BCPで想定される主なリスク一覧と洗い出すときのポイント

近年、大規模災害の増加やパンデミック、不安定な社会情勢など事業経営の継続に大きな影響を与えるリスクに備える必要性が高まっています。そのようなリスクマネジメントに欠かせないのが「BCP（事業継続計画）」で、国を挙げてBCPの策定と実行できる体制づくりを推進しています。そこで今回はBCPの基礎知識と備えるべきリスクについて解説します。

BCP（事業継続計画）の概要

BCPを策定することは、いざというときに企業、経営者、従業員、取引先を守ることにつながります。その結果、顧客からの信用の維持や評価が高まることも期待できるでしょう。その理由とBCPの目的について解説します。

BCP（事業継続計画）とは？

BCPとは「Business Continuity Planning」の頭文字からなる略語で日本語では「事業継続計画」といいます。自然災害や火災、テロ攻撃、感染爆発（パンデミック）による社会的な機能不全といったさまざまな緊急事態が発生した際にあらかじめ備えることで、事業や組織の損害を最小限に抑えつつ、業務の継続や早期復旧を目指します。

BCPとしばしば混同されるのが「BCM（Business Continuity Management）」があります。BCMは日本語では「事業継続マネジメント」といい、事業継続計画の策定・導入・運用・見直しという一連の継続的改善活動を管理するための包括的な運用を示す考え方です。 
BCMで定めた運用プロセスに基づき、BCPで緊急時ごとの具体的なアクションを策定する、と考えるとわかりやすいでしょう。

BCPにおいてリスクの洗い出しが重要な理由

BCPを策定する第一歩として「備えるべき災害」と緊急事態が発生した際の「復旧・継続する事業」の優先順位を決める必要があります。もちろん、考えられるすべての災害に備えてすべての事業を継続するのが理想ですが、発生しうる全部のリスクに備えることは現実的に困難です。そのため、大規模な自然災害からヒューマンエラーなどの人災まで幅広いリスクのなかから、地域性や費用対効果、発生したときに自社に与える影響の大きさなどを考慮して優先順位を決める必要があります。

※出典：中小企業庁「中小企業BCP策定運用指針」 

https://www.chusho.meti.go.jp/bcp/contents/level_c/bcpgl_01_1.html

BPOサービスとは？アウトソーシングとの違いやメリット、選び方のコツ

BCPで想定される主なリスク一覧

BCPのリスクは要因によって複数に区分されます。そのなかでも代表的な8つのリスクを紹介します。

災害リスク

地震、津波、豪雨などの「自然災害」のほか、感染症や有機溶剤の漏えいといった「特殊災害」、交通事故が含まれる「人的災害」などの総称を災害リスクといいます。発生する危険性は会社や営業所の所在地によって異なるものの、ひとたび発生すると大きな被害を受ける可能性が高いです。また会社や工場、社員の直接的な影響だけでなく、交通網や市場そのものが機能停止してしまう可能性も考慮しなければなりません。このような事態が発生した際に、迅速に従業員の安否を確認するほか、経営判断なども求められます。また、日頃の防災訓練や防災計画の策定なども災害リスクの代表的な対策の一つです。

経営リスク

企業経営におけるリスクの総称であり、基本的に経営者や管理部などが中心となって対応するケースが多いです。具体的には事業展開などにおける経営判断のミスによる業績の悪化や人材流出、M&Aの失敗、競合企業の参入などが挙げられます。

人的リスク

主に企業の内部の人間によるリスクを「人的リスク」といいます。窃盗や犯罪といった社員の不正行為は企業のイメージを著しく損なう可能性が高く、会計上の不正や情報漏えいといった事業経営に大きな悪影響を及ぼすリスクも考えられます。

法務リスク

会社を経営し、事業を展開するうえで考えられる法的なリスクを指します。その代表的なものが知的財産権や商標権、景品表示法で、仮に意図的でなくとも法に触れてしまった場合、訴訟や行政指導されるリスクがあります。いずれも事業の大きな妨げになり、企業やサービスのイメージ悪化も考えられます。また、逆に「被侵害」された場合でも自社の製品・サービスに対する備えが不十分だと損害を受けるリスクがあるでしょう。

