ISO」タグアーカイブ

事業継続マネジメントの活動を普段の商売に活かしましょう

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

事業継続マネジメント(BCM)に関する仕事は「掛け捨ての保険」にたとえられることがあります。これは、BCM はあくまでも万が一の時に備えるための活動であって、事故や災害などが発生しない限り、これらの活動に費やした労力や費用は役に立たないという考え方によるものです。そのような認識のもとで BCM に取り組むのは難しいのではないかと思います。

ところが、BCM の成果を普段の商売に活かす方法があります。主な方法を以下に説明しますので、事故や災害などが発生しなくても価値を生み出す BCM を目指していただきたいと思います。

 

御社のセールスポイントとしてアピールする

もし御社が主に企業を相手に取引をしている、いわゆる B to B のビジネス形態であれば、御社における BCM の取組状況を顧客(および見込み客)にうまく説明できれば、これが御社のセールスポイントになる可能性があります。

特に最近は災害が頻発していることもあって、多くの企業が災害によってサプライヤーや業務委託先で事業中断が発生することを懸念しています。MS&AD インターリスク総研株式会社が国内上場企業を対象として実施したアンケート調査(注)によると、回答した企業の約 9 割が「サプライヤーが BCP を持つことは必要」だと回答しています。また回答した企業の約半数、製造業に限ると 8 割近くが、顧客から災害対策・BCP 整備に関連して何らかの要請をされたと回答しています。

したがって特に B to B の企業では、BCM に取り組んでいることが競合他社との間で差別化要因になる可能性があります。

もしかしたら読者の皆様の中には、「当社の BCM はまだまだレベルが低いから・・・」と躊躇する方がおられるかもしれません。しかし、完璧な BCM を実現できている企業など、まずありません。逆に、BCM に取り組み始めた企業すら少ない現状においては、取り組み始めただけでもアドバンテージになる可能性さえあります。BCP がまだ作成されていないとしても、「当社では社長を責任者として組織的に BCM に取り組んでいます」というような説明ができて、今後のロードマップを示すことができれば、顧客にとっては好印象です。

ぜひ営業部門や広報部門、マーケティング部門などとも協力して、御社における BCM への取り組みを売上アップや既存顧客との関係向上に役立ててください。売上に繋がる可能性が期待できれば、これらの部署からの協力も得られやすいのではないかと思います。

もちろん、その後の活動が続かなければ、逆にかなり印象が悪くなるリスクもありますので、頑張って活動を続けていただきたいと思います。

 

国際規格のネームバリューを利用する

前項で述べた、顧客に対する説明の中で、国際規格のネームバリューを利用することも一案です。これは特に海外の企業と取引がある企業にとっては有効な方法です。

BCM に関しては「ISO 22301」という国際規格があります。日本ではこれが和訳されて、日本産業規格「JIS Q 22301」となっています。この規格は世界中から BCM のエキスパートが集まって議論を重ね、彼らの持つノウハウや経験を反映させて作られたもので、世界各国で広く活用されています。

そこで、国際規格に書かれている基本的な部分を自社の BCM に採り入れ、社外に対して「当社は国際規格 ISO 22301 に基づいて BCM に取り組んでいます」と説明することができれば、BCM に関して決して場当たり的ではなく、組織的かつ計画的に取り組んでいるという印象を持ってもらえます。

しかしながら、規格に書かれている要求事項を全て実施するのは大変です。そこで、まずは以下に説明する 2 つのポイントを押さえることをお勧めします。

1 つめは用語の定義です。残念ながら日本では、「事業継続計画」、「訓練」、「演習」などといった基本的な用語に関しても、多様な定義が入り乱れているのが現状ですので、まず規格に記載されている用語の定義を確認し、正しい用語を使うようにしてください。

2 つめは活動全体の枠組みです。規格では BCM に必要な活動の全体像(別記事にて説明しています)が説明されています。これら全体をどのくらいのスケジュールで進めていくのか、大枠で構わないので計画を作り、経営層の承認を得て進めてください。

これら 2 つができていれば、社外に対して「当社は国際規格に基づいて BCM に取り組んでいる」と胸を張って言うことができます。

なお、この規格に書かれている要求事項を全て満たしていることを、外部の審査機関に確認してもらい、認証を取得できるという制度があるのですが、これは少々ハードルが高いと思います。したがって認証を取得するかどうかは、BCM の活動がある程度軌道に乗った後に検討されると良いと思います。

