カジノサイト
事業継続のため、予期せぬ事態を受け入れてください
予期せぬことを予想するのは一つのことです。予想外のことを受け入れるのは全く別のことです。拒否することは強力なことであり、私たちの最も優れた人でも、自分の計画は包括的であり、準備が完了していると確信することができます。
この種の自己満足を克服するための重要な方法は、危機管理と事業継続を有意義に結びつけることと、組織が予期せぬ事態に迅速に対応できるようにする適応的な事業継続の原則を組み込むことです。
過去数年だけを見ても、大西洋ハリケーンの季節がますます活発になり、世界的企業に対する大規模なサイバー攻撃が発生し、大規模な災害に伴う主要インフラの二次被害が発生していることを考えてみましょう。公共部門と民間部門の組織は、チームに対し、より少ない労力でより多くの成果を上げながら、より高い基準でパフォーマンスを発揮することを求めています。損失から迅速に回復する必要性はこれまでと同様に重要ですが、多くの場合、リソースは以前よりも減少しています。こうした現実には、新しく革新的なアプローチが必要です。
さらに、社会の相互接続がますます進むにつれて、企業、組織、政府は互いのサービスに依存し、許容範囲はますます厳しくなるでしょう。たとえば、電力会社や通信の規制当局は、企業がより厳格な信頼性基準を満たすことを要求しています。この傾向は当面続くでしょう。
一方、大規模な事件の費用と影響は増大するでしょう。 2018年には世界中で災害により1万1,000人以上の犠牲者が発生した。スイス・リー・グループのデータによると、2018年の自然災害および人為的災害による推定損害額は1,550億ドル、世界の保険損害額は約790億ドルと推定されている。
これらの状況は恐ろしい状況を描いていますが、そこにチャンスが潜んでいます。危機管理活動と明確に結びついた、綿密に練られた事業継続プログラムは、災害への対応だけでなく、「青空の日」にも組織にとって価値の源となり得ます。事業継続 (BC) プログラムとその実践者は、組織にとって有意義なビジネス パートナーになることができます。
難しい注文ですか?
危機に直面した偉大な組織は、予期せぬ事態を受け入れ、新しい常態を採用し、自社と従業員の最善を引き出すことを選択できます。そうすることで、彼らは危機を変化の一形態として認識し、より良い未来に向けて再定義するという強い立場をとります。
これを行うには、組織は危機や事業中断が発生したときだけでなく、事前に対応できる態勢を整えておく必要があります。ビジネス継続性プログラムを巧みに実行すると、より適切な対応が可能になるだけでなく、継続的な改善を促進し、途中で業務改善の領域を特定することもできます。
セキュリティ管理者は、BC アプローチに実践的な概念を採用する場合、組織に影響を与える重要な立場にあります。また、場合によっては、セキュリティ マネージャーが、存在しない新しい BC プログラムを作成したり、さらに悪いことに、失われてしまったプログラムを復活させたりする任務を負うこともあります。
どうやって進めばいいですか? BC を継続的な改善と運用価値の提供に結び付け、危機管理と BC を有意義な方法で結び付けることによって。
最良の結果を達成するには、ビジネスの継続性は、対応と復旧に伴う計画と準備の取り組みにかかっています。ここで、BC 作業の真のブロックと取り組みが行われます。
一部の業界や規制当局は、その範囲内でのBCプログラムの必要な活動について明確に規定しています。これらは、リスクの評価、ビジネスへの影響分析の完了、上級幹部からの同意の取得、トレーニング、検証、テストと演習、文書化、コミュニケーションなどの活動を義務付けています。これは特に金融部門と医療業界に当てはまります。
Business Continuity Institute のグッド プラクティス ガイドラインと標準 ISO 22301 は、そのような認定された認証が必要または望ましい場合の出発点として適しています。ただし、このような伝統的な実践だけが有意義な BC プログラムへの唯一の道ではありません。
伝統の落とし穴
