BCP策定と運用のポイント
BCPは、リスクによりITシステムの使用が不可となり通常の業務継続できないことを想定し、企業として最低限の業務を継続すると共に、システムの早期復旧を実現する考え方です。「BCP策定と運用のポイント」を、基幹システムの停止を想定したBCPの事例から解説します。
BCPとは?
テロ、天災、システム障害等のリスクによりITシステムの使用が不可となり通常の業務継続ができないことを想定し、企業として最低限の業務を継続すると共に、システムの早期復旧を実現するための基本的な考え方です。
BCP策定・運用するためには、「業務面での導入・手順化」「情報システム面での導入・手順化」の連携が必要条件となります。
BCPとリスクマネジメント
リスクマネジメントの一部として、位置づけられ、特に不測の事態に対する事業継続に焦点を置いたものがBCPと考えられます。
BCPの大きな特性は、「目標復旧時間(RTO;Required Time Objective)」を定めることです。
この目標復旧時間は、事故・災害・事件などが発生した場合に、その発生時から基幹事業の再開までの企業が設定する「目標とする復旧時間」です。
リスクシナリオの設定
原因に限定せず、「業務継続を行わないと、リスク範囲を広げ自社への影響を拡げる事態は何か?」を選定するのがリスクシナリオの設定となります。このリスクシナリオの設定がBCPのスタートになります。
基幹業務システムが停止した場合のリスクシナリオでは以下のリスクがステークホルダへの影響が及ぶ業務として代表的なリスクシナリオと考えられます。
・製造の停止
・出荷の停止
・買掛金、一般経費、社外支払の停止
・決算の停止
ビジネス影響度の評価
ビジネス影響度の評価では、発動基準の明確化につながる一連のプロセスです。
ビジネス影響度分析の目的:
①事業継続・復旧の優先順位付け
②ボトルネックの特定
③目標復旧時間(RTO)の設定
ビジネス影響度分析では、組織における重要な事業・業務(基幹事業・業務)・プロセス、それに関連するリソースを特定し、事業継続に及ぼす影響の分析を行います。
ビジネス影響度の分析では、ステークホルダ・自社にとっての影響を及ぼすプロセスを選定することです。
事業継続の分類
日常と同様に業務を継続する
要因に対して影響を受けない業務は日常と同様に業務を継続する。
日常とは異なる代替手段で業務を継続する
影響が大きく、停止が困難な内容として、手運用等の別の手段で業務を処理する。復旧後にその情報をまとめて入力する。
業務継続 作業手順の作成方法
共通前提条件を設定すること
コミュニケーションについての共通前提条件の設定を行います。
(例)
・社内外へのデータ又はメール発信の際には、決定された権限者の内容確認及び承認を必要とする。
・緊急対応業務終了時には、報告書の作成及び権限者への提出・承認を必要とする。
システムフローの確認すること
業務のシステムフローを確認します。(業務へのインプットのデータとアウトプットのデータを確認します。)
これにより業務継続のために必要なバックアップファイルの要求を洗い出すことができます。
業務別前提条件の設定
・業務継続のために必要になるデータの条件
・コンプライアンスにおける権限分離の観点からの作業者と承認者の分離の要件
・業務継続のための必要条件
業務別全体フローの作成
以下の分類を行い、全体フローを作成します。
・社外広報
・社内広報
・業務継続対応手順
作業手順の作成
代替手段での運用のための作業ステップと、必要なツールを列挙します。
・手作業対応のために必要な応援要員数
・手作業処理手順書や伝票、白紙帳票の整備・保管
・台帳の作成、保管または臨時可視元帳、台帳(ダンプリスト等)の緊急時取得の方法
・公印、事務用品等の品目、必要量
・事務機器(パソコン、集計ソフト等、ワープロ、電卓、複写機、ファクシミリ等)の機種、台数等
必要ツールの準備
手順の作成後、抽出された項目に対する準備を実施します。
主に以下の活動を行うことになります。
・バックアップデータの作成・保存の仕組みづくり
・ブランクフォーム様式の作成と保管のルール
・必要機器の準備
・各種台帳の作成
テスト
テストは、BCPの有効性を検証するために必要なものであり、実際に対応手順を経験することで対応力の強化にもつながります。作成した作業手順及び、ツールを利用した業務継続の有効性を確認します。(机上での確認と実機での確認を組み合わせます)
テスト項目は継続的に利用していくため、「テスト計画」として文書化します。
教育
教育教育・訓練の計画は、組織全体および各部署にて行います。
教育・訓練の主催者は年間の「教育・訓練計画書」を作成し、実施状況は「教育・訓練実施記録」として保存します。
監査計画
BCPは時々の事業環境に適応させ、常に見直しをする必要があるため、必要な変更が適切に行われている必要があります。
このために、BCPの監査を適切に実施することが重要になります。
BCPの監査では、最新性および実効性の観点から実施できるよう、監査計画に組み込みます。
BCP監査項目の例
・BCPの最新版が定められた場所に保管されているか
・BCPのテスト結果に沿って、見直しが行われているか
・緊急連絡網を含む各種リストが最新版に更新されているか
・BCPにおいて想定されている脅威等が評価され、その結果で見直しがされているか
・経営陣の承認が得られているか
BCPを他社と差別化するための経営戦略と位置づける企業が数多く見受けられ、BCPの水準を利害関係者である株主や取引先にアピールすることにより企業価値を向上させようとしています。また、サプライチェーンネットワークの形成により、取引先とのBCP連携が不可欠になっています。
資料ダウンロードサービス
基幹業務システム停止を想定した事業継続計画作成ガイド~業務継続の視点から~
基幹業務システムが停止した事態であっても業務を遂行(継続)するための緊急時業務対応手順を、「手順」と「役割」という観点から定める方法をご紹介いたします。