BCPの実効性を高める「演習」のポイント
事業継続に関する能力は、演習なくして信頼できない
合同会社 Office SRC/
代表
田代 邦幸
田代 邦幸
自動車メーカー、半導体製造装置メーカー勤務を経て、2005年より複数のコンサルティングファームにて、事業継続マネジメント(BCM)や災害対策などに関するコンサルティングに従事した後、独立して2020年に合同会社Office SRCを設立。引き続き同分野のコンサルティングに従事する傍ら、The Business Continuity Institute(BCI)日本支部事務局としての活動などを通して、BCMの普及啓発にも積極的に取り組んでいる。一般社団法人レジリエンス協会 組織レジリエンス研究会座長。BCI Approved Instructor。JQA 認定 ISO/IEC27001 審査員。著書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)
田代 邦幸 の記事をもっとみる >
X閉じる
この機能はリスク対策.PRO限定です。
- クリップ記事やフォロー連載は、マイページでチェック!
- あなただけのマイページが作れます。
あくまでも筆者の主観だが、ここ数年でBCPに関して「実効性」という言葉が多用されるようになったと感じている。特に、記事やセミナーなどのタイトルで「実効性の高いBCPをつくる」などといった具合に用いられることも多い。ここで言う「実効性」とは、おそらく「効果がある」「役に立つ」というような意味であろう。
これに関連して紹介したいフレーズがある。BCMに関して世界で最も活用されているガイドラインのひとつである、BCIの『Good Practice Guidelines』(略称GPG)の現行版(2018年版)では、演習に関する説明の冒頭に次のような記述がある。
「組織の事業継続に関する能力は、演習が行われるまでは、信頼もできないし効果的だとも考えられない。」(注1)
このような認識に基づけば、「実効性の高いBCPをつくる」と考えるよりも、BCPに基づいて演習を行い、演習による確認・検証結果に基づいてBCPの実効性を高めていくと考えるのが合理的である。
国際規格における演習の位置づけ
国際規格ISO 22301において、BCMのための活動プロセスが図1のように整理されていることは、読者の皆様の多くが既にご存じであろう。このように、BCPを文書化した後に演習を実施しなければBCMの活動プロセスが完結しないように構成されていることからも、演習がBCMにおいて欠かせない活動であることは明らかである。
ここで、図1の構成を「BCPを作ったらそれに基づいて訓練を行わなければならない」という意味だと理解されている方も少なくないのではないだろうか。もちろんBCPに基づく訓練は必要だし、それはそれで重要だが、図1の意味はそれとは異なる。このような誤解をされる方が多い理由は恐らく、「演習」と「訓練」という二つの用語が適切に使い分けられていないためであろう。
演習と訓練の違い
本来「訓練」とは習熟度の向上を主な目的として行うものである。これに対して「演習」とは、計画や手順などの内容を確認・検証することを主な目的として行うものをいう(注2)。演劇に例えると、セリフをうまく言えるようにしたり、役柄や場面に合った動きができるようになるための稽古が訓練に相当し、舞台装置や音響、照明などの使い方やタイミングなども含めて確認していくリハーサルが演習に相当すると考えられる。
もちろん、演習も回数を重ねれば訓練的な効果が期待できるし、訓練の最中にマニュアルなどの不備が見つかることもあるので、これら二つの間には相互補完的な関係があるが、主な目的はどちらなのか、を明確にし、関係者の間で共通認識を作っておくことは必要である。
一例として、一定のシナリオに基づいて災害対策本部のシミュレーションを実施した際に、対応マニュアルに重大な不備があったためにシミュレーションが中断され、続行不能になってしまった場合を考えてみていただきたい。もし「訓練」を主目的として行われたシミュレーションであれば、予定されていた訓練メニューを全てこなせなかったのであるから、目的は達成できなかったことになる。しかし「演習」を主目的として行われたのであれば、シミュレーションの途中で対応マニュアルの不備が見つかったことは成果となるので、たとえシナリオの途中で中断されたとしても、ある程度は目的を達成できたと言える(注3)。このように、関係者間で目的に関する共通認識がないと、同じ結果に対して評価がバラバラになりかねないのである。
演習プログラムとは?
ところで、図1の左側が単に「演習」ではなく「演習プログラム」となっている点にご留意いただきたい。演習プログラムとは複数の演習を組み合わせて構成されるものである。組織の事業継続に関する能力を一度の演習だけで十分に確認・検証するのは困難であり、事業分野ごと、事業所単位、部署単位などといった形に分けて演習を行うことが想定されているため、このような表現となっているのである。
したがってBCMの活動においては、確認・検証すべき範囲全体をできるだけ効率よくカバーできるように個々の演習の対象範囲を設定し、それぞれの演習対象の状況や確認・検証の目的に合った方法の演習を企画し、実施しなければならない。しかも複数の演習を実施するならば、個々の演習にあまりコストをかけるわけにはいかない。
そこで演習プログラムを構成する際には、机上演習やワークショップなど、準備や運営が比較的容易な方法による複数の演習を組み合わせることをお勧めしたい。読者の皆様の中には、シナリオに基づいて状況付与を行っていくようなシミュレーション形式の演習の方が、演習の効果が高いとお考えの方も多いかもしれないが、シミュレーション形式の演習はシナリオの作成や演習当日の運営などに手間や人手がかかる上に、シナリオに柔軟性を持たせるのが難しいため(注4)、工夫しないとコストパフォーマンスの悪い演習になりがちである。
また、机上演習やワークショップのような方法であれば、外部のコンサルタントに依存せずに自力で演習を企画・実施できる可能性がより高くなる。関係者が自ら演習の企画に関わることで、準備作業を通して学びが得られるというメリットもあるし、演習の企画や運営に関するノウハウや経験値の蓄積が、より効果的なBCM運営に寄与する。演習プログラムの実践にあたっては、そのような観点もご考慮いただければと思う。
振り返りの重要性
最後に、演習を実施した後に必ず振り返り(反省会)を行うべきであることを付け加えておきたい。演習の主な目的が確認・検証である以上、振り返りを行わなければ演習自体が無意味になりかねない。演習実施直後に必ず振り返りの時間を設け、参加者の記憶が薄れる前に、演習において見つかった問題や、今後解決すべき課題などを洗い出す。できれば演習の内容や進め方、シナリオに対する意見や改善要望なども収集できるとなお良い。
そして振り返りの内容は演習報告書として文書化することを強くお勧めする。最大の理由は、演習で見つかった問題や課題などが文書化されないと、それらを改善するための行動に繋がりにくいからである。また報告書として文書化する作業が、演習を企画・実施するノウハウの蓄積にも寄与する。形式や内容はシンプルで構わないので、演習報告書を文書化するところまでが演習に含まれると考えて取り組んでいただければ幸いである。
(注釈)
1) 原文は次の通り:「An organization's continuity capability cannot be considered reliable or effective until it has been exercised.」(BCI Good Practice Guidelines 2018 年版 88 ページ)
2) これらは前述のISO 22301でも区別されている。この規格の中で訓練については「7.2 力量」、演習については「8.5 演習プログラム」に記述されている。
3) もちろんマニュアルの不備くらいなら、シミュレーションを行うより前に、もっと低コストな方法で発見されるべきだという観点はある。
4) シミュレーション形式でも、ある程度臨機応変にシナリオを変更しながら実施することが可能だが、演習の運営に高度なスキルが必要となる
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方