 

業務プロセスの効率アップに役立てる

BCM に欠かせない作業のひとつとして「事業影響度分析」があります。事業影響度分析においては、社内の業務プロセスや経営資源の状況を調べていきます。

ここで思わぬ副産物として、日常業務において改善すべき課題が見つかることがあります。

かつて筆者が担当させていただいた大手サービス業のお客様で、事業影響度分析のためのヒアリングを実施した時に、不思議な帳票が見つかったことがありました。複数の部署から業務プロセスのフローチャートを見せてもらい、前工程の部署と後工程の部署との連携を確認していたのですが、前工程で作成された帳票のうち、後工程で使われていないものが一つ見つかったのです。

最初はお客様も半信半疑だったのですが、よくよく調べてみると、後工程の業務改善で手続きが変わったという情報が、前工程の部署に伝わっていなかったことが分かりました。試しに前工程の部署で、その帳票の作成を止めて 1 ヶ月様子を見てみたのですが、業務に全く支障がないことが確認できたため、その帳票は正式に廃止されました。

事業影響度分析では、業務プロセスの最初から最後まで通して確認していきますので、日常業務の中では見落とされているような問題やムダが見つかる場合があります。このような成果が得られる可能性もあることを含めて、経営層や各部署の方々に説明していただくと、協力を得られやすくなるのではないでしょうか。

 

損害保険の見直しにつなげる

多くの企業で建物の火災保険などの損害保険を契約されていると思いますが、御社にとって現在の契約内容は十分でしょうか?また、逆に、手厚く保険をかけ過ぎているものはありませんか?

これまで保険会社や保険代理店から様々な損害保険を勧められたと思いますが、残念ながら御社にとって必要な保険と、保険会社が売りたい保険とが常に一致しているとは限りません。

事業影響度分析の中で、製品やサービスの優先順位や資源の状況などを調べていくと、事業継続という観点から考えて必要な損害保険と、現在の契約内容とのギャップが見えてくることがあります。もしそのようなギャップが見つかった場合は、それをもとに保険会社や保険代理店と相談することをお勧めします。結果として従来の保険で不十分だった部分がカバーされるようになったり、過剰にかけすぎていた部分を減らして保険料の支払額を削減できる可能性があります。

企業によっては BCM と損害保険とでは担当部署が別かもしれませんが、その場合でも部署間で協力しあって、BCM と損害保険との相乗効果を発揮できるような取り組みを目指してください。

 

(注)
MS&AD インターリスク総研株式会社(2019 年 2 月)『第 8 回 事業継続マネジメント(BCM)に関する日本企業の実態調査 報告書』 https://www.irric.co.jp/pdf/reason/research/bcm/bcm_8.pdf (アクセス日:2021 年 3 月 15 日)

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

「できるだけ早く復旧させる」ことが事業継続マネジメントの目的ではない

このエントリーをはてなブックマークに追加

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。

より早く復旧させるには、より多くのお金がかかる

事故や災害で事業活動が中断されてしまった場合(例えば製造業であれば工場で製品を作れなくなった、など)、「一日でも早く復旧させたい」と誰もが考えると思います。事業中断が一週間、二週間と続いた場合に、損害や各方面への悪影響がどれだけ大きくなるかを考えると、少しでも早く事業活動を元通りに再開させたい、と思わずにはいられないでしょう。

しかしながら、事業活動をより早く再開させようと思ったら、それなりのお金が必要になります。例えば、工場が大規模な地震や火災などで致命的な被害を被った場合でも、「一日で」製品の生産を再開させたいとしたら、どのような準備が必要になるでしょうか?同じような設備を有する工場をもう一ヶ所建設しておかないと無理かもしれません。もちろんそのためには膨大な設備投資が必要になります。

ところが、もし「一ヶ月以内で」、「三ヶ月以内で」、「半年以内で」再開させたいという条件だったらどうでしょうか?御社ならどのような方法で実現できそうか、想像してみてください。「一日で」再開させるための準備に比べたら、より少ない投資で済むのではないでしょうか。

