事業継続の対象範囲を安易に決めると、、、どうなるか
事業継続をこれから真剣に取り込む予定である企業は、事業継続の対象を適切な手法によって範囲を特定する必要がある。ある会計事務所系列のコンサルタントは、BS認証組織の審査が通る範囲でのみ事業継続計画(BCP)を作り、事業継続訓練は、ビルの法定点検(避難訓練)とサーバーのバックアップテスト(しかも、机上シミュレーションのみ)で十分としてサービスを提供している。
顧客には、これで認証取得できますとアピールしている。こんな事業継続計画では、コンサルタントの顧客の事業継続に関する配慮不足はもちろんだが、コンサルタントを選んだ企業は不幸な結果になる。それで国際的なBCM基準を満たしていると思ってしまうのだから。私のような情報セキュリティ分野の二社監査の監査員が担当すれば、重要な事業プロセスとの関連が希薄であることを理由に指摘され、改善しなければならなくなる。
なぜなら、事業継続の範囲を安易に決めているから
確かに、資金、人材等の諸事情によって、特定支店、部門を特定するケースがある。コンサルタントの人数によって範囲を特定するケース(東京に事務所をかまえるコンサルタントは、東京近県の部署を選んでいる)もある。でも、そうじゃないでしょう、組織の継続に欠かせない業務プロセス、製品、サービスを誰が検討しても納得できる再現性のある事業継続対象範囲を決めなくてはいけないのである。
