事業継続管理(BCM)は、組織の重要な機能が運用可能であり続け、ステークホルダーへの影響を最小限に抑えることを保証します。戦略的計画の文脈において事業継続管理を実施するための実践的なステップを探りましょう。
ISO 22301に基づく事業継続管理のアプローチは以下を含みます:
- 重要なビジネス要素の特定
- 脅威とリスクの分析
- 訓練とシミュレーションを含む、予防と対応計画の作成
- インシデントの追跡と学習
これらの要素を戦略的計画に統合するために:
- 価値に基づく分解手法を採用します
- パフォーマンス指標で戦略と計画を定量化します
- 施策、リスク、およびコメントの形式で実行可能な記録を維持します
重要なビジネス要素の特定
私たちの目標は、事業継続にとって重要な主要なビジネス要素を特定することです。以下の視点を出発点として使用します:
- 情報システム
- 施設と場所
- パートナーとステークホルダー
- 人事資源
- 物的資産
- 財務資源
Business Continuity Management. 要素とサブ要素が定義されると、復旧時間目標(RTO)を設定することにより、リスクイベントに対する脆弱性を定量化することができます。
復旧時間目標について、以下を定義します:
- 測定単位(例:時間または日)
- 「ベースライン」として壊滅的な復旧時間
- 「ターゲット」として望ましい復旧時間
- 現在の値として、既存の技術と方針に基づく推定復旧時間
Business Continuity Management. このデータを使用して、緊急事態発生時における各ビジネス要素の脆弱性または準備状況のパフォーマンスを計算することができます。
この文脈において:
- 値が低い(例:復旧時間が速い)ほど、パフォーマンスは高くなります
- パフォーマンス関数は線形であってはならず、「壊滅的な」ベースラインの隣の広範囲が赤色ゾーンであるべきです
Business Continuity Management. BSC Designerにおいて:
- データタブで必要な復旧ベースライン、ターゲット、および現在の値を定義します。
- 「指数関数的減衰」関数を使用して、ターゲット付近の復旧時間のための比較的小さな緑色ゾーンと、より長い復旧時間のための大きな赤色ゾーンを持つパフォーマンス関数を作成します。
このソフトウェアは、時間の経過に伴う各ビジネス要素のRTOを追跡することを可能にします。
脅威とリスクの分析
これらの視点を出発点として潜在的な脅威を分析してください:
- 業務
- 技術
- 経済
- 労働力
- 安全とセキュリティ
- 環境
- 評判
- 法務
それぞれの関連する脅威について、具体的なリスクへの分解を行い、業務影響分析(BIA)を実施してください。
事業継続管理. 例えば、技術的な脅威を「サイバーセキュリティの脅威」に分解し、さらに「ランサムウェア攻撃」に細分化することができます。
この場合のリスクは、確率に影響を掛けた単純なリスク評価の公式によって定量化することができます。リスクを定義するさまざまな方法については別の記事で議論されています。
対応シナリオ
最も高いリスク影響推定スコアを持つ脅威に対する対応シナリオを作成してください。
典型的なシナリオには以下が含まれます:
- 事業継続計画(予防、対応、回復)
- コミュニケーションプラン
- 訓練およびテストプラン
これらの計画は以下で定量化できます:
定期更新メトリック
訓練カバレッジ
シミュレーション / 演習の成功
Business Continuity Management. 「シナリオ1 – ランサムウェア攻撃」を考慮してください。これは以下に分解されます:
- 事業継続計画
- 訓練およびテスト
「事業継続計画」セクションにはいくつかの施策が含まれます:
- 予防戦略
- 対応戦略
- 回復戦略
- コミュニケーションプラン
「コミュニケーションプラン」の中で、「計画の定期的な見直し」メトリックは更新頻度を定量化します。メトリックの担当者は、連絡先とその詳細が最新の状態であることを保証するために、定期的にコミュニケーションプランを見直すリマインダーを受け取ります。
Business Continuity Management. 「対応戦略」施策の有効性を検証するために、「シミュレーション / 演習」指標で定量化します。