 

BCM の目的は投資対効果のバランスを最適に保つこと

一般論として、より早く事業を再開・復旧させようと思ったら、事前の投資や事後の費用により多くのお金が必要になりますが、もし事業継続のための投資にお金をかけすぎて、災害が発生する前に経営状況が悪化してしまっては本末転倒です。したがって事業継続マネジメント(BCM)においては、どのくらいの期間で事業を再開・復旧させるのが自社にとってちょうど良いかを見極めていくことが重要です。

もし仮に、一ヶ月以内に事業を再開できれば十分だという会社があったとしたら、一週間以内に再開できるような対策方法はその会社にとっては過剰です。BCM の目的は、自社にとって必要な事業継続を、お金をかけすぎずに実現できるよう、事業継続に関する投資対効果のバランスを最適に保つことなのです。

 

これは国際的に受け入れられている考え方

ちなみに前述のような考え方は国際的に合意され、受け入れられているものです。

BCM に関して「ISO 22301」という国際規格があります。これは BCM に関する用語や概念、方法論などについて、世界中のエキスパートが議論を重ねて作られた国際規格で、日本ではこの内容を忠実に和訳したものが、日本産業規格「JIS Q 22301」として発行されています。この中で「事業継続」という用語は次のように定義されています。

事業継続(business continuity)

事業の中断・阻害を受けている間に、あらかじめ定められた範囲で、許容できる時間枠内に、製品及びサービスを提供し続ける組織の実現能力 (出典:JIS Q 22301:2020/下線は筆者)

これをご覧いただければ分かるとおり、「できるだけ早く」とは書かれていません。「あらかじめ定められた範囲で、許容できる時間枠内に」再開できるための能力だと定義されています。

そして、この範囲をどのように定めるか、自社にとって許容できる時間枠というのがどのくらいなのかを見極めた上で、事業継続のための能力が自社にとって最適な状態になるようマネジメントすることが「事業継続マネジメント」ということになります。

ここでいう「範囲」や「許容できる時間枠」については、事業影響度分析というプロセスの中で見極めていきます。これについては別の記事であらためて説明していければと思いますが、まずは「闇雲に早く再開・復旧させるのが良いとは限らない」ということを覚えておいていただければと思います。

 

–   –   –   –   –

本稿は、拙書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』(セルバ出版)の一部に手を加えたものです。是非拙書もお読みいただければ幸いです。

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22300 が改定されました(2021 年版)

このエントリーをはてなブックマークに追加

国際規格 ISO 22300 「Security and resilience — Vocabulary」が昨日改定され、ISO Web サイトの「Online Browsing Platform」(下記リンク)で読めるようになりました。

https://www.iso.org/obp/ui/#iso:std:iso:22300:ed-3:v1:en

この規格は、技術委員会 TC292 が管掌している「Security and resilience」に関する規格で用いられる用語を定義するための規格です。

前回の改定が 2018 年でしたので、意外に短いスパンで改定されたという印象です。最近は TC292 で開発される規格の数も増えてきたので、定義すべき用語が増えたために、それらを追加するために改定されたのかもしれません。

自分の仕事に関連するところだけ、ざっと確認してみましたが、BCM に関する基本的な用語も 2018 年版からかなり変更されているので、注意が必要だと思いました。

なお、対応する JIS 規格の方は、ISO 22300:2012 に対応する JIS Q 22300:2013 が最新版となっていますので、二周遅れになってしまいました。一応 ISO 22300:2018 に関しても日本規格協会から「邦訳版」が販売されていますが、これはあくまでも参考訳であって規格ではありません。早急に JIS 規格の方でも最新版に対応していただきたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 13 回: JIS Q 22301 2020 年改訂版はココを特に読んで欲しい

今回は 11 月 20 日に発行された、日本産業規格 JIS Q 22301 「事業継続マネジメントシステム – 要求事項」について語っております。

ちなみにこの規格は日本規格協会の Web サイトで購入できます。
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=JIS+Q+22301%3A2020

なお、今回の動画の中で触れている「business continuity strategies and solutions」の意味については、かつて下記の通り文章にしておりますので、合わせてお読みいただければ幸いです。

