タグ
セキュリティ

緊急時対応計画の例:ビジネスで予期せぬ事態に備えるための段ステップバイステップのガイド

空港の除雪車

ある企業がどのような企業かは多くの場合、制御不能な出来事にどのように対処するかによって判断できます。たとえば、破壊的なテクノロジーにどのように対応するか、市場の突然の変化にどのように対処するかが、成功と失敗の分かれ目となる可能性があります。

非常事態計画は、不測の事態に備えるための技術です。しかし、どこから始めればよいのでしょうか? また、ビジネスに深刻な害を及ぼす可能性のある脅威と、それほど重大ではない脅威をどのように区別するのでしょうか?

ここでは、ビジネスが直面しているあらゆる事態に対する緊急時対応計画を立てるのに役立つ、重要な定義、ベスト・プラクティス、強力な例をいくつか紹介します。

緊急時対応計画とは何ですか?

「事業継続計画」または「緊急対応計画」とも呼ばれる事業非常事態計画は、意図しない中断後に組織が通常の業務運営を再開できるようにするための行動計画です。組織は、自然災害、計画外のダウンタイム、データ損失、ネットワーク侵害、顧客需要の突然の変化など、さまざまな脅威に対処するための非常事態計画を作成します。

まずは、計画を立てる必要があるさまざまな最悪のシナリオを提案する一連のもしも」の質問から始めるのがよいでしょう。 次に例を示します。

  • 重要な資産が故障し、生産が遅れた場合はどうなるのか?
  • トップ3人のエンジニアが同時に辞めてしまったら?
  • マイクロプロセッサーの製造国が突然侵略されてしまったら?

適切な非常事態計画は、組織が直面するリスクに優先順位を付け、対応チームのメンバーに責任を委任し、企業がネガティブな出来事の後に完全に回復する可能性を高めます。

強力な非常事態計画を策定するための5つのステップ

1. リスクのリストを作成し、可能性と重大度に応じて優先順位を付けます。

非常事態計画策定プロセスの最初の段階では、利害関係者は企業が直面する潜在的なリスクのリストをブレインストーミングし、それぞれについてリスク分析を行います。チーム・メンバーは、起こりうるリスクについて話し合い、それぞれのリスクの影響を分析し、全体的な準備を強化するための行動方針を提案します。企業が直面するすべての脅威に対してリスク管理計画を作成する必要はなく、意思決定者が通常のビジネス・プロセスに影響を与える可能性が高く、影響を与える可能性があると評価する脅威だけを作成する必要があります。

2. ビジネス・インパクト分析(BIA)レポートを作成する

ビジネス・インパクト分析(BIA)は、企業のさまざまな事業部門が予期せぬ出来事にどのように対応するかを理解する上で重要なステップです。そのための方法の1つは、リスクにさらされている事業部門が企業収益をどれだけ生み出しているかを調べることです。BIAでその割合が高いことが示された場合、企業はこのビジネス・リスクに対する非常事態計画の作成を優先したいと考えるでしょう。

3. 計画を立てる

企業が直面する潜在的な脅威のうち、発生する可能性が高く、事業運営への影響の可能性が高いものについて、次の3つの簡単な手順に従って計画を立てることができます。

  • 計画を実行に移すきっかけを決める: たとえば、ハリケーンが接近している場合、その嵐がいつ行動を起こすきっかけになるのでしょうか?50マイル離れたところ? 100マイル先?チームには、割り当てられたアクションの実行をいつ開始するかを理解できるように、明確なガイダンスが必要です。
  • 適切な対応を設計する:組織が対策を準備していた脅威が到来したら、チームは行動を開始します。明確で手に届きやすい指示、従いやすい手順、他の関係者との通信手段が関係者全員に必要です。
  • 責任を明確かつ公平に委任する: 他の取り組みと同様、非常事態計画策定を成功させるには、効果的なプロジェクト管理が必要です。これに対処する実証済みの方法の 1 つは、RACI チャートを作成することです。 RACI は 責任、責任、相談、情報提供 を意味し、チームや個人が責任を委任し、リアルタイムで危機に対応するのに役立つプロセスとして広く使用されています。

4. 組織全体から賛同を得て、コストについて現実的になる

決して起こらないかもしれないことに資金を投入することの重要性について納得してもらうことは難しいかもしれませんが、ここ数年で起きた事象から何らかの教訓を得たとすれば、適切な非常事態計画を準備しておくことは非常に重要であるということです。

パンデミックが引き起こしたサプライチェーンの問題や深刻な物資不足、あるいはロシアのウクライナ侵攻がもたらした世界のサプライチェーンの混乱について考えてみましょう。強力なプランBを策定することの価値をビジネス・リーダーに納得させるには、計画のコストだけでなく、計画を導入しなかった場合に発生しかねないコストなど、全体像に目を向けることが重要です。

5. 計画を定期的にテストして再評価する

市場や業界は常に変化しているため、緊急時対応計画が発動されたときに直面する現実は、その計画が作成されたときの現実とは大きく異なる可能性があります。計画は少なくとも年に1回テストし、新しいリスク評価を実行する必要があります。

緊急時対応計画の例

ここでは、さまざまな種類の企業がリスクにどのように備えるかを示すモデル・シナリオをいくつか紹介します。ここで説明する3ステップのプロセスを使用して、組織が直面するあらゆる脅威への非常事態計画のテンプレートを作成できます。

ネットワーク・プロバイダーが大規模な停止に直面

貴社のコアビジネスが顧客にとって非常に重要であり、ほんの数時間のダウンタイムでも数百万ドルの収益損失につながる可能性があるとしたらどうでしょうか?多くのインターネットおよび携帯ネットワークは毎年この課題に直面しています。ここでは、この問題に直面する準備をするための非常事態計画の一例をご紹介します。

