まずはお気軽にご相談ください。

【総合受付窓口】
大塚商会 インサイドビジネスセンター

03-6743-1671(平日 9:00~17:30)

リスクシナリオは、複数のリスクが同時に発生することを想定したい

想定されている災害や事故が発生したとき、会社にどのような被害をもたらすのか。また、使用できない経営資源がどのような状況になっているのかを想定し、企業に与えるリスクを洗い出す作業がリスク分析です。このリスク分析では、直接的なリスクだけでなく、信用リスクや風評リスクなど、2次的なリスクまでも含めて考える必要があります。

重要業務ごとにリスクを洗い出し、対応するシナリオを作成

BCPを策定するには、

  1. 中核事業を決める
  2. 止められない業務を洗い出す
  3. そのために必要なリソースの状況を正確に把握する

といったステップが重要になります。

中核事業が決定したら、その事業を支える重要業務を洗い出しますが、そこに潜むリスクも同時に見極め、評価をした後に、リスクシナリオを作成します。

リスクシナリオは、予期しない出来事が発生することで、事業が中断される状況を時系列、関係する部門に分けて作成します。

BCPが発動されると、初動で定められた活動が開始されることになりますが、避難、救済、安否確認、被災状況確認、情報共有などのように、時系列に分けて想定されるリスクを考えることになります。リスクシナリオの作成は、以下のような流れになります。

  1. リスクの洗い出し
  2. 対象リスクの絞り込み
  3. 時系列を基準にしたリスクシナリオの作成

企業を取り巻くリスクには、外的な要因と社内的な要因の二つがあります。BCPが主に取り扱うのは、外的要因によって発生する「災害」を原因とするリスクになります。

株式会社OSK
ソリューション本部 ITコンサルタント課
コンサルタント 石山 修 氏

リスク洗い出しの対象となるリソース

事業を継続するために必要なリソースを以下の5つに分けて整理するとリスク分析がしやすいと思われます。


  1. 中核業務に従事できる役員、従業員が確保できるのか。
  2. もの
    業務用資産を中心に考えます。本社機能が確保できるのか、中核業務を継続するための、事務所、工場などが使えるのか、使えない場合の代替地はあるかといったことになります。中核業務を継続するために必要なデータを処理する情報システムはここに含まれます。
  3. 取引先
    調達先、納品先との関係、さらには、物流機能が確保できるか。
  4. お金
    緊急時を乗り切る財務的な裏付けを持っているか。
  5. ライフライン
    業務遂行に必須の、電気、水道、ガス、通信、公共交通機関などの影響それぞれの項目に対して、利用できなくなった場合のリスクを考える必要があります。また、時間軸の中で、どのような順番で復旧してくるのかも重要な要素になります。

リスクの大きさは、発生の可能性と影響度によって決まる

事業継続ということを考えれば、災害に代表される外的な要因によって発生するリスクだけを考えればいいということにはなりません。事業継続を阻害するリスクは、従業員の過失によるリスク、事故や故障、財務的なリスクなども考慮に入れなければなりません。事故や故障などは、災害によらなくても発生する可能性がありますし、財務的なリスクである貸し倒れも、災害によって取引先が甚大な被害を受け、最悪の場合、倒産ということが発生しないとも限りません。

このように、事業継続を阻害する要因は、単独の場合もあれば、複数の要素が絡み合って発生する可能性もあるのです。

そこでリスクの大きさは、発生の可能性と発生したことによって受ける影響の度合いをかけ算したものと考え、ポイントが大きいものほど、リスクも大きいと考えるといいでしょう。

自社に起因するリスクについては、リスクを発生させない、発生しても被害を最小限に食い止めるといった施策を講じることになります。

リスク分析を行うときに必ず実施していただきたいのが、リソースの調査です。リソース調査は文字通り、業務を継続するために必要な人、もの、お金に情報を加えた4つの要素をその対象とすべきです。生産設備を持つ会社であれば、施設と設備に加えて、エネルギー、原材料、業務に関するスキルを持つ要員、生産管理システムの稼働といったリソースを洗い出し、その上で、業務活動が停止した場合に目標とする復旧時間内での回復に必要なリソースを明確にします。ここで注意していただきたいのが、そのリソースそのものが、代替えが可能かそうでないのかを明確に分けておくことです。

複数の要素が絡み合うだけに整理するのは大変ですが、このリソース調査がいい加減のままですと、いざBCPが発動されても、想定外のことが多くなり、あちら、こちらでボトルネックが発生することになり、想定された時間での事業復旧が難しくなります。