弊社 Web サイト:ISO 22301 2019 年版における「solutions」の意味(2019/12/07 掲載)
https://office-src.biz/39NVyA4

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

YouTube> BCM においてリスクアセスメントはどんな風にやればいいのか

このエントリーをはてなブックマークに追加

YouTube の『事業継続マネジメントについて語りつくすチャンネル』に新しい動画をアップロードしました。

第 11 回: BCM においてリスクアセスメントはどんな風にやればいいのか

今回は BCM におけるリスクアセスメントの考え方や方法論について語っております。
第 9 回「目標復旧時間をどのように決めるか」および第 10 回「BCP では被害想定をどう使うか」とも関連の深い内容ですので、こちらと合わせてご覧いただけると、より腑に落ちやすくなるのではないかと思います。

《参考》

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

書籍紹介『世界に通じる危機対応 ISO 22320:2011 危機対応に関する要求事項 解説』林春男(編集委員長)

このエントリーをはてなブックマークに追加

手前味噌ですが私自身が関わった書籍のご紹介です。

危機対応(緊急事態対応)に関する国際規格「ISO 22320」が 2011 年に発行され、その内容を変えずに和訳したものが日本産業規格「JIS Q 22320」として 2013 年に発行されたことを受けて、これを日本で普及させることを目指して作られた本です。ISO の委員としてこの規格の制定に参画された林春男先生に編集委員長をお願いし、一般社団法人レジリエンス協会の有志 7 名からなる「危機対応標準化研究会」にて執筆しました。

ISO 22320 は、効果的な危機対応を実現するために最低限考慮すべき事柄として、指揮・統制のあり方、危機対応に用いる活動情報処理のあり方、部局間・組織間の協力および連携のあり方、などについてまとめられた規格です。危機事象の種類(災害や事故など)や組織の種類(公的機関や民間企業など)にかかわらず汎用的に適用できる規格となっています。

この規格の JIS 化に合わせて本書を企画した問題意識については、林先生が「はじめに」で次のように述べておられます。

世界の先進国では,どのような種類の危機が発生しても対応可能であり,対応にかかわるすべての組織に共通する一元的な危機対応体制が採用されている.先進国の中では我が国だけが例外である.その原因に,従来の個別的な対処方法でもこれまで様々な種類や規模の危機を乗り越えてきたという成功体験があり,改める必要性が見いだせないことがある.しかし,今後予想される大規模災害を考えると,危機対応の標準化はレジリエンスの向上には不可欠であると考えられる.

 

本書の構成は次のようになっており、規格の内容は第 2 章で解説されています。

  • 第 1 章 危機対応に本当の専門家はいない
  • 第 2 章 ISO 22320 の解説
    • 4. 指揮・統制に関する要求事項
    • 5. 活動情報に関する要求事項
    • 6. 協力及び連携に関する要求事項
  • 第 3 章 規格は使わなければ意味がない
  • 第 4 章 ISO 22320 を現場に活かすには
  • 付録 ISO 規格開発手順

私自身は第 2 章の「4. 指揮・統制に関する要求事項」の執筆を担当させていただきました。また林先生に第 1 章と第 3 章の執筆をお願いしました。

本書全体を通して、単に要求事項の解説にとどまらず、これらを自治体や企業などの組織で実践するための留意点やヒントをできるだけ記述するようにしています。

特に第 2 章においては、規格の内容に基づく解説に加えて、具体例のひとつとして米国で標準的に採用されている「Incident Command System」(ICS)の要点を紹介しています。ICS は ISO 22320 よりも先に開発されたものですが、ISO 22320 の要求事項が概ねカバーされているので、この規格の要求事項を具体的にはどのように実現していくのかを考えるうえで、とても参考になります。

 

実は ISO 22320 が既に 2018 年に改定されており、規格の構成や内容が大幅に刷新されているのですが、この 2018 年版が JIS 化される予定は今のところ無いようです(2020 年 10 月時点での状況)。したがって本書も改訂される予定がありません。個人的には 2018 年版も早急に JIS 化されてほしいのですが…….。

 

【書籍情報】

危機対応標準化研究会(編著)(編集委員長 林春男)(2014)『世界に通じる危機対応 ISO 22320:2011(JIS Q 22320:2013)社会セキュリティ – 緊急事態管理 – 危機対応に関する要求事項 解説』日本規格協会。

