- HOME
- >> セーフティー・ジャパン
- >> 情報セキュリティ
その災害対策は機能しない(後編)
Part2 備え
リスク分析とテストで投資対効果を高める
Part1 では、実際に遭わなければわからない落とし穴を紹介した。当然ながら、これらを教訓とするには、対策の幹となる業務継続計画が必要となる。企業によって、実効性のある計画の内容は異なる。しかし、実効性を持たせるためにすべきことは決まっている。業務の重要性を明らかにしたうえで災害リスクを分析し、テストを行って改善を続けることである。
2005年7月25日
業務継続計画が現場でうまく機能しないのは、計画を維持する取り組みが手薄だから」。 KPMG ビジネスアシュアランスの堀越シニアマネージャーは、災害対策で陥りやすい失敗を、こう指摘する。実際、同社の調査結果によると、策定した業務継続計画が妥当かどうかを定期的に監査・テストする、計画の内容を社員を教育するといった、形骸化しないための仕組みが盛り込まれていないケースが多い(図5)。
さらに同氏は、「維持管理体制を構築する前に、自社の業務と災害リスクの関係を分析し、有効な業務継続計画を作っていることが前提になければ意味がない」と続ける。
【クリックで拡大】
すなわち、災害対策では業務継続やシステム復旧の計画を策定することに目がいきがちだが、その上流の「リスク分析」と、下流である「テスト、改善」が重要、ということだ(図6)。
【クリックで拡大】
リスク分析がしっかりしていれば、福井豪雨で福井商工会議所の電気設備が水害に遭うことを予見できたかもしれ ない。中越地震の際に、森永乳業が代替拠点の切り替えで薄氷を踏む思いをしなくて済んだ かもしれない。
難しいのは、Part1 で紹介したように、実際に遭ってみなければ気が付かない事象がたくさんあること。机の上で考えているだけでは、すべてのリスクを見つけ出すことはできない。また、起こり得る事象が明らかになっても、どうすれば最も的確に、低コストで対応できるのかの解も見えづらい。では、どうすればいいのか。災害対策に熱心な先進企業の取り組みから、徹底した情報収集、業務リスクの数値化による投資の集中、計画に基づいた定期的な訓練、の三つが浮かび上がってくる。
この連載のバックナンバー
- その災害対策は機能しない(後編) (2005/07/25)
- その災害対策は機能しない(前編) (2005/07/13)
