BCP

BCPとは

BCP(Business Continuity Plan)とは何ですか

企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。

当社の所在地で近く地震が起きるようには思えません。BCPは必要ですか。

リスクの多くは想定外の事象から発生します。「想定外」のない実効性の高いBCPを策定するためには、リスク・シナリオを予めリスク事象を想定して策定する「リスク事象型」から経営資源に着目した「機能停止型シナリオ」へと転換する必要があるのです。
また、BCPを作成することで、平常時においても、顧客管理、在庫管理、従業員管理等の経営の効率化、企業価値の向上に資する効果が見込まれます。

当社は工場も一つしかなく、リスク配分もできません。そもそもBCPを作る意味がないのではないでしょうか。

同地域ないし他地域の同業者、ないし、取引業者との間で、リスク発生時に、在庫及び生産設備を共同利用させてもらう等、業種内、地域内、サプライチェーン内で協定を締結することも選択肢の一つです。

BCPのひな型はありますか

各社の実態にあわせ実践的な内容に工夫する必要があります。各企業の事業実態に合わせたオリジナルな事業継続計画を、経営者自らが率先し、従業員等と一丸となって検討・策定し、かつ、実践することが必要です。特にリスク・シナリオを「リスク事象型」から「機能停止型シナリオ」に転換することになると、個々の企業の人的・物的設備とそれぞれが機能停止した場合のリスクの評価、回避手段、発生時の対策を検討していくのですから、100企業があれば100のリスク・シナリオがあるのです。

中小企業BCP策定運用指針とは

中小企業庁は、平成18年に「中小企業BCP策定運用指針」を策定しましたが、東日本大震災を機に、平成24年3月、これの改定版となる第2版を策定しました。
第2版は、小規模事業者を含めた初心者を念頭に「入門コース」を新たに加えるとともに、業種別の事例を追加する等、分かり易い内容となっています。

東日本大震災はBCPにどのような影響を及ぼしましたか

東北3県、茨城、千葉県以外の地域では直接的な地震被害は多くありませんでした。しかし、計画停電は従業員の出退勤に影響を与え、工場では生産調整を余儀なくされました。また、サプライチェーンの一部が生産停止になることで、芋づる式に生産停止が広がって行きました。各企業のBCPでは、こうした「想定外の連鎖」に無力だったのです。

原発事故は想定外としか言いようがなかったのでは

某原子炉メーカーは、今回の福島原発事故以前から、不可抗力条項の中に原発事故を入れていました。想定している企業は想定しているのです。

防災計画とBCPはどう違うのでしょう

防災は、一定のリスク事象を想定し、想定される災害による被害を最小化する仕組みです。
従業員、顧客だけでなく、地域全体を視野に入れた人命の安全確保、物的被害の軽減、二次災害の防止を図る必要があります。
BCPは、災害等により、企業の人的・物的設備の一部が機能停止にいたった場合の企業活動の早期回復と維持をめざすための仕組です。顧客や調達先などの重要業務が中断させず、あるいは、短期間で再開させることを目的とし、重要業務ないし取引先を選択し、復旧する事業所や設備に優先順位をつけることが必要です。顧客との合意形成を進める中で、企業経営的な観点から取り組まなくてはなりません。

BCPでは、いかなる数値目標を立てるべきでしょうか。

最大許容停止時間(MTPD Maximum Tolerable Period of Disruption)
この時を過ぎても事業が一定水準まで回復しないと、事業が継続不可能となるといった時間。

目標復旧レベル(RLO Recovery level objective)
業務の目的を達するため(事業維持に必要な得意客を失わない、運転資金確保の必要等を考慮)、組織にとって許容できる最低限のサービス・生産のレベル。

目標復旧時間(RTO Recovery Time Objective)
この時までに、事象(インシデント)発生後、製造・サービスが再開されなければならない、事業活動が再開されなければならない、または資源が復旧されなければならないという時間。

BCPの全体的なスケジュールはどのようなものですか

  1. 事業影響度分析
  2. リスクアセスメント
  3. 事業継続戦略
  4. BCPの策定
  5. 演習の実施

事業影響度分析(BIA)とはどのようなものですか

事業影響度分析とは「活動及び事業の中断・訴外の与えうる影響を分析するプロセス」であり(ISO22301:2012における定義)、以下の作業によって構成されます。

  1. 生産・サービス提供プロセスの特定(職務分掌規定、業務フローチャートを作成)
  2. 各プロセスが停止した場合の時間経過による影響
  3. 最大許容停止時間の明確化
  4. 目標復旧レベル、目標復旧時間の設定
  5. 重要プロセス(クリティカル・コントロール・ポイント)、プロセスの資源、外部との依存関係の特定
    人、設備、作業環境、IT、サプライヤー中、どこが重要プロセスかを特定し、そのプロセスを最優先で復旧することが必要となります。この部分が最も重要であり、1~4の作業も、この点を明らかにするためにあるのです。

リスクアセスメントとはどのようなものですか

リスク特定、リスク分析及びリスク評価のプロセス全体のことを言います(ISO22301:2012における定義)。
BIAで得られた成果を元に、リスクを拾い出し、各リスクの発生確率とリスクの結果重大性を評価します。大まかな言い方になりますが、「高頻度+結果重大」なリスクは防災、BCPの両面が検討されるべきですし、「低頻度+結果重大」なリスクはもっぱらBCPで処理すべきでしょう。「高頻度+結果軽微」なリスクは日常業務の中で対処すべきであり、「低頻度+結果軽微」なリスクはCP上無視するという選択肢も可能です。
影響度は「広さ」と「深さ」の両面から判断しましょう。

