各省庁の事業継続ガイドラインなどにより、重要性が広まりつつある事業継続マネジメントシステム(BCMS)。来年にはISO化が見込まれ、現在はBS25999として認証取得が進んでいる。3月11日に東日本大震災が起きたことで、企業の危機管理能力がこれまで以上に問われ、BCMSも注目されている。こうした中、認証業務を核にさまざまなサービスを提供するDNVでは、BCMSの必要性を訴え、関連する新たなサービスを積極的に展開している。(ISOマネジメント誌より転載)
BCMSの重要性が増す中、DNVでは、ISO認証などの認証サービスを中心に、トレーニング(教育)サービス、アセスメントサービスなどについて、事業継続の観点を踏まえたサービス提供に注力している。 規格の認証サービスにおいては、今回のような震災のほか、原発、インフルエンザ、システム障害などあらゆる脅威を含め、さまざまなシナリオを想定した監査を実施し、マネジメントシステムをきちんと保障する“実行力のある監査”ができるのがDNVの特徴だ。 古川さんは「マネジメントシステムは規格通りに構築するだけでは意味がない。しかし、認証機関の中には、規格通りにしているか、文書ができているかといったことだけで認証書を発行しているところもある」と残念がる。 また、ISO9001やISO14001は、日々の活動のなかで品質や環境が向上したという成果がある程度見えてくるが、BCMSは該当する脅威が表面化して初めてその実行力が現れてくる。古川さんは「本当に危機的な事態が起こったときに、有効な仕組みとして機能するのか、そして認証機関はそれをどこまで保障するのかが重要。現在、国内ではBS25999の認証を取得している組織は25あるが、今回の震災時にきちんと機能したのかどうか。事業継続に関する認証は増えていくだろうが、それが使えるものかどうかが問われてくる」と話す。「品質や環境は平時の話だが、大地震のようなインシデントが起こったら平時から緊急時になり、そのときにBCPの出番となる。それに基づいて発動し、計画通りに粛々と実行できるか。そのためには、平時においていろんなリスク分析をして想定し、緊急時にすぐに行動できるよう演習をすることが非常に重要になってくる。もっと具体的に例を出せば、マニュアルも水にぬれても大丈夫なように保管をどうするか、といったことにまで思いを馳せなくてはならない」と中山さんも他のマネジメントシステムとの違いを話す。
マネジメントシステムを「使えるもの」にするにはどうしたらいいのか。それには、「実行力あるBCMSかどうかがわかる監査員」によって監査されることが必須だ。監査を受ける企業が「規格の要求事項に書いていない」と反発しても、「これでは不十分」と的確な指摘ができるかどうか。例えば、要求事項には「訓練を実施すること」とはあっても何回やるべきかは書かれていない。訓練した報告書があるからとOKにしてしまうのか、これでは弱いと指摘するのか。「それは監査する人の経験によって異なってくる」(古川さん)が、DNVでは経験豊富な監査員が揃っており、そうした監査員らの意見を集めてBCMSが妥当かどうか検討していく。 中山さんは「起こりうるリスクに基づいていなければ実質的なものではない。形骸化しないように、常にリスクがどうなのかを見るのがわれわれの監査のポイント」と話す。手順が妥当だったのか、その手順を知っていたのか、どういうふうにマネジメントされていたのか…という視点で監査を行うのである。 さまざまなIT障害の現場でリスクが何かを見極めてきた古川さんは、その経歴から、「マネジメントの裏づけも必要」とつけ加える。評価時は短時間でトップインタビューから現場や文書の確認などを行わねばならないが、「きちんとしている」という言葉の裏づけとなるものが整理・保管されているかという視点も重要ということだ。中山さんは「いかに事実を引き出すかが監査員の腕の見せ所。高圧的な質問の仕方は避け、相手が話しやすいように聞き方を工夫したりする。そうでないと的確な指摘ができない」と監査における留意点を話す。
DNVではBCMS、BS25999の理解が進むようトレーニングコースにも力を入れており、その講師として古川さんや中山さんも活躍中だ。
また地震、インフルエンザ、IT障害など想定しうるシナリオごとにチェック項目を立て、アセスメントも提供する予定だ。5段階評価で3以上であればある程度できているといえるが、それ以下であれば見直しが必要で、実行力のあるBCMSの構築の手助けとなる。チェック項目は、官庁や自治体、業界団体などからすでに出ているさまざまなルールを吟味・集計してつくられており、網羅性があるのが特徴だ。
個別の取引先に対しては、書類だけでなく依頼企業の代わりに現場に赴いて調査するサービスも実施する。さらに、WEBによるリサーチサービス「DNVeリサーチ」も稼動させる。例えばメーカーが自社サプライヤー100社にアンケートを行ってBCMSへの取組み状況を申告してもらい、これを集計し、傾向を把握するものである。100社にリサーチしたあとに10社に絞ってアセスメントを行う、という活用の仕方もある。
DNVが次々とこうしたサービスを提供する背景には、BCMSの必要性が高まってきているのはもちろんだが、必ずしも認証を取得しようという企業ばかりではないことも挙げられる。「今や国際標準だから導入しようという時代ではない。日本のように成熟している国だと、自社にあったもの、自社に事業継続が必要だから採用しようという動きが目立つ」と古川さんも指摘する。BS25999がISO化されても、認証取得に囚われることなくさまざまな視点・手法を導入することでリスクをアセスメントしていけば、真に機能するBCMSの構築につながるだろう。
ヨーロッパにおけるリスクマネジメントサービス実績