事業継続とリスクマネジメントの関係性は？　事業が直面するリスクを理解することが大切

事業継続とリスクマネジメントにはどういった関係性があるのでしょう？

事業継続とリスクマネジメントの関係は組織によって差があります。 
ほとんどの場合、事業継続はリスクマネジメントの下位の領域です。

では、もし組織内で以前から使用されている全社的リスクマネジメントのフレームワークがあるとしたら、そちらを事業継続計画（BCP）として使うことはできますか？ あるいは、事業継続計画におけるそれぞれの領域に、新しいリスク登録簿と新たなリスク評価を作成する必要はありますか？

全社的リスクマネジメント（ERM）

事業継続とリスクマネジメントに関して、リスクはその状況次第ということになります。総括的な業務上のレジリエンスプログラムの一部としての事業継続は、リスクの軽減になりますが、特に大企業の全社的リスクマネジメントでは、マクロ規模であったりサテライト業務の局所的な影響を見逃すといった、どちらかに焦点が当てられる可能性もあります。つまり、最善のアプローチは、全社的リスクマネジメントによる最も影響の大きなリスクと局地的なリスク分析が混ぜ合わさっていることになります。

近年の24時間365日のビジネスは、中断することが許容されないため、発生する危険性の高いシナリオに備えることをレジリエンスチームに求めています。 これにより、これにより、リスクを軽減するための実用的な戦略を積極的に開発することができます。

一例として、熱帯低気圧はすぐさま起きるような出来事ではありませんが、山火事のように備えることができます。 洪水があなたの地域の本当の危険であるならば、それに対して軽減する計画を立ててください。 水があなたの家まで押し寄せてきてから、計画を立ててはいけません。 手遅れになってしまって、ビジネスが中断されます。

事業継続マネジメント

全社的リスクマネジメントは、経営者が事業の目標を達成するために使用する戦略的ツールですが、事業継続マネジメントは、事業が中断された時に対応するためのツールです。事業継続マネジメントは、例えば、事業が中断した場合でも業務を間断なく再開できるようにといった、事業における目標を達成するための行動計画の一部となりうるものです。
事業継続マネジメントにおけるリスクは、情報セキュリティリスクマネジメントや安全衛生リスクマネジメントといった、全社的リスクマネジメントの下位の領域に位置しています。 これられは互いに関係しあう良いマネジメントの集合体といえます。
事業影響度分析（ビジネスインパクト分析）は全社的リスクマネジメントのプロセスから引き出され、事業継続計画は緊急事態の対応活動へとつながります。

事業継続マネジメントシステムのフレームワークは、活動をまとめるための仕組みです。 しかし、事業継続の専門家に事業継続を管理することを依頼すると、専門家と連絡が取れなくなった場合に対応できないというパラドックスが生じます。

全社的リスク評価

全社的リスクマネジメントの専門家が実施するリスク評価には、既に知られているものと未知のものがあります。 結果として得られるリスク登録簿は包括的であり、ほぼすべてのリスクをカバーし、事業継続とリスクマネジメントの両方に用いることができます。
リスク評価の結果、指導者は企業にとって許容可能なリスク選好を決めることができます。 
リスク選好が定義されると、事業継続マネジメントのフレームワークの残りの部分に進むかどうかを決定します。

事業継続リスク評価

特定の事業継続管理に関連するリスク評価を実行すると、さまざまな範囲のリソースとそのリスクを考慮することができます。 また、現在の管理されている状態をところどころで確認し、さらに加わった管理状況を評価するのに役立ちます。
例えば、リスクが高いという前提においては制御方法を用意するべきかもしれませんし、または移転を真剣に考慮する必要があるかもしれません。 
内部および外部の問題を評価する場合(ISO 22301:2012の第4.1項)、これらはリスク登録と全社的リスクマネジメントから(部分的に)たどって、事業継続マネジメントのレンズで評価することができます。これは、頻繁に見落としたり無視されたりする手順へのハイレベルな情報の提供です。