労務リスク

セクシャルハラスメントやパワーハラスメントといった職場環境や残業代の支払いなどをめぐる自社の雇用制度に関するリスクを指します。法に触れるのはもちろん、過度な残業などは従業員の士気の低下を招くほか、休職・退職の増加、ストライキを誘引することも考えられます。さらにSNSや企業の口コミサイトなどで情報が広がると、企業イメージを損なう可能性もあるでしょう。

財務リスク

「国際会計基準への変換」など会計制度の変化に伴って発生するリスクのほか、災害などの自社の財務に大きく影響する事象をまとめて財務リスクといいます。災害などを受けた後に融資を受けて立て直しを図るケースは少なくありませんが、あくまで「借金」が増えているため、あらかじめ想定される損失に対して保険をかけるなどの自己準備が財務リスク対策では求められます。

情報リスク

主に情報セキュリティをめぐるリスクを指すことが一般的です。自社が所有する情報（データ）と関連するシステムに損害や悪影響を与える可能性があるリスクがあり、「意図的脅威」、「偶発的脅威」、「環境的脅威」の3つに大別できます。

意図的脅威とは、マルウェア攻撃などのサーバー攻撃を行う外部の悪意を持つ人間もしくは元社員による機密データの持ち出しなどが挙げられ、偶発的脅威はデータやPCの紛失、操作ミスによる機密漏えいなどが該当します。環境的脅威は災害や火災による自社サーバーの破損のほか、建物そのものの倒壊なども含まれます。

政治リスク

政治リスクとは、戦争や政変、テロといった政治的な行為によるリスクのことです。また、選挙・政権交代などによって、業界や市場の規制強化、緩和などによる自社の影響も政治リスクに該当します。

BCPでリスクを洗い出すときのポイント

BCPのリスクは多種多様で、必ずしも各項目が独立しているのではなく関連性があるリスクも少なくありません。そのためBCPのリスクを洗い出して優先順位をつける際は、計画的かつ関係者全員を巻き込んで行う必要があります。その3つのポイントを紹介します。

各部署から複数の担当者を集めてプロジェクトを進めるようにする

リスクの洗い出しは、基本的に担当者一人に任せないことが鉄則です。個人の観点だと想定できるリスクが限られてしまう可能性が高いため、複数の部署から異なる業務を担っている社員を集めてチームでプロジェクトを進めましょう。それぞれの業務や部署の観点を持ち寄ることで、より多くのリスクを見つけ出しやすくなります。

どのような事象をリスクと捉えるのか共通の認識を決めておく

BCPにおけるリスクとは「自社の中核事業に危機的な状況を与える可能性がある事象」という共通認識を持って、洗い出したリスクと向き合い、取捨選択する必要があります。複数の事業を展開している場合は、担当部署、業務によって意見が食い違うケースも考えられますが、あくまで「経営の根幹となる事業にとってのリスク」をピックアップする必要があります。

リスクは細分化して重要度順に優先順位を決めておく

リスクはなるべく細分化し、前述した共通認識にもと重要度順に優先順位を決めておきましょう。事前に洗い出したリスクを可視化することで「細分化の余地」も見つけやすくなるほか、より客観的に検討しやすくなるでしょう。また、あらかじめリスク評価の基準を設けることで複数人での判断をしやすくなります。

あわせて読みたい

コンタクトセンターのDXとは？メリットや導入手順、役立つツール

リスクを見える化してBCP策定に役立てよう

今回はBCPとリスクについて解説しました。リスクの洗い出しと優先順位の設定を誤ってしまうと、せっかくBCPを策定しても有事の際に機能せず、早期の事業復旧、継続が難しくなってしまいます。自社にとっての脅威を関係者全員で認識することがBCPには欠かせないので、しっかりと計画的にリスクについて考えましょう。

あわせて読みたい

コールセンターが抱える問題点とは？課題の解決策と改善までの流れ