2016/03/24
誌面情報 vol54
ISO Sets the Standard for Business Continuity
ベティー・キルドウ Betty A. Kildow
1.はじめに
事業継続マネジメント(BCM)は中核的な事業慣行(business practice)として成熟してきた。購買調達の指導者達は、自社に影響を及ぼす可能性のある全ての外部リスクと依存性(dependency)についてますます意識するようになった。購買調達リーダー達はまた、サプライチェーン内の各鎖(link)が顧客の要求に合わせるために企業の能力を確実なものにすることが重大であると理解している。それは、たとえ重大な寸断または災害に直面した場合でさえも、である。
一度、ある選択肢を検討すると、サプライチェーンリスクに取り組む堅固な事業継続プログラムが必要になることは多くの企業が経験してきたことだ。今日、多くの顧客はこの点を質問し、サプライヤー、請負業者、外部委託先企業の持つ事業継続能力に重大なウエイトを置いている。事業継続計画策定の重要性を示す有形での証左である。
サプライチェーンリスクを運営管理する基礎条件として事業継続の理解が高まっている中で、企業は事業継続プログラムとその方法論を開発するガイドラインの必要性を再認識した。こうして生まれた継続経営の標準規格が国際標準化機構から発行された「社会セキュリティ-事業継続マネジメントシステム-」ISO22301である。
2. 標準ガイドと判断基準
A guide and yardstick
標準規格は、新規の継続プログラムを開発する時、または既存のものを改良する時に、かなり貴重なガイダンスとベンチマークの両方を提供するものである。この規格は、企業の能力を測定する判断基準である一方で、利害関係者(ステークホルダー)の事業継続の活動にも適用できる。2012年に公表されたISO22301は、世界160カ国の専門家たちが参画した長期にわたる開発プロセスを経た後、世界で認定された唯一のBCMS事業継続マネジメントシステムである。事業継続を通常の経営責任の中に組み入れたという意味で最初の規格であり、ISO22301が指導的なグローバル事業の継続標準としてますます注目されるようになるのである。
事業継続に関する年次調査報告書 BCI Horizon Scan2015の報告によると、より多くのビジネスが事業継続の実行のためのフレームワークとしてISO22301を利用している(2015年52%、2014年に比べて44%増加)。今年2015年はさらに17%がISO22301へ移行という報告があった。この数字は、規格の成熟と受け入れられているという成長を確認するものと言える。
BCI Horizon Scan 2015
2015年2月、BSI(英国規格協会)はBCI(事業継続協会)と共同で事業継続に関する年次調査報告書BCI Horizon Scan2015を発行した。今回で4回目となるBCI Horizon Scanは、世界72カ国の760組織におけるビジネスにおける備えを調査するもの。本報告書では、事業継続責任者の82%がサイバー攻撃を脅威ととらえ、81%がICTの予期せぬ機能停止を、また75%が情報漏洩を懸念していることが報告されている。サプライチェーンの中断に関する懸念は最も急上昇しており、2014年の16 位から今回は5 位まで上昇した。回答の約半数(49%)が、サプライチェーンの複雑化の傾向を認識しており、自組織が紛争や自然災害に対して脆弱であると回答している。
3. 主要な特徴とメリット
Key features, benefits of ISO22301
自社の事業継続プログラムをさらに改良し、国際的信頼性を発展させるガイダンスを模索している企業は、この標準書を歓迎している。その主要な特長と利便性は次の通りだ。
I. サプライチェーン継続性を緊急の重大要件として特定する
II. サプラヤー継続性能力を測定する標準を供給する
III. 公式の事業継続性フレームワークを供給する
IV. 企業団体が重大な操業寸断のリスクを最小にするのを助成する要件を展開する
V. 目的を設定し、成果を監視し、尺度を利用する必要性を強調することによって、上級の経営標準を継続経営に適合させる
以前の標準・ガイドラインと差別化するという4つの重要な要件がある。
I. 経営首脳からの明確な約束(必達目標)
Top management commitment
ISO22301標準書は、経営首脳層にBCMに関するより明確な指導的責任を提供し、経営が本制度へ約束(必達目標)を示すべき特定の道を概説する。経営首脳は、事業継続プログラムのゴールが企業の戦略的方向と共存できること、またプログラムの公式な経営レビューに直接含まれることも確実にしなければならない。
II. 計画策定
Planning
BCM制度を企業の目標に統合するため、企業の持つリスク意欲との整合性を考慮した上で、慎重な資源計画策定と準備を求めるものである。
III.サプライチェーン要件
Supply chain requirements
標準はサプライヤーに関するより多くの要件を概説する。それは、サプライヤー企業と他の主要な提携者の継続性能力・容量の評価実施も含むものである。
IV. 継続的改善のための要件
Requirements for continuous improvement
全ての国際標準と同じく、22301標準はP-D-C-Aアプローチを活用する。これは継続的改善を確実にする。
サプライチェーンに特別に関連する標準条項というのがある。事業影響度分析(Business impact analysis)の領域では、ISO22301は「従属物を特定すること、サプライヤー・外部委託提携者・他の関連する利害関係者を含む様々な活動のための経営資源を支援すること」を暗示するものである。
事業継続戦略に取り組む箇所では、企業組織はサプライヤー会社の持つ事業継続能力の評価査定を実施するべきであると伝えている。事業継続の資格を得るため標準の当該箇所に合わせるには、適切なサプライヤー評価が必要だ。他の部分では、サプライヤー会社のリスク能力を測定するための実行可能な伝達手段も提供している。
成果査定と経営レビューに関しては、次のように記載されている。
経営レビューは企業組織の成果を考慮すべきであること、例えば、BCMS監査と見直しの結果、また主要なサプライヤー会社の監査結果も含まれる。
ISO22301は、BCM制度の認証を求める企業によって活用されることが可能だ。認定された第三者機関によって監査が成功した場合、企業は標準に準拠していることを公表することができる。定期的な監視と監査は、継続的な適合性を批准することを要求されるもので、企業はまた標準に適合していることを自身で決定し、また自身で宣言することを選ぶこともできる。現状では認証を求めない組織であっても、自社の継続プログラムを改善し、また国際的な信頼性を確認したい企業にとって、ISO22301は多くの最善の業務慣行のガイダンスとなるだろう。認証が最終目的であろうが、なかろうが、ISO22301はサプライヤー会社の事業継続性能力と他の利害関係者の中核となる操業の基本要素を査定するための包括的で客観的な方法を供給するものである。
4. 資格制度から得られるものか
What’s to gain from certification?
