ナレッジ

フィリピンにおける明瞭かつ実践的な事業継続マネジメントシステム(BCMS)の導入について

APリスクアドバイザリー ニュースレター(2022年7月15日)

※画像をクリックすると拡大表示します

フィリピンにおいて新型コロナウイルスの流行が始まった時、多くの企業が事業継続計画(BCP: Business Continuity Plan)を発動するにあたり、数ある計画の中からどの計画を発動すべきか混乱に陥りました。在フィリピン企業の多くは、建物の緊急・避難時計画、人的継続計画、地震対応計画等、さまざまな計画をテーマごとにルール化していますが、一方で最低限必要な火災・建物避難計画以外の事業継続計画を全く有していない企業もあります。いずれにせよどのような企業にとっても今回の世界的なパンデミックのような脅威は予測が困難でした。

今回のパンデミックでの対応を通じて露見した企業の課題の一つに、部門単位の BCMS(Business Continuity Management System)を組織全体で有効に機能させるためにさらなる工夫が必要という点が挙げられます。例えば、IT 部門では予めIT 障害復旧計画が策定されているものの、有事の運用に際して本格的なビジネス影響分析がされていない場合があります。さらに、ビル管理者によって策定された建物復旧計画が人事部門の人に関するBCPと連携されていない場合も散見されます。各部門による個別のBCPも必要不可欠なものですが、それだけでなく部門横断、全社レベルでのイニシアチブとして統合されたBCPが必要です。

なお、部門横断、全社レベルでBCPを統合・計画する際には、それぞれの計画の目的やそれらがどのように相互作用するのかを見極めることが求められます。

 

それでは、効果的なBCMSに求められる要素についてみてみましょう。

1) 全社レベルで統合されたBCPとして運用する

BCMSは、緊急(またはインシデント)対応、危機管理、IT災害復旧、事業継続のそれぞれの計画から構成されています。それぞれの計画の性質は異なりますが、有事に発動された際は各計画がそれぞれ連携しながら運用されます。IT災害復旧計画は、企業内のIT部門によって、全計画の中で最も綿密に計画されることが多いものの一つです。しかし、多くの場合、その他の事業部や部門との連携がないままIT部門単独で計画されています。非常事態の際に回復が最も急がれるITシステムとアプリケーションは、事業部に直接影響があるため、IT災害復旧計画はより広範なBCMSに包含・統合されるべきだと考えます。
 

2) 経営資源ベースでBCPを検討する

長年、企業は巨大地震緊急計画のようなシナリオベースの事業継続計画を策定する傾向がありましたが、現実には経営資源への影響を切り口に整理した事業継続計画のほうがより柔軟かつ実用的と言えます。企業として最も重要で至急の復旧が求められる活動はどのような危機や緊急事態にも共通していることから、新型コロナウイルス拡大の際にも経営資源ベースの計画に沿ってBCPを策定していた企業の方が迅速に経営資源を復旧し、本来の事業を継続することができていたように思われます。

デロイト フィリピンでは、クライアントに対して経営資源ベースの事業継続計画を推奨しており、企業にとって最も重要な事業活動を特定しながら、経営資源を復旧する必要性を強調しています。復旧が急がれる経営資源をデロイトBETH3として、Building(建物)、Equipment(機器)、Technology(技術)、HR(人事)、3rd Parties(サードパーティー: 第三者)と定義しています。

重要なオペレーションは、通常、これらのBETH3の要素の一部またはすべてを復旧することによって継続が可能になります。一方で、BCPで見落としがちなのが3rd Parties(サードパーティー: 第三者)であり、他の経営資源と同様に業務の必要不可欠な要素として取り扱うことが重要です。例えば、これらには、ITサービスプロバイダー、セキュリティ、事務、ケータリングサービスが含まれます。企業は、第三者によるサービスは業務遂行に必要不可欠であることを認識し、BCMS策定に含めることが求められます。このため、BCMSの開発において、自社の事業部門と同じ水準のBCMSを第三者にも要求することが重要です。フィリピンはBPO産業が盛んですが、BPOは典型的な第三者に該当します。このBPOベンダーのオペレーション停止に起因してコロナ禍での事業継続に支障が出てしまったケースもあるのではないでしょうか。
 

3) わかりやすいプレイブックで浸透を図る

経営資源ベースの BCMS にも、シナリオごとのプレイブック(脚本集)を用意することで BCMS をより強化することができます。プレイブックは、首都を襲う「ビッグ・ワン」巨大地震、台風ヨランダ規模の「ブラック・スワン」気候災害の首都への直撃、爆撃や集会による政治的不安等、特定の緊急事態や危機を想定した事業継続計画が記されている数枚程度のガイドラインになります。このプレイブックには、例えば、主要な連絡先 (内部および外部)、段階的なアクションアイテム、危機管理・緊急対応・ビジネス継続性チームによる会議頻度等が含まれます。
 

4) 訓練による実践的な定着を図る

十分に文書化されたBCMSを準備しておくことよりも重要なのが、実際の計画を組織に浸透させ、危機管理チームの司令官から新入社員までの各メンバーが、その計画に関する自らの役割を理解することです。BCMSの最終目的は、計画の策定、文書化、浸透、テスト、継続的な改善、リハーサルの一連の流れを実施することです。それは終わりのない継続的な活動です。BCMSを継続的に改善していくことで、非常事態に対してチーム全体が想像力を働かせや適切な準備を行うことができるようになり、効果的なBCMSを達成することができるでしょう。

詳細は各拠点デロイト トーマツ グループ担当者までお問合せいただけましたら幸いです。

著者:Enrique Victor D. Pampolina, Risk Advisory Partner — Deloitte Philippines
※本ニュースレターは、2022年7月19日に投稿された内容です。

アジアパシフィック領域でのリスクアドバイザリーに関するお問い合わせは、以下のメールアドレスまでご連絡ください。

ap_risk@tohmatsu.co.jp

お役に立ちましたか?