全社的リスクマネジメントは、事業継続マネジメントよりも高いレベルですが、それは組織の目標に影響を与える可能性がある、あらゆる不測の事態を見ているからです。 
事業継続のリスク評価においては、プロセスに影響を及ぼす範囲内のリソースに対して、より具体的なリスクと製品とサービスの提供が検討されます（前提とされるリスクの喪失など）。
事業継続マネジメントリスクも、全社的リスク登録で追跡する必要がありますが、事業継続マネジメントの専門家による事業継続計画または予防措置で対処することで上方に追跡することができます。

以下を考慮する必要があります。
・保護が必要なもの
・それを混乱させる可能性があるものとその方法
・混乱が生じた場合はどういった事態が想定されるか

事業継続マネジメントはその性質として、それらが生じうる可能性よりもリスクのある事象の影響に、より重点を置いていますが、そのような事象には予測不可能で避けられないものもあります。

計画の準備

事業継続計画の準備を検討する際に取り組むべき最初のステップの1つは、事業が直面するリスクを理解することです。
事業の中断は、内部および外部の両方のリスク要因によって引き起こされます。そのため、潜在的にどのようなリスクがビジネス活動を停止させる可能性があるかを理解することが不可欠です。 
リスクを理解したら、それに対応する制御/緩和計画を作成して、混乱の影響を回避または最小限に抑えることができます。

すべての危険有害性へのアプローチ
もう１つの考え方は、事業継続計画では「すべての危険有害性へのアプローチ」を採用する必要があるということです。このアプローチは、リスクが現実となった後にサービスを継続/回復する方法に焦点を当てています。
現実に発生するまでに、中断に備えることは可能です。 
洪水、山火事、ハリケーンを緩和することはできませんが、そのような災害が営業に影響を及ぼす場合は、それに対処して復旧するという機能を持つことができます。
特定の危険有害性から回復する能力があれば、同じ戦略により、さまざまな脅威に適用することもできます。
回復機能はリスクそのものではなく、イベントの影響(資金、場所、スタッフなどの損失)に基づいて構築する必要があります。リスクが事前の対処方法をとる余地があるなら、それを確実に実行する機会が提供されますが、多くの脅威は何の警告も与えてくれませんから、生じるかどうか分からない危険にも備えておくことがベストです。 それにはリスク登録簿に出てこないリスクも含まれます。
このアプローチでは、事業継続はリスクマネジメントと同等であり、部分集合ではありません。 
組織はリスクを管理する必要がありますが、すべてのリスクをゼロにできるリソースが存在しないことを認識しておく必要があります。 
これは事業継続が導入される準備段階において、同じくらいの労力を費やす必要がある理由です。  
まったく同じ努力を行っている2つの学問分野ではなく、事業継続とリスクマネジメントの両方に均等な時間を費やすべきです。

優れた事業継続を行うためのリスク評価は必要ありません。 
事業継続マネジメントにおいて、建物が燃えているかどうかは重要ではありません…。重要なポイントは、人をどのように再配置し、明日はどこで働くかです。 
計画は、復旧に役立つ情報のみが詰まった道具箱でなければなりません。 
箱の中にリスクが書かれたリストを入れても何の意味もありません。
事業継続計画がリスク管理とみなされても、その目的は異なります。つまり、確率を緩和することはまったくありません。
一般的な「すべての危険有害性」計画は、混乱の原因にかかわらず継続性を保証します。 
これは予期しない、または起こる確率の低い災害に効率的に備える方法です。 
その影響について計画を立てておけば、特にその原因が私たちが予想していなかったものである場合には柔軟に対応できます。 
逆に、特定の危険に焦点を当てると、私たちが予期していないものに影響されやすくなる危険性があります。
すべての危険有害性へのアプローチの詳細については、Mark Armourの記事 「On Stones,Clay and Rubber Balls」 が参照になるでしょう。
事業継続プランニングにおいて、リスクに基づいたアプローチを選択するか、すべての危険性のアプローチを選択するかといった問題には、BCP Builderのオンライン事業継続性プラン・テンプレートが役に立つでしょう。

原文
https://www.bcpbuilder.com/2018/11/21/business-continuity-risk-management/