場合によっては、伝統的に継続計画に関連付けられてきた活動やアプローチが、プログラムの実施に障害となる可能性があります。これらは多くの BC の文脈の中で適切な位置を占めているかもしれませんが、課題を引き起こす可能性もあります。
これは、組織が新しいプログラムの設計や既存プログラムの改訂においてより大きな自由度を持っている場合、または直線的で逐次的なプロセスよりも反復的で機敏なプロセスを好む文化を持つ組織に特に当てはまります。このような場合、価値を迅速に提供することに主な焦点を置くことが望ましいかもしれません。
たとえば、多くの BC 計画活動の核となる概念は、目標復旧時間 (RTO) に焦点を当てることです。 RTO の使用は、復旧ニーズを定量化し、対応活動に優先順位を付け、計画活動を推進することを目的としています。
しかし、時間を単なる制限ではなく目標として採用することには問題が生じる可能性があります。実際には、多くの場合、RTO と目標復旧時点 (RPO) は主観的であるか、恣意的ですらあります。これらは、規制時間制限、違反、または健康と安全に関する特定の問題など、真に静的で正確な事前に決定された時間制限が存在する場合に最適に適用されます。そうしないと、RTO に到達してそれを保証するために行われた作業が値を返さない可能性があります。言い換えれば、サービス復旧までの 6 時間の期限を守らないと特定の金額の罰金が科せられることが明らかな場合、RTO を満たすための投資と罰則のリスクを明確に比較検討できるため、意思決定のプロセスは非常に簡単になります。
BC 世界のもう 1 つの基礎は、ビジネス影響分析 (BIA) です。 BIA は BC 実践者にとって非常に貴重なツールである一方で、混乱を伴う主題でもあります。
実際には、サービス復旧の適切な順序は常に災害後の状況の正確な性質に依存します。したがって、対応は柔軟かつ適応的である必要があります。これは、意図的なサイバー攻撃の場合のように、サービス停止の原因がすぐには明らかではない今日の環境では特に当てはまります。
このすべての活動の結果、保護、保守、更新が必要な膨大な量の文書が生成される可能性があります。しかし、実際の対応活動で使用されることはほとんどありません。場合によっては、BC および対応計画が膨大すぎて、実際の緊急事態では実際的な目的を果たせないこともあります。彼らはことわざの棚用品になります。
最後に、従来の方法では、上級レベルの経営幹部による独占的なサポートを得ることと、それを最初から行うことが重視されていました。重要ではありますが、組織内のさまざまなレベルで関与することがより有意義な場合があります。
ここでの本当の危険は、組織が事業継続のために広範な事業継続活動を実施しているという罠に陥ることです。この活動は、恣意的または定期的に価値を提供するだけであり、実際にはほとんど存在しない部門に誤った準備意識を生み出す可能性があります。むしろ目標は、組織の目標と明確にリンクし、価値を段階的かつ継続的に提供することであるべきです。
実践的なアプローチ
BC を継続的な改善と運用上の価値の提供に結びつけるための、次の実践的なアプローチのいくつかを検討してください。これらは、アダプティブ ビジネス継続性と呼ばれるアプローチから直接借用した概念です。ここで概説するアダプティブ BC の 5 つの中心原則は、危機管理と事業継続性の間のより良いパートナーシップに不可欠です。
まず運動してください。従来の BC 実践者がよく好む厳密に逐次的なアプローチでは、テストとエクササイズは、計画と評価が完了した後、サイクルの後半の段階で行われます。
しかし、ディスカッションベースの机上演習は、組織が計画のギャップを特定し、危機管理対応とBCの両方における前提条件に対処するために使用できる唯一の最も強力なツールです。 1 ドル単位でこれ以上の価値はありません。では、そこから始めてみませんか?グループとしてシナリオを実行することで、チームは迅速かつ簡単にギャップを発見し、解決策を特定できます。
そのような演習は軽いものであり、非公式な場合もあります。重要なのは、1 つまたは 2 つの明確に定義された目的に基づいて、直接的で焦点を絞ったアプローチをとることです。