  1. リスクの重大性と可能性を評価する:Open Gearによる最近の調査(ibm.com外部のリンク)によると、平均的な四半期でネットワーク停止を回避しているグローバル組織はわずか9%です。これらの攻撃についてわかっていること(数百万ドルの損害を引き起こし、企業の評判に計り知れない損害を与える可能性があります)と考え合わせると、このリスクは、企業に生じかねない潜在的な損害の観点から、可能性が非常に高く非常に深刻であると考える必要があります。
  2. 計画を実行に移すきっかけを決める:この例では、意思決定者は、いつ停電が始まる可能性が高いかを知るために、どのような兆候に注意すべきでしたか?これには、セキュリティー侵害、差し迫った自然災害、または過去に停止に先立って発生したその他の事象が含まれる場合があります。
  3. 適切な対応策を講じる:組織のリーダーは、自社が直面するサービスとデータのカテゴリーごとに、合理的な目標復旧時間(RTO)と目標復旧時点(RPO)を決定する必要があります。RTOは通常、日、時間、分などの単純な時間指標で測定されます。RPOは、ネットワークを通常動作に復旧するためにバックアップ・システムから迅速にリカバリできるファイルの最小/最大保存期間を決定する必要があるため、少し複雑です。

予期せぬ食材不足に直面した食品流通会社

さまざまな地域や国を経由する複雑なサプライチェーンが中核事業にある場合、それらの場所の地政学的状況を監視することは、事業運営の健全性を維持する上で非常に重要になります。この例では、サプライチェーンにとって重要な地域の変動により、どうしても必要な食材が不足したときの対策をしている食品流通業者を見ていきます。

  1. リスクの重大性と可能性を評価する:この会社のリーダーは、原料を調達している地域のニュースを注視しており、政情不安の可能性を懸念しています。同社はベストセラー商品の製造にこの原料を必要としているため、このリスクの可能性と潜在的な重大性の両方を高いと評価しています。
  2. 計画を実行に移すきっかけを決める:その地域で戦争が勃発すると、すべての出入国港が閉鎖され、空路、道路、鉄道による国内輸送が大幅に制限されます。その食材の輸送は、地域に安定が戻るまで困難になります。
  3. 適切な対応策を立てる:会社のビジネス・リーダーは、この問題に立ち向かうために、2つの側面から非常事態計画を作成します。まず、価格変動が起こりにくい地域で、この食材の代替サプライヤーを積極的に探します。これらのサプライヤーはコストが高く、切り替えに時間がかかる可能性がありますが、戦時に生じる一般的な生産中断の全体的なコストを考慮すると、コストに見合う価値があります。次に、自社の商品に使用できるこの食材の代替品を探します。

顧客のデータ侵害のあるソーシャル・ネットワーク

大規模なソーシャル・ネットワークの管理者は、自社のアプリにサイバー・セキュリティーのリスクがあることを認識しており、その解決に取り組んでいます。修正前にハッキングされた場合、顧客の機密データが失われる可能性があります。

  1. リスクの重大度と可能性を評価する:ソーシャル・ネットワークとして頻繁に攻撃の対象となるため、この事象の可能性は高いと評価しています。また、顧客の機密データを失うと訴訟の憂き目にあうため、自社への潜在的な損害の重大性も高いと評価しています。
  2. 計画を実行に移すきっかけを決める:エンジニアはソーシャル・ネットワークのリーダーに、攻撃が検出され、顧客の機密情報が漏洩したことを知らせます。
  3. 適切な対応策を講じる:ネットワークは、攻撃時に救援に駆けつけ、情報システムの安全確保とアプリの機能回復を支援する特別な対応チームと契約します。また、顧客データの安全性を高めるためにITインフラストラクチャーも変更します。最後に、評判の高いPR会社と協力して、個人情報が漏洩した場合に顧客を安心させるためのアウトリーチとメッセージングの計画を準備します。

非常事態計画策定の価値

ネガティブな出来事によって事業運営が中断された場合、適切な非常事態計画が組織の対応構造と規律を確立します。危機の間、意思決定者や従業員は、自分たちのコントロール超えた出来事の積み重ねに圧倒されることがよくありますが、徹底的なバックアップ計画を立てることで、自信を回復させ、業務を通常の状態に戻すことができます。

組織が強力な非常事態計画から期待できるメリットをいくつか紹介します。

  • 復旧時間の改善:適切な計画を立てている企業は、準備していない企業よりも、破壊的な出来事から早く回復します。
  • コスト削減 — 財務面でのコスト評判低下が招くコスト:優れた非常事態計画は、企業に対する財務面の損害と評判へのダメージを最小限に抑えます。たとえば、ソーシャル・ネットワークでのデータ侵害により顧客情報が漏洩すると訴訟に発展する可能性がある一方で、個人情報の安全確保について顧客が企業を信頼できず、ネットワークを離れることにした場合、長期的な損害が発生する可能性もあります。
  • 信頼と士気の向上:多くの組織は非常事態計画を使用して、会社に降りかかる可能性のあるあらゆる事態を考慮していることを従業員、株主、顧客に示すことで、「自分たちの利益を考えていてくれる」と信頼感を得ています。

緊急時対応計画ソリューション

IBM Maximo Application Suiteは、企業が変化する状況に迅速に対応できるよう支援する、クラウドベースの統合ソリューションです。人工知能(AI)モノのインターネット(IoT)、高度な分析の力を組み合わせることで、組織は最も価値のある資産のパフォーマンスを最大化し、資産の寿命を延ばし、コストとダウンタイムを最小限に抑えることができます。

著者

Mesh Flinders

Staff Writer

IBM Think