この物語は、BCMSチームメンバーである「みならい君」が、上司や先輩に指導を受けながら自社のBCMを構築する物語です。
第6回 事業継続マネジメントにおける演習に関するプロセス(最終回)
いさお常務
みんな揃ったかな?そろそろ6回目のミーティングを実施するよ!
みならい君
は~い、準備OKで~す!今回は、演習に関するミーティングですね。
けいこ先輩
本日もよろしくお願いします。
各部門に作成を依頼したIMP(インシデント対応手順)や、BCP(事業継続計画)、BRP(事業回復計画)も、ほぼ目途が立ったようです。
各部門に作成を依頼したIMP(インシデント対応手順)や、BCP(事業継続計画)、BRP(事業回復計画)も、ほぼ目途が立ったようです。
みならい君
そ~か、この作成した“事業継続手順”を演習によって、教育するんですね。
けいこ先輩
ちょっと待って、みならい君!演習の目的は、教育だけではないような…。
いさお常務
よ~し、その辺から整理してみようか。
けいこ君、ISO22301の演習の定義を教えてもらえるかな?
けいこ君、ISO22301の演習の定義を教えてもらえるかな?
けいこ先輩
はい、ISO22301では演習について、「組織におけるパフォーマンスに関する教育訓練、評価、実施および改善のためのプロセス」と定義しています。
みならい君
ほら、やっぱり、教育・訓練って言っていますよ。
けいこ先輩
違うわ、みならい君!常務がおっしゃっているのは、その後半部分の“評価、実施および改善のためのプロセス”のことよ。
いさお常務
そうだね。確かに、演習には、教育・訓練の要素も含まれるんだけど、演習の本来の目的は、検証活動なんだよ。
みならい君
なるほど~。
いさお常務
どちらのキーワードも“やってみる(やらせてみる)”ということなんだよ。
けいこ先輩
良く分かりました。確実に理解するために、具体的な例で説明いただけますか?
いさお常務
そうだね、例えば、(インシデント対応手順)IMPに規定されている“AEDの使用”、“初期消火や活動の消火器の使用”などは、実際にスタッフにやってもらって、その使用 手順を覚えるという側面があるから教育・訓練に近い要素があるよね。
みならい君
なるほど!それじゃあ、“避難誘導”などは、演習によって、模擬的に避難することで、避難経路やその過程で必要な動作を覚えるということですね。
けいこ先輩
緊急連絡網や連絡手段の妥当性の検証なども評価の対象になるんですね。
いずれも“実際にやってみる(やらせてみる)”がキーワードですね!
いずれも“実際にやってみる(やらせてみる)”がキーワードですね!
いさお常務
そうだね、これらも、正しく使用できるか? 避難できるか?という検証も含まれるんだけど、やはり、(事業継続計画)BCPに対する演習が、一番の検証活動となるね。
みならい君
BCP(事業継続計画)に対する演習も“実際にやってみる(やらせてみる)ですよね?”
いさお常務
そうだね、一言でいえば、やってみて(やらせてみて)、問題点や課題を特定することだよ。
けいこ先輩
なるほど、実際にやってみて、復旧や継続のために不足している物はないかを確認することや、実際の復旧・継続活動が計画通りに実施できるかを検証することなんですね。
いさお常務
そのとおり。最も重要な検証ポイントは、RTO(目標復旧時間)内に、MBCO(最小事業継続目標)レベルに事業を復旧し、継続できるかを検証することなんだよ。
みならい君
は~い、よ~く分かりました!
いさお常務
本質的なことが理解できたようなので、早速、演習プログラムの打ち合わせに入ろう。
演習プログラムの種類
いさお常務
けいこ君、演習の種類は調べてきたかな?
けいこ先輩
はい、デスクトップレビュー(机上訓練)ウォー、クスルー、シミュレーション、ロールプレイング、実働演習を調べてきました。
みならい君
へ~、演習はいろいろな種類があるんだな~、どれが一番いいんだろう?
けいこ先輩
本当ですね。常務、演習のスタイルを決める基準のようなものがあるんでしょうか?
いさお常務
具体的な基準はないけど、組織のBCMの成熟度によって、使い分けることや、演習を実施する評価の対象によって使いけることが考えられるね。
例えば、デスクトップレビューは、計画の整合性を机上でレビューし、内容の有効性を検証するスタイルだから、実事業への影響や参加するスタッフも少なくてすむから、各計画が完成した段階で実施することが望 ましいよね。
例えば、デスクトップレビューは、計画の整合性を机上でレビューし、内容の有効性を検証するスタイルだから、実事業への影響や参加するスタッフも少なくてすむから、各計画が完成した段階で実施することが望 ましいよね。
けいこ先輩
そうですね、ウォークスルーは、デスクトップレビューに加えて、実際の動きが追加されますので、より具体的な検証を行うことができますね。
みならい君
なるほど~、実際にやってみる“(やらせてみる)”という演習スタイルは、シミュレーションになるんですね!
いさお常務
そうだよ、実際に想定されるリスクシナリオに基づいて、計画された活動が滞りなく実施できるかを検証するんだよ。
このタイプの演習レベルになると、しっかりとした事 前の教育・訓練がすみ、綿密な下準備のもとに実施されることが必要だね。
このタイプの演習レベルになると、しっかりとした事 前の教育・訓練がすみ、綿密な下準備のもとに実施されることが必要だね。
けいこ先輩
ある程度、成熟したらロールプレイングのようなスタイルも必要ですね!
いさお常務
そうだね、ロールプレイングは、演習の途中で、カードなどを用意しておいて、状況を追加し、参加者の状況判断や意思決定の適切さを検証するスタイルだね。
実際に有事の際は、非日常的ないろいろなことが起こる可能性があるから、そのような事象に臨機応変に対応できることが必要だからね。
実際に有事の際は、非日常的ないろいろなことが起こる可能性があるから、そのような事象に臨機応変に対応できることが必要だからね。
みならい君
は~い、よ~く分かりました!
いさお常務
よ~し、早速、演習プログラムの検討と演習プランを策定していこう!
みならい君
は~い、がんばりま~す!
その後、みならい君の会社は、演習の実施後、必要な改善を行い、無事、ISO22301の認証取得に成功しました。
長い間、みならい君のBCMS構築物語をお読み頂きありがとうございました。