれません。 
内部および外部の問題を評価する場合(ISO 22301:2012の第4.1項)、これらはリスク登録と全社的リスクマネジメントから(部分的に)たどって、事業継続マネジメントのレンズで評価することができます。これは、頻繁に見落としたり無視されたりする手順へのハイレベルな情報の提供です。

全社的リスクマネジメントは、事業継続マネジメントよりも高いレベルですが、それは組織の目標に影響を与える可能性がある、あらゆる不測の事態を見ているからです。 
事業継続のリスク評価においては、プロセスに影響を及ぼす範囲内のリソースに対して、より具体的なリスクと製品とサービスの提供が検討されます(前提とされるリスクの喪失など)。
事業継続マネジメントリスクも、全社的リスク登録で追跡する必要がありますが、事業継続マネジメントの専門家による事業継続計画または予防措置で対処することで上方に追跡することができます。

以下を考慮する必要があります。
・保護が必要なもの
・それを混乱させる可能性があるものとその方法
・混乱が生じた場合はどういった事態が想定されるか

事業継続マネジメントはその性質として、それらが生じうる可能性よりもリスクのある事象の影響に、より重点を置いていますが、そのような事象には予測不可能で避けられないものもあります。

 

計画の準備

事業継続計画の準備を検討する際に取り組むべき最初のステップの1つは、事業が直面するリスクを理解することです。
事業の中断は、内部および外部の両方のリスク要因によって引き起こされます。そのため、潜在的にどのようなリスクがビジネス活動を停止させる可能性があるかを理解することが不可欠です。 
リスクを理解したら、それに対応する制御/緩和計画を作成して、混乱の影響を回避または最小限に抑えることができます。

すべての危険有害性へのアプローチ
もう1つの考え方は、事業継続計画では「すべての危険有害性へのアプローチ」を採用する必要があるということです。このアプローチは、リスクが現実となった後にサービスを継続/回復する方法に焦点を当てています。
現実に発生するまでに、中断に備えることは可能です。 
洪水、山火事、ハリケーンを緩和することはできませんが、そのような災害が営業に影響を及ぼす場合は、それに対処して復旧するという機能を持つことができます。
特定の危険有害性から回復する能力があれば、同じ戦略により、さまざまな脅威に適用することもできます。
回復機能はリスクそのものではなく、イベントの影響(資金、場所、スタッフなどの損失)に基づいて構築する必要があります。リスクが事前の対処方法をとる余地があるなら、それを確実に実行する機会が提供されますが、多くの脅威は何の警告も与えてくれませんから、生じるかどうか分からない危険にも備えておくことがベストです。 それにはリスク登録簿に出てこないリスクも含まれます。
このアプローチでは、事業継続はリスクマネジメントと同等であり、部分集合ではありません。 
組織はリスクを管理する必要がありますが、すべてのリスクをゼロにできるリソースが存在しないことを認識しておく必要があります。 
これは事業継続が導入される準備段階において、同じくらいの労力を費やす必要がある理由です。  
まったく同じ努力を行っている2つの学問分野ではなく、事業継続とリスクマネジメントの両方に均等な時間を費やすべきです。

優れた事業継続を行うためのリスク評価は必要ありません。 
事業継続マネジメントにおいて、建物が燃えているかどうかは重要ではありません…。重要なポイントは、人をどのように再配置し、明日はどこで働くかです。 
計画は、復旧に役立つ情報のみが詰まった道具箱でなければなりません。 
箱の中にリスクが書かれたリストを入れても何の意味もありません。
事業継続計画がリスク管理とみなされても、その目的は異なります。つまり、確率を緩和することはまったくありません。
一般的な「すべての危険有害性」計画は、混乱の原因にかかわらず継続性を保証します。 
これは予期しない、または起こる確率の低い災害に効率的に備える方法です。 
その影響について計画を立てておけば、特にその原因が私たちが予想していなかったものである場合には柔軟に対応できます。 
逆に、特定の危険に焦点を当てると、私たちが予期していないものに影響されやすくなる危険性があります。
すべての危険有害性へのアプローチの詳細については、Mark Armourの記事 「On Stones,Clay and Rubber Balls」 が参照になるでしょう。
事業継続プランニングにおいて、リスクに基づいたアプローチを選択するか、すべての危険性のアプローチを選択するかといった問題には、BCP Builderのオンライン事業継続性プラン・テンプレートが役に立つでしょう。

原文
https://www.bcpbuilder.com/2018/11/21/business-continuity-risk-management/