事業継続戦略とはどのようなものですか

RTO内に、組織の復旧及び継続を確実にするために、組織がとるべき方法を言います。
BIA、リスクアセスメントの結果を踏まえ、具体的な方法に落とし込んで行きます。
従来は、専ら、被害を受けた拠点で施設を「復旧」戦略が検討されてきましたが、東日本大震災のようにインフラが大きく損傷した場合には、異なる場所の施設を利用する「代替戦略」も必要になってくることが分かりました。
異なる場所で業務を引き継ぐために必要な手順や部品をあらかじめ検討し、日ごろから引き継ぎの訓練を実施することが重要になってきます。
また、取引先との連携が必要です。部品の購入先とは、リスク時に優先的に商品を回してもらえるか、協議する必要がありますし、それが不可能な場合代替できる購入先を検討する必要があります。
逆に納品先との協議も必要です。自社が考える目標復旧レベルが取引先が考える目標復旧レベルより余りに低ければ、取引先を失いかねません。

BCPはどのように策定すればいいのですか

BCPとは「事業の業務の中断・訴外に対応し、事業を復旧し、再開し、目標復旧レベルにまで回復するように組織を導く文書化された手順。」を言います。
「文書」というと、手順書のようなマニュアル様のものを想定するかもしれませんが、欧米企業はフローチャートで用意しているのが一般的なようです。
川崎市では、100頁以上の手順書があるようですが、隣の横浜市は各職員の名刺を裏返すと、緊急時の各人の役割が書かれているようです。いざとなった場合、大部な手順書を見る余裕はありません。横浜市のやり方が好ましいことは明らかです。

BCPはできましたが、演習はどのように実施すればいいのでしょう

机上演習ではなく、実際にやってみて、不足する人材、不足する手続等洗い出しましょう。部署間の連携がとれているかのチェックも必要です。部署間で必要な資材が取り合いになったなどといことがあってはしゃれになりません。初めから100%の結果は出せなくて当たり前です。PDCAサイクルの活用が必須です。BCPを実際にやってみて、不足の有無を確認し、不足箇所があればBCPを改定する、そうやって少しずつでもブラッシュアップして行きましょう。

社内サーバーの震災対策として何をすべきでしょうか

社内の情報を何でもかんでもサーバーに突っ込んでいると、サーバーが壊れたら、事業自体が壊滅的打撃を受けることになります。
そうならないために、またはサーバーの復旧に時間をかけずに済むように、BCPとして、以下のことを行う必要があります。

  1. 代替拠点の整備はBCPのイロハ。中小企業で、予算上無理なこともあろう。その場合、他企業との間で代替施設を提供し合うような協力体制を整備すること。
  2. ラックマウント型サーバーは、床にアンカー打ち、アンカー打ちが無理ならば壁などに固定し、タワー型サーバーは、耐震ベルトなどを用いてしっかりと固定する。
  3. ハードディスクは、Raidシステムとホットスペアを併用し、二重の障害対策を施しておくこと。また、バックアップには移送可能な装置を使用し、万一の代替拠点運用に備えること。
  4. 津波、河川の堤防決壊の心配がある地域では、水位の届かない場所にサーバを置くこと。
  5. さらに空調が止まるため、空調が復旧するまではサーバの電源を落とす必要がある。停電に備え、シャットダウン処理に必要な容量を確保したUPSを運用しておく。また、常日頃から、緊急時体制、緊急時連絡先などを整備しておくこと。
  6. インターネット網への接続手段も複数用意しておく(複数の業者と契約しておく)こと。

契約書には、天災地変の場合は不可抗力として、解除も、損害賠償請求もできないようにしています。これでは不足ですか。

最近はサプライチェーンの維持、復旧がBCPの大きな課題となっており、不可抗力条項もより精密なものになってきています。天災等があっても、何日以内にどのくらいの商品供給を行い、何日以内には完全復旧するものとするなど、安易に不可抗力の抗弁を出せないようにする動きも起きています。

利益保険の活用、現預金の用意

欧米の企業では殆どが利益保険に加入していますが、わが国の企業の加入率は火災保険こそ100%近いものの、利益保険は20%以下と言われています。復旧までの生産減少や、休業の営業利益減、休業中に支払う給与・賃料・租税公課等の「固定費」支出をカバーするための「利益保険」に加入することも検討された方が良いでしょう。
また保険請求をするにも必要書類がありますので、平常時から必要書類がすぐ出せるよう、準備しておくことが必要です。保険がおりるかどうか、おりるにしても保険金がいつ支払われるかという問題もありますので、災害発生後1ヶ月分の支出を賄える現金・預金を保有していることが望ましいと考えます。財産が不動産や定期預金などの急な換価が難しい財産に偏っていると、 いざというときに資金ショートを起こしかねません。そうなればせっかくBCPプランがあっても、無駄になってしまいます。

災害時の融資制度

運転資金・復旧資金が不足する場合は、災害時に設置される「特別相談窓口」に相談に行くことをお薦めします。小規模企業共済制度の災害時貸付制度、日本政策金融公庫、中小企業金融公庫、商工組合中央金庫、保証協会(含むセーフティネット保証)の貸付制度があり、被災した中小企業に対して弾力的に相談を受け付けてくれます。
ただ、決算書類等の必要書類がないとすぐには融資を申請できません。こういったところにも日ごろの準備が必要となります。