BCPの根幹をなすリスクの洗い出しとその活用方法

　BCP策定にあたり、その根幹となるものが「想定リスク」です。想定リスクは自然災害に限ったものではなく、事故や感染症、政治経済リスクまで多岐にわたります。これら膨大なリスクをまとめるのは大変ですが、まとめるだけでは不十分でもあります。リスクを一覧化し、優先順位を付け、対策を選定し、その対策が実現性のあるものなのかどうかまで確認する必要があります。本ページではリスクの洗い出しから対策の選定まで、順を追って方法や事例を詳細に説明いたします。

リスクマネジメントの一つであるBCP

　BCPとは自然災害やテロといった災害時発生時に、事業を速やかに復旧させ、企業の継続を図るための取り組みです。さまざまなリスクへの対策を講じる必要があることから、リスクマネジメントの一環として捉えられています。

企業経営におけるリスク

　企業経営にはさまざまなリスクが存在します。たとえば地震や洪水といった自然災害だけでなく、火災や伝染病の流行、製品事故、IT関連事故、SNSを主とした風評被害など、その内容は多岐にわたります。

　事業主には自社を守る責任があり、上記のようなさまざまなリスクにも対応していかなければなりません。そのためにも、あらゆるリスクを想定し、適切な対策や予防策を講じること、すなわち「リスクマネジメント」が求められます。

防災計画

　防災計画もリスクマネジメントの一環です。なお防災計画とBCPは「企業防災」と呼ばれます。企業防災における防災計画とは、「災害発生時に企業が従業員の命を守るための計画・準備」と位置付けられています。

　防災計画にはたとえば地震や洪水、テロといった災害を想定し、日常的な防災訓練の実施や食糧などの防災用品の備蓄、災害発生時のマニュアル作成などが含まれます。

防災計画とBCPの違い

　前述のように、防災計画とBCPはあわせて「企業防災」と呼ばれます。防災計画とは、災害発生時に従業員の安全・人命保護を目的としたものです。対して、BCPは災害発生時に業務を速やかに復旧させることを主眼に置いています。

　防災計画とBCPは、どちらも災害を想定しさまざまな備えを行うことに変わりありませんが、両者の目的には明確な違いがあります。

BCPにおけるリスク作成

　BCPはあらゆるリスクに対応した処置・予防策を講じるものです。BCP策定は、まずリスクをリストアップすることから始まります。

想定リスク一覧の洗い出し

　企業にはさまざまなリスクがつきものです。実効性の高いBCPを策定するためにも、事業に直接影響を持つリスクについて、綿密に洗い出す必要があります。なお、一般的な経営リスクには、大きく分けて以下の9グループがあります。

1．自然災害リスク
2．事故リスク
3．オペレーションリスク
4．情報セキュリティリスク
5．法務リスク
6．不正・内部統制リスク
7．政治・経済リスク
8．人事・労務リスク
9．労働安全衛生リスク

リスクの細分化

　前項の9グループの中には、より詳細なリスクが数多く含まれます。たとえば1グループの「自然災害リスク」には地震・台風・大雨・洪水・落雷・竜巻などがあります。「事故リスク」である2グループならば、火災・環境汚染・自動車事故・機器設備の故障・停電・断水・通信障害などが挙げられます。

　このように、各グループの中でさらに具体的なリスクをリストアップすることを、「リスクの細分化」と呼びます。BCPを策定する際には、グループ内で漏れのない細分化を行うことが重要です。リスクの細分化を詳細に行うことで、想定外のリスク発生を防ぎ、いかなるときでもBCPを機能させることができます。

リスクの優先順位付け

　リスクの洗い出しと細分化の次は、「リスクマップの作成」を行います。リスクマップとは、縦軸に「自社への影響・損害の大きさ」、横軸に「発生頻度」を取った表のことです。この表の中に、細分化した各リスクをマッピングしていきます。

　マッピングの結果、「自社への影響・損害の大きさ」と「頻度」が大きいものほど、企業が率先してリスク対策を行うべきものと考えることができます。つまりリスクマップの作成は、企業リスクに優先順位を付けることと考えることができます。

BCPにおけるリスクマップの活用方法

　BCP策定はリスクマップを基に行います。リスクマップの重要性や活用方法について、BCP推進の背景や意義を交えながら解説します。

BCP推進の背景

　BCPへの関心が年々高まる背景には、日本における自然災害の発生率の高さがあります。そもそも日本においてBCPに関心が集まりだしたのは、2001年の同時多発テロが契機でした。さらに日本は地震や台風などの自然災害が多いという「災害大国」という認識も拍車をかけました。