「訓練およびテスト」セクションには、「フィッシング攻撃の訓練とシミュレーション」施策が含まれ、2つのメトリックがあります:
- 訓練カバレッジ
- シミュレーション / 演習
これらの継続計画は施策として提示されていますが、さらに詳細なサブゴールやメトリックに分解することが可能です。
インシデントまたは中断のマッピング
アクティブなインシデントをマッピングするために、中断の詳細と根本原因分析を含めます。
影響を定量化するために、次の要素を含む加重影響評価指標を使用できます:
財務への影響
顧客関係への影響(影響を受けた顧客の割合として定量化)
業務への影響(影響を受けた重要業務の割合として定量化)
法的およびコンプライアンスへの影響(罰金やその他の法的結果によって定量化)
長期的な評判への影響(危機に起因する1年間で失った顧客の割合として定量化)
事業継続管理. BSC Designerプラットフォームでこの指標を自動化するには、テンプレートからの同期機能を使用することを検討してください。これにより、影響の定量化基準を確立されたテンプレートと同期させた状態に保つことができます。
インシデントを解決した後:
- 「中断の詳細と分析」要素の終了日を更新します
- そのステータスを「完了」に変更します
- 得られた教訓と改善施策をマッピングします
- 「インシデント1」グループを「過去のインシデント」セクションに移動します。
指標の継承と更新間隔
定量化の性質に応じて、ビジネス継続性スコアカードの指標はさまざまな方法で構成する必要があります。
メトリクスの再利用(継承)
RTO(復旧時間目標)を定量化する指標は継承値を使用するように設定されています。実際には、現在の年に定義されたRTOが再定義されない限り、次の年にも自動的に適用されます。これらの指標の更新間隔は年次または半期ごとの更新に設定されています。
BIA(業務影響分析)を定量化するために使用される指標も継承値を使用するように設定されています。この場合、脅威の予想される動的性に応じて更新間隔を調整することが可能で、より動的な脅威には月次、安定した脅威には四半期/年次の間隔が使用されます。
事業継続管理. 以前の値(入力された値)を再利用しない指標
「定期的に見直された計画」「トレーニングのカバレッジ」「シミュレーション演習」など、事業継続計画を定量化するために使用される指標は、四半期または年次更新間隔に設定されています。この場合の継承オプションは「入力された値を使用」と設定されており、次の期間に前の値を再利用しないことを意味します。
例えば、計画が今年に見直されたとマークされた場合、翌年には再度計画を見直し、対応する指標の状態を更新する必要があります。
スケジュール更新のない指標
最後に、インシデントの影響評価に使用される指標の更新間隔は「なし」に設定されており、指標の現在の状態のみを把握し、その経時的な変化を監視する意図がないことを示しています。
文脈とデータによるリンク
ビジネス継続管理の基本的な概念は、以下の間の接続を確立することを含みます:
- 重要なビジネス要素
- 脅威とリスク
- シナリオ
- 実際のインシデント
これらの接続を作成することにより、私たちのチームは脅威に効果的に対応し、インシデントから学ぶために必要なすべての詳細を備えることができます。
戦略的計画にこの概念を実装するために、我々は文脈によりすべての要素をリンクします。この方法で、実際のインシデントから対応するシナリオに移動し、必要に応じて脅威とリスク分析を探索することができます。
ビジネス継続管理. BSC Designerで文脈を確立するには:
- ソースアイテム(例:関連するシナリオ)をクリップボードにコピーします。
- 宛先アイテム(例:シナリオがカバーするインシデント)を選択します。
- クリップボードから貼り付け、「文脈でリンク」または「データでリンク」を選択します。
文脈的接続は、両方のアイテムの「文脈」タブで利用可能です。
アイテム間を移動するには、関連する接続をダブルクリックします。
同じ論理を適用して、専用の戦略スコアカードを備えた対応戦略をインシデント、リスク評価、重要なビジネス要素と整合させることができます。
危機対応のための戦略スコアカード:COVID-19を例として