たとえば、この演習の目的は、初期のサイズアップと計画外のイベントへの対応を評価することかもしれません。計画文書で定義されたエスカレーション プロトコルを評価する。または、危機管理計画を発動する組織の能力を確認することもできます。
目標に向かって進むことで、計画チームは過度に複雑な演習シナリオを避けることができます。必然的に、議論の結果、運用上の簡単な成果が明らかになるでしょう。練習参加者はより緊密な個人的なつながりを確立します。そして集合的なチームは、あらかじめ決められた目標に関するギャップを特定します。
結果として、結果は即時価値があり、中長期的な行動計画を推進するために使用できます。そうすることで、チームは BC と危機管理能力との明確なつながりも確立しました。
ドキュメントを簡素化します。数百ページにわたる綿密な危機管理計画とBC計画は、3つの重大な点で有害です。まず、大規模な (多くの場合労働集約的な) メンテナンスと継続的な更新が必要です。第二に、実際の危機では実用的ではありません。最後に、これらは価値を生み出す活動ではありません。 BC 活動とそれ自体を目的とした文書化は、よくある落とし穴です。
計画を簡素化して、計画を把握する必要がある人が簡単に思い出せるようにします。必要に応じて、チェックリストは優れたツールとなります。
もちろん例外は、金融業界や医療業界など、そのような計画が義務付けられている場合や規制要件がある場合です。コンプライアンスやその他の切実なニーズがなければ、膨大なドキュメントはスリムなユーザー指向のプレイブックに置き換えられるべきです。
これの実例は、75 ページにわたる企業インシデント対応ポリシーを持つ組織です。組織の主要なリーダーたちは、このポリシーが長かったために広く無視され、重大なリスクをもたらしていることを認めていました。解決策は、ポリシーの最も重要なエンド ユーザー要素、つまり対応者が本当に最初に知る必要があるものを 1 ページのインフォグラフィックにまとめることでした。
インフォグラフィックは、一連の短く集中的な机上演習を通じて作業チームに導入されました。チームは、インフォグラフィックに含まれるプロセスの重要な側面を使用し、破壊するように求められました。
演習の過程で、チームはまた、重大なコミュニケーションのギャップや思い込みを発見し、それらに対処することができました。彼らは、コミュニケーション問題の解決策を強調するために、「ためらわずにエスカレートしてください」というキャッチフレーズを策定しました。そうすることで、組織に即座に価値を提供し、業務効率を改善し、BC および危機管理能力を継続的に改善するための基盤を確立しました。
継続的に改善します。BC 専門家がクライアントや関係者に対して主張できる最も説得力のある主張は、提案された BC 関連活動に必要なコストと労力が、即時にある程度の見返りをもたらすだけでなく、プロセス全体を通じて継続的かつ反復的な改善がもたらされるということです。
BC 専門家は、それ自体のための文書化や厳格に順次的な BC サイクルから解放され、ビジネスのパートナーとしての役割をさらに担う機会を見出しました。 RTO などのパフォーマンス測定が必要な場合、主要なビジネス プロセスの棚卸しを行うとともに、これらのトピックに関する議論は、任意の目標に焦点を当てるべきではありません。
むしろ、組織の目標について利害関係者を関与させ、評価結果を合理化する機会が存在します。つまり、利害関係者に自分の直観を目標に適用し、常識のテストに合格するかどうかを確認するように要求してください。そして、目標がなぜそこにあるのかを尋ねることで、「青空の日に」どうすればもっと効率的に目標を達成できるのかを問いかけます。
BC プロセスは、利害関係者間のこうした会話の場を提供することで、継続的な改善の源となります。人々は、組織にとってプラスまたはマイナスの結果をもたらした危機を乗り越えた個人的な経験を、特にその経験が付加価値をもたらすことができる環境で共有することに熱心です。