この標準は購買調達の実務家にとって、万人受けする取り組みではない。とは言え、グローバルに受け入れられ、利用されるにつれて、次のようなメリットを考える価値はある。
◉ サプライヤー企業の継続性能力レベルを測定する豊富な手法を供給すること
◉ 貴社が顧客と他の利害関係者へ自社の組織の能力を発展させて公表することを可能にすること
◉ グローバル規模のBCM最良慣行を提供すること
◉ さらに高度なレベルの準備と成熟性を求めるために貴社のBCMプログラムに挑戦すること
◉ 企業に競争優位を与えること
経営リスクを議論する際に、最近では「レジリエント企業:反発(再生)力のある会社」という専門用語が多く使われるようになった。継続計画策定段階での文脈内では明確に定義されていないものの、レジリエント企業とは、自社の操業の全側面において最高レベルで機能することのでき、最終目的に合致する組織である。それには、操業サプライチェーンの寸断を運営管理する柔軟性と準備ができている操業実態と現役の社員が前提条件であり、どんな種類の事業寸断や災害にも拘わらずに使命を全うできなくてはならない。
これらの定義を継続計画策定に応用することで、堅固なBCMプログラムを保有することが自社をレジリエント企業であると証明する権利を持つ企業の前提条件となるのは明白だ。ISO22301は、世界級の継続性プログラム、操業上のレジリエンスの主要構成要素を発展させるのに必要なガイダンスを供給することができるベストな標準である。
【Profile】
Betty A. Kildow(ベティー・キルドウ)
1998 年から災害復旧協会(DRII) 認定のサーティファイド・ビジネス・コンティニュイティ・プロフェッショナル(CBCP)、2002 年から事業継続協会(BCI) 特別会員。事業継続、災害復旧、危機管理の専門家として20 年以上の経験を持つ。製造業、小売業、卸売業、保険業、政府機関など幅広い業種に対して、事業継続計画の策定から社員教育訓練、テストに至るまでのコンサルティングを行い、各種団体での講演多数。米国インディアナ州、レバノン市在住。
Betty A. Kildow
・ISO 22301 Master
・ISO 22301 Lead Implementer
・ISO 22301 Lead Auditor
・ISO 28000 Lead Implementer
・ISO 28000 Lead Auditor
・Certified PECB Trainer
・Approved BCI Instructor
・CBCP, FBCI
誌面情報 vol54の他の記事
おすすめ記事
-
-
なぜ製品・サービスの根幹に関わる不正が相次ぐのか?
企業不正が後を絶たない。特に自動車業界が目立つ。燃費や排ガス検査に関連する不正は、2016年以降だけでも三菱自動車とスズキ、SUBARU、日産、マツダで発覚。2023年のダイハツに続き、今年の6月からのトヨタ、マツダ、ホンダ、スズキの認証不正が明らかになった。なぜ、企業は不正を犯すのか。経営学が専門の立命館大学准教授の中原翔氏に聞いた。
2024/11/20
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2024/11/19
-
ランサム攻撃訓練の高度化でBCPを磨き上げる
大手生命保険会社の明治安田生命保険は、全社的サイバー訓練を強化・定期実施しています。ランサムウェア攻撃で引き起こされるシチュエーションを想定して課題を洗い出し、継続的な改善を行ってセキュリティー対策とBCPをブラッシュアップ。システムとネットワークが止まっても重要業務を継続できる態勢と仕組みの構築を目指します。
2024/11/17
-
-
セキュリティーを労働安全のごとく組織に根付かせる
エネルギープラント建設の日揮グループは、サイバーセキュリティーを組織文化に根付かせようと取り組んでいます。持ち株会社の日揮ホールディングスがITの運用ルールやセキュリティー活動を統括し、グループ全体にガバナンスを効かせる体制。守るべき情報と共有すべき情報が重なる建設業の特性を念頭に置き、人の意識に焦点をあてた対策を推し進めます。
2024/11/08
-
-
-
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2024/11/05
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方