トレンド
高まるBCP(事業継続計画)の重要性(4)リスクの分析と評価
公開日:2019/01/30
事業停止の原因は、地震や風水害などの自然災害から、感染症やテロ、取引先の倒産、停電、情報システムの故障など実に様々です。そこで、BCPに取り組んで事業継続対策の計画を立てますが、最初に、どのようにリスクを分析・評価するかが重要なポイントになります。
リスクマッピングによる分析・評価
内閣府の「事業継続ガイドライン第三版」(平成26年7月)では、リスク分析・評価について「事業中断の原因となる発生事象(インシデント)を洗い出し、それらの発生の可能性と影響度を評価することで優先的に対応すべき発生事象を特定し、当該発生事象により生じるリスクがもたらす被害等の分析・評価を実施すること」として、そのステップを次のように紹介しています。
- (1)発生事象の洗い出し
自社の事業の中断を引き起こす可能性がある発生事象を洗い出す。この洗い出しについては、極力発生し得る全てのものを考慮する。 - (2)リスクマッピング
(1)で洗い出された発生事象について、発生の可能性及び発生した場合の影響度について定量的・定性的に評価し、優先的に対応すべき発生事象の種類を特定し、順位付けする。事業の中断を引き起こす可能性がある発生事象(インシデント)について、発生の可能性及び発生した場合の影響度の二軸の図にマッピングをする。 - (3)対応の対象とする発生事象によるリスクの詳細分析
(2)で優先的に対応すべきと特定した発生事象により生じるリスクについて、自社の各経営資源や調達先、インフラ、ライフライン、顧客等にもたらす被害等を想定する。
まず、対策の出発点となるのが発生事象の洗い出しであり、発生頻度と影響度を検討するツールがリスクマッピングです(図1参照)。事業の中断を引き起こす可能性がある発生事象(インシデント)について、発生の可能性および発生した場合の影響度を横軸・縦軸にとって示します。
(図1)リスクマッピング
内閣府「事業継続ガイドライン第三版-あらゆる危機的事象を乗り越えるための戦略と対応-解説書」(平成26年7月)より作成
例えば、噴火や地震・津波、火災・爆発、テロ、感染症の発生頻度は低いものの経営への影響度は大きくなります。一方、発生頻度の高い軽度の通信障害や停電などは経営への影響度は低くなります。その他、サプライヤの倒産、大雪、落雷、運輸貨物の事故、情報システムの故障など、少しでも発生の可能性があればリスクの対象に含めます。大地震によるサプライチェーンの寸断などについても検討します。 また、1つの事象であってもその大きさやそれに関連する事象なども検討します。例えば「地震」の場合、小さな震度の地震は、発生確率は高いものの影響度は小さく、大きな震度の地震は発生確率が低いものの影響は大きくなります。以上を勘案して、自社の各経営資源や調達先、インフラ、ライフライン、顧客等にもたらす被害等を想定します。
現状と目標のギャップを認識し対策を立てる
リスクマッピングによる分析、評価を行ったら、次に計画を立てることになります。同ガイドラインでも、次のようなプロセスを紹介しています。
- (1)まず、優先的に対応すべき発生事象を特定する。
- (2)次に、事業影響度分析で選定した重要業務について、同分析で把握した重要な要素が、(1)の発生事象によりどのような被害を受けるかを検討する。
- (3)(2)を踏まえ、現状で、重要な要素のうち、最も時間的に確保が遅れるもの(ボトルネック)から決まる「現状で可能な復旧時間」、同様に、最も量的・レベル的に確保が困難なもの(ボトルネック)から決まる「現状で可能な復旧レベル」を推定する。
リスクの分析と評価を行う目的は、図2にあるように「発生時事象の洗い出し」「リスクマッピング」と「事業中断による影響度の評価」「重要事項の決定と目標復旧時間・目標復旧レベルの検討」「重要な要素の把握とボトルネックの抽出」を行って、ボトルネックを解消する対策を立てることです。
具体的には、リスクマッピングで想定したインシデントに対して、現状で対応可能な復旧時間(RTO)と復旧レベル(RLO、設備やサービスの稼働レベルと提供できるサービスの質・量)を推定した上で、目標復旧時間と目標復旧レベルを設定します。そして、両者間のボトルネックやギャップを確認したうえで、経営判断を行うことになります。
(図2)分析・評価から経営判断のサイクル
内閣府「事業継続ガイドライン第三版-あらゆる危機的事象を乗り越えるための戦略と対応-解説書」(平成26年7月)より作成
こうした対策は、すぐに決まるものでもありませんし、一度設定したら終わりということではありません。対策を練るうちに想定以上のリスクがあることに気がついたり、逆のこともあり得ます。また、経営状況は常に変化しますし、起こりうるリスクも時代とともに変わることを忘れてはいけません。