リスクシナリオと影響度分析は相互に影響し合う

リスクシナリオの作成と影響度分析は密接な関係を持っています。影響度分析の流れは一般的には以下のようになります。

  1. 中核業務を決める
  2. 事業に与える影響度を調査する
  3. 業務遂行のためのリソースを調査する

これらのステップで得られた影響度分析の中から、得られた中核事業の継続に必要とされるリソース一つ一つに対して、失われたときの対処を考えなければなりません。手始めは、リソースの一つだけが欠けたという想定から始めてもいいでしょう。しかし、社内に起因するリスクを考えるのであれば一つのリソースが欠けるだけという場面は想像できますが、震災のような災害の発生では、複数のリソースが同時に失われることにもなります。

影響度分析と同じように、中核事業を継続するために一番重要な役割を持つリソースから順に、重要度を設定し、複数のリソースが欠落した場合を想定してリスクシナリオを作ることが必要になるのです。

株式会社OSK
ソリューション本部 ITコンサルタント課 コンサルタント 石山 修 氏

システム監査技術者/テクニカルエンジニア(システム管理)
情報セキュリティスペシャリスト/ISMS審査員補

金融機関においてシステム開発業務を経験後、システム監査・情報セキュリティ監査から情報セキュリティ対策支援、システム運用管理支援といった情報システムに関するリスク管理を中心にコンサルティング業務を行う。データセンター事業にけるBCP運用支援など幅広い領域でのコンサルティング業務に従事している。

株式会社OSK

<コラム>BCPここが鍵

第4回 リスク分析はいつも経営者が行っています

「リスク分析」という響きは何か特別なことを行うような印象を与えます。しかしながらそれは、会社を経営するにあたって、経営者が頭の中でいつも行っていることです。

多くの経営者の頭の中には、リーマンショックのことがトラウマとなって残っています。売り上げが突然半減し、社員数を削減するか、出勤日を減らすかなど日々悩まされました。なんとか市場が落ち着いてきたかと思うと、東日本大震災が起き、タイの水害が起きました。あのころのことを考えるので、資金繰りにも余裕を持ちたいのです。

いつまた、金融ショックや、大地震、または大噴火などが起きるかわかりません。もっと身近なところでは、明日突然、最大顧客の契約が別の会社に奪われるかもしれません。そうしたことは経営者が日々何かを判断する際に良く考えていることです。どんな原因によって、自組織にどんな影響がありそうなのか、つまり何が起きることに備えることが重要なのか、それを考えることがリスク分析です。経営者がいつも考えているリスクと全く整合性のない「リスク分析」という作業は止めにしましょう。

その他のコラムを見る

ニュートン・コンサルティング株式会社
代表取締役社長 副島 一也(そえじま かずや) 氏

1991年、日本アイ・ビー・エムに入社。トップセールスとして活躍。1998年より、英国にて災害対策や危機管理などのコンサルティングを行うNEWTON ITの立ち上げに参加。取締役を経て代表取締役に就任。2005年のロンドン同時多発テロからのBCP発動も経験する。2006年、現在のニュートン・コンサルティングを日本で設立し、代表取締役に就任。英国で培ったリスクマネジメントのノウハウを日本で展開し、多くの企業に真に役立つ経営システムを提供すべく、常に最先端の取り組みを推進している。(社)日本BCP促進協会 理事、BCAO理事等を務める他、危機管理分野における第一人者として講演実績も多数。

ニュートン・コンサルティング株式会社

無料でBCPの資料がダウンロードできます

ダウンロードしてご活用ください

BCPについてわかりやすく紹介したPDF資料や動画をご用意いたしました。ダウンロードしてご活用ください。

  • 過去の関連資料もまとめてダウンロードできる!
  • どれだけダウンロードしても全て無料!

資料をダウンロード(無料)

まずはお気軽にご相談ください。

製品の選定やお見積りなど、100万社ものお客様に支えられた多数の実績でお客様のお悩みにお応えします。まずはお気軽にご相談ください。

お電話でのお問い合わせ

【総合受付窓口】
大塚商会 インサイドビジネスセンター

03-6743-1671(平日 9:00~17:30)

Webでのお問い合わせ

お問い合わせ

*メールでの連絡をご希望の方も、お問い合わせボタンをご利用ください。

ページID:00094876