事業継続と災害復旧計画は本来的に一体となるものであろうか?事業継続はあなたの組織ではどのように位置づけられるのだろうか?

多くの異なる選択肢があり、考慮すべき最も重要な点は、あなたの組織にとって最適に機能するものは何かということである。

他の組織が事業継続マネジメントをどのように組み入れているか、いくつかの事例がある。

内部監査部門

私の経験では事業継続計画が十分にマネジメントされているのは内部監査と同等の経営レベルに置かれている場合である。

一般的な企業における内部監査部門のトップは、機関としての取締役会に直接レポートする。彼らがなすべきことを自律的に行い、どこにも所属しないというのはそのためである。

それぞれの部門が、彼らが成功するための責任を持っている。従って成功してボーナスを得たいというのであれば、事業継続計画はその成功の一部でなければならない。

事業部門を動かしている人たちをマネジメントするというのは大変な仕事である。彼らはその業務、計画、回復の責任を持つ。事業継続計画は世界中に展開する254の多国籍の事業部門で働く11万人にこれを行い、うまくいっている。

リスクマネジメント部門

あらゆる分野のリスクマネジメントと整合的でなければならず業務運営の最高責任者(すなわち最高業務執行責任者)の指揮命令下になければならない。その最高業務執行責任者は事業継続マネジメントのエグゼクティブスポンサー(役員レベルの支持者)を兼任する。

私がこれまで見た中でベストだったのは(それもまた最終的には人によるのであるが)リスクマネジメント部門の傘下にあるものだった。

そのプログラムはリスクプログラムと緊密に連携が取れており、ITとは永続的に分離され、最高幹部のチームによって業務上の優先事項として認識されていた。

トップマネジメント(役員レベル)による同意、長期のサポート、支持は、事業継続を最初から組織の中の軌道に乗せるのに必須である。それらを”獲得“する必要がある。組織のどこに位置付けるかは、まさにその組織次第である。私が関わったプロジェクトあるいはプログラムでは、事業継続はそのリスクの減少という性質の故に、いつもリスクマネジメントとの相性が良かった。

私の組織では第2の防衛線、オペレーショナル・リスクマネジメントとガバナンスのところに置かれている。それに私の組織では、事業継続マネジメントはガバナンスとコントロールのトップにレポートする。

私の知る限り、文書化されたベストプラクティスはないが、事業継続マネジメントは最後には中断リスクの処理である。そのように事業継続は全社的リスクマネジメント(Enterprise Risk Management)の一部であり、最高リスク責任者あるいはそれと同等の者にレポートするのが好ましい。リスクマネジメントの全体像の一部であるために。