事業継続戦略は、組織が危機に備えるための全体的な準備を確保します。危機の規模に応じて、特定の対応戦略を設計することができます。COVID-19のパンデミックはその一例であり、そのような戦略は努力を集中させ、戦略的整合を確保するのに役立ちました。
COVID-19戦略を危機対応戦略の例として見てみましょう。この戦略スコアカードは、クラシカルなバランスト・スコアカードのアプローチに従いました:
Covid-19 Strategy Scorecard. 学習と成長の視点では、事業継続戦略を実行するために必要なスキルとインフラに焦点を当てます:
- COVID-19に関する従業員の教育(先行指標「認識プログラムの浸透率, %」および遅行指標「実際に実施された慣行の%」で測定)
- グローバルシナリオプランニングの実施(いくつかの具体的な施策が整合されています)
- リモートワークの課題に合わせたITシステムの整合
- リモートワークの原則を従業員に紹介
内部の視点では、事業継続戦略を効果的に実行するのに役立つ内部ビジネスシステムに関連する目標を策定します:
- 労働力の保護
- サプライチェーンの安定化
- ステークホルダーへの情報提供
- リモートワークの実施(分散チームのための戦略会議を含む)
ステークホルダーの視点では、ステークホルダーのニーズ(従業員、顧客、パートナー)に焦点を当てます。ここでは次のような目標をマッピングします:
- 医療ニーズへの影響予測
- 教育ニーズへの影響予測
- 日常ニーズへの影響予測
もう一つの重要なステークホルダーはコミュニティとそのニーズです。専用の非営利スコアカードを持っている場合、そこに類似の目標が見つかるでしょう。
事業継続戦略マップテンプレートには「コミュニティのニーズ」目標に整合したいくつかの施策が含まれています。これらの施策は、組織がどのように貢献できるかの可能性を示しています:
- 生産ラインの再利用。例えば、小売チェーンZaraのオーナーであるInditexは、病院用ガウンを製造を開始しました。
- 製品とサービスの再利用。例えば、Decathlonは病院にシュノーケルマスクを寄付しています。MSC GroupのSplendidは病院船に変換されました。
- 社会的距離の確保に貢献。例えば、チェコ郵便は宣言された緊急事態の期間中、「Datová schránka」を通じて無料の書留郵便を送信することを可能にしています。
旅行の制限により、多くの企業が対面イベント形式からオンラインイベントへと移行しました。ストリーミングプラットフォームのコストは低いものの、組織は参加者の注目を集めるために戦う必要があります。この記事では、顧客エンゲージメントと長期的なビジネス影響の点で安定した成果をもたらすことが証明されたオンラインイベントへのアプローチを共有します。
最後に、財務の視点では、関連する財務目標と期待される成果をマッピングします。この場合、以下のことについて話しています:
- 収益への影響
- 適用可能な保険ポリシー
Business Continuity Managementテンプレートを使用してください
BSC Designerは、組織が複雑な戦略を実施するのを支援します:
- プラットフォームで無料プランにサインアップしてください。
- 新規 > 新しいスコアカード > その他のテンプレートで、
Business Continuity Managementテンプレートを開始点として使用してください。 - 利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。
今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください!
Alexis Savkinは、戦略実行アーキテクトであり、戦略実行およびバランスト・スコアカードのソフトウェアプラットフォームであるBSC Designerの創設者です。彼は、組織がパフォーマンス管理を自動化し、戦略を測定可能な成果へと転換することを支援しています。Alexisは「Strategy Execution Canvas」の作成者であり、戦略およびパフォーマンス測定に関する100本以上の記事の著者で、業界イベントで定期的に講演しています。