たとえば、ある組織は、主要なビジネス プロセスのリストが非常に詳細で複雑であることを認識していました。非常に率直で常識的な議論により、このリストは数十の項目から 6 項目に減りましたが、そのうち重要とみなされたのは 1 つだけでした。その結果、BC 管理プロセスが簡素化され、危機管理対応フレームワークの社内化が容易になりました。
効果を計画します。大惨事の原因は数え切れない。私たちはあらゆる不測の事態に備えて計画を立てることはできません。たとえそれができたとしても、最善の計画が出来事によって覆されてしまうことはよくあります。代わりに、効果に焦点を当てる必要があります。
何世代にもわたる軍事指導者は、「敵との最初の接触に耐えられる計画はない」ということを理解していました。この概念はよく知られており、より現代的な文脈で頻繁に繰り返されますが、おそらくマイク・タイソンの言葉が最も適切です。「誰もが口を殴られるまでの計画を持っています。」
2011 年と 2012 年に米国北東部で経験した異常気象現象を考えてみましょう。2011 年の秋、この地域ではノーイースターとハリケーン アイリーンが立て続けに発生しました。翌 2012 年の秋には、再びノーイースターとスーパーストーム サンディが発生しました。
4 つの出来事はすべて、嵐、自然災害、または異常気象として簡単に説明できます。しかし、局所的な緊急事態の急性原因は非常に特殊なものでした。それぞれの嵐には、内陸洪水、沿岸洪水、雪イベント、樹木イベントなど、独自の特徴がありました。これには 4 つの独自のタイプの計画が必要である、またはそれぞれの原因に対応する計画が必要であると主張する人もいます。
逆に、これらの大災害の影響ははるかに少ないです。その影響は、人 (スタッフ)、場所 (施設)、または物 (リソースや重要なサプライヤー) が予期せず利用できなくなることだけです。
効果に焦点を当てると、よりシンプルで、より意味があり、管理しやすい計画が立てられます。
ビジネスについてよく知っています。何よりも、BC または危機管理活動の実行責任者はビジネスを理解する必要があります。 BC 実践者は、上級リーダー レベルだけでなく、組織のあらゆるレベルの運用チームと緊密に連携する必要があります。経営陣のサポートを得ることは成果を推進するのに有益ですが、真実の発見は最前線のチームから得られます。最高のBC専門家は、単に恣意的なBCサイクルを推進するだけではありません。彼らは、事業部門を活気づけている人、場所、物事、そしてその理由を理解しています。
危機管理を予期せぬ変化の機会と考えるなら、BC は現実的で理にかなった結果として機能するはずです。言い換えれば、危機への緊急対応で学んだ教訓は、BC プロセスに組み込まれることで、業務の改善と最終的には回復力の向上に鮮明化される可能性があります。
どの組織においても、BC プロフェッショナルの最大の顧客は運用です。危機時に価値を提供するということは、事業継続、危機管理、ビジネスの真のニーズを緊密に統合することを意味します。
組織が外部環境によって予期せぬ形で課題にさらされ続けること、そしてそれが損失をもたらすことを受け入れるのであれば、BC の取り組みが組織に課せられた要求とどのように一致するかを検討する必要があります。
強い立場にある組織とは、危機や事業中断の瞬間だけでなく、誠実に自らの棚卸しを行い、自らの前提を評価し、その過程で学んだことを活用している組織です。
この結果に至るまでの道のりは、ISO とグッド プラクティス ガイドラインで定義されている従来の規範的なルートをたどることもできますが、BC と危機管理を組織の目標と方向性と結び付けることで、より革新的で継続的な形を取ることもできます。 Adaptive Business Continuity で概説されているような、より実践的で機敏で無駄のないアプローチは、現在実施されている従来の慣行よりも多くの価値を、そしてより速いペースで提供できる可能性があります。
ブレンダン・モナハンは、カジノサイト国際危機管理および事業継続評議会の議長です。彼はノバルティス社のアソシエイト ディレクターであり、米国地域における事業継続の調整とリスクおよび危機/緊急事態の管理を担当しています。