　2011年の東日本大震災はとくにBCPを強く意識させた出来事であり、震災前と比べてBCPを意識した企業は約3倍に増えています。さらに2020年の新型コロナウイルス感染症の流行も、BCPの普及を後押ししています。

BCPの目的

　BCPは災害発生などの緊急事態により、事業が中断に追い込まれた場合に、速やかに事業を再開させることを目的にした取り組みです。あるいは、事業の中断そのものを防ぐ目的もあります。

　業務の停止を防ぐには、まず、業務を停止に追い込む可能性のあるリスクについて把握する必要があります。続いて、想定しうるリスクのすべてに対し、予防策や対処方法を講じなければなりません。

体制の構築とその事例

　BCPによってリスクマネジメントを図るには、それを推進するための体制の構築が必要です。まず「住友化学工業」におけるBCP推進体制の例を参照します。

　住友化学工業では、BCP推進における役割に応じた組織を確立しています。たとえばグループ全体に係わるリスク管理については「内部統制委員会」が審議を行います。経営上の重要事項やリスクに関しては、「経営会議」にて審議を行います。内部統制員会と経営会議で審議された案件について、重要事項は取締役会に報告して審議を行います。

　次に「ブリヂストン」の例を参照します。ブリヂストンではBCP・リスクマネジメント・ワーキンググループが設立され、主に以下の5つの観点からリスクマネジメントに取り組んでいます。

・年に1度、グループ全体でのリスク分析・特定プロセスの改良・標準化
・グループ全体での危機管理・事業継続の定義と枠組みの作成
・リスク管理において緊急行動報告が果たす役割の強化
・グループ全体での出張リスク管理計画の策定
・危機管理におけるSBU間の支援プロセスのまとめ

　住友化学工業とブリヂストンの両社では、リスクマネジメントを行う部署を確立し、どの部署が何を担当し、どのようにリスクマネジメントしていくのかを明確にしています。BCP推進においては、「誰が」「何を」「どのように」行うのか明確にしておくことが大切です。

対策の選定

　BCPの実効性を高めるには、リスクマップで表したリスク一覧と事業影響度を比較します。それにより、「このリスクが起きた場合に、事業継続における弊害となる事柄」の洗い出しを行います。

　対策は、ボトルネックに対する解決法を確立することを指します。なお、対策は一度決めて終了というものでありません。企業を取り巻く状況は常に変化し、災害による被害もまた一定ではないからです。万全にしたつもりの対策も、想定外の事態が起これば意味がありません。定期的に見直しを行い、時代や自社の状況に即したものに更新し続けることが大切です。

BCPの運用

　BCPを策定したら、実際に運用していきます。BCPの運用は、BCPサイクルを回すことを指します。

BCPは策定だけでは不十分

　BCPは策定すれば終わりではありません。定期的に見直し、更新していくことが大切です。このようにBCPを常に変化させ続けることは「BCPサイクルを回す」と表現されます。

　BCPサイクルとは「事業の理解」「BCPの準備」「BCPの策定」「BCPの定着」「BCPのテスト、維持・更新」の5つから成ります。これらを順番に回していくことで、BCPは流動的に変化を続け、その時代に即した内容に更新し続けることができます。

　なお、BCPは日頃から従業員に意識づけることが大切です。緊急事態には混乱して、なにから手を付ければよいのか判断できないことが多々あるからです。平時での訓練や内容の確認を積み重ねることで、いざというときでも各従業員がスピード感を持ってBCPに取り組むことができます。

BCPを用いた訓練

　BCP訓練は日頃から少しずつ積み重ねることが大切です。日頃の防災訓練にBCP要素を加えたり、訓練をBCPの一部に限定したりし、身近なところから取り入れていくことが望ましいでしょう。

　訓練方法には「机上訓練」「電話連絡網・緊急時通報診断」 「代替施設への移動訓練」などがあります。上記の訓練は、具体的な対策を提示することで、各従業員にBCPをより強く意識づけることを可能にします。なお、実践訓練は、その対策の有効性や実行可能かどうかという判断材料にもなります。

BCPと想定リスク

　BCPにおいて、事業に起りうるリスクの洗い出しは最も重要です。そのため、想定リスクは漏らさずリストアップしなければなりません。実効性の高いBCPを策定するために、洗い出したリスクを基に、リスクマップの作成を行いましょう。さらに、実際に訓練を行って従業員への意識づけと同時に、BCP対策の実現性や有効性を常に見直し続けることも必要です。