Amazon リンク

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

レジリエンス協会「しなやかな社会研究会」参加

このエントリーをはてなブックマークに追加

今日は一般社団法人レジリエンス協会の「しなやかな社会研究会」の会合に参加しました。

時節柄(?)、全員が Zoom でのリモート参加となりました。

当研究会では、ISO 22320 の 2018 年版に基づいて緊急事態対応に関する議論を進めておりますが、これと関連して Incident Command System(ICS)を紐解いたり、ISO 22320 の旧版(2011 年版)を引き合いに出したりする必要もあるので、これらの参考資料に記載されている内容の再確認にもなり、個人的には大変勉強になる貴重な機会となっています。

議論の内容は今のところまだお知らせできるような状況にありませんが、できるだけ早く公開できるよう、議論を進めていきたいと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

ISO 22361 – 新しい国際規格の開発が始まってるようです

このエントリーをはてなブックマークに追加

某社からメールで届いたニュースの中に「ISO 22361」という記述がありました。最初は「ISO 22316」のタイプミスかと思ったのですが、説明の内容が ISO 22316 と全然違うので、ISO の Web サイトを調べてみたところ、「Security and resilience — Crisis Management — Guidelines for developing a strategic capability」(セキュリティとレジリエンス – 危機管理 – 戦略的な能力を開発するためのガイドライン)というタイトルで、新しい規格の開発が進められているとの事でした。今のところ「AWI」(Approved new Work Item)というステータスなので、まだドラフトすら出来ていないという状況だと思われます。

ISO の 223 系列の規格制定を担当している技術委員会「TC292」の Web サイトで、どのような規格の開発を目指しているかが説明されています。こちらの説明によると危機管理における戦略的意思決定者(つまり経営層)のためのガイドラインとの事ですので、どのような規格になるのか今から楽しみです。

ちなみに、このプロジェクトのリーダーは Kevin Brear という方で、英国にある Grant Thornton というコンサルティングファームでシニアマネージャーを務めておられる方のようです。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

BSI ジャパンが国内で初めて ISO 22301:2019 での審査機関認定

このエントリーをはてなブックマークに追加

BSI ジャパンが 6 月 12 日に同社 Web サイトで発表したところによると、事業継続マネジメントシステム(BCMS)の国際規格である ISO 22301 の 2019 年版に基づく審査を行うことができる、審査機関としての認定を受けたとのことです。

BSI ジャパンの Web サイトでの発表内容はこちら:
https://www.bsigroup.com/ja-JP/about-bsi/media-centre/press-release/2020/june-2020/Info-0612/

JIS 規格(JIS Q 22301)がまだ改定されていないので、英文の規格に基づいて審査されることになりますが、実質的には恐らく日本規格協会から販売されている日英対訳版か、BSI ジャパンが独自に和訳したものが使われるのではないかと思います。いずれにしても、日本の組織が 2019 年版で審査を受けられる状況になったのは良いことですね。

ISO 22301 が昨年秋に改定されて以来、早くから 2019 年版に基づく解説や審査員トレーニングなどを手掛けてこられた BSI ジャパンだからこそ、実現できたのだろうと思います。

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加

note> 「BCP とは何か?」に関する情報が入り乱れているので整理したい

このエントリーをはてなブックマークに追加

「事業継続計画」の略である「BCP」という用語が、数年前から世間で広く使われるようになってきました。私自身が仕事で BCP に関わるようになったのは 2001 年ごろですが、それ以降に大規模な地震や感染症の流行が発生するたびに、BCP が話題に上ってきたように思います。

このような用語が広く認知されるようになるのは良いことなのですが、一方で本来の意味から微妙に外れた解釈や自己流の定義、さらには明らかな誤用まで入り乱れ、混沌とした状況となっています。

そこで、国際的に受け入れられている「BCP」の標準的な定義のポイントを、ISO 規格に基づいて解説させていただきました。下記リンク先よりお読みいただければ幸いです。

note:「BCP とは何か?」に関する情報が入り乱れているので整理したい
https://office-src.biz/3h1v5Qs

 

合同会社 Office SRC 代表 田代邦幸

このエントリーをはてなブックマークに追加