事業継続マネジメントシステム認証制度の賢い作り方（２）

事業継続の対象範囲を安易に決めると、、、どうなるか

　事業継続をこれから真剣に取り込む予定である企業は、事業継続の対象を適切な手法によって範囲を特定する必要がある。ある会計事務所系列のコンサルタントは、BS認証組織の審査が通る範囲でのみ事業継続計画（BCP）を作り、事業継続訓練は、ビルの法定点検（避難訓練）とサーバーのバックアップテスト（しかも、机上シミュレーションのみ）で十分としてサービスを提供している。

　顧客には、これで認証取得できますとアピールしている。こんな事業継続計画では、コンサルタントの顧客の事業継続に関する配慮不足はもちろんだが、コンサルタントを選んだ企業は不幸な結果になる。それで国際的なBCM基準を満たしていると思ってしまうのだから。私のような情報セキュリティ分野の二社監査の監査員が担当すれば、重要な事業プロセスとの関連が希薄であることを理由に指摘され、改善しなければならなくなる。

なぜなら、事業継続の範囲を安易に決めているから

　確かに、資金、人材等の諸事情によって、特定支店、部門を特定するケースがある。コンサルタントの人数によって範囲を特定するケース（東京に事務所をかまえるコンサルタントは、東京近県の部署を選んでいる）もある。でも、そうじゃないでしょう、組織の継続に欠かせない業務プロセス、製品、サービスを誰が検討しても納得できる再現性のある事業継続対象範囲を決めなくてはいけないのである。

事業継続の対象範囲の確定方法

　誰でも納得できる事業継続の対象範囲（スコープ）は、事業の継続性を顧客から質問されても明確に答えることが可能でなければならない。企業Aの場合は、まず、提供している製品・サービス、業務プロセスを全て列挙していくことからスタートする。例えば、以下のプロセスがあったとする。これらを（X軸）に置く。

　製品サービスに関して　　X製品の製造、Y製品の製造、Zサービスの整備保守
　後方支援サービスとして　P検査研究プロセス、Q品質管理プロセス
　管理業務として　　　　　総務、経理、人事、仕入れ購買プロセス

　これに対して、事業上大切であること要素を挙げていく。少なくとも、このような要素があるに違いない。これらを（Y軸）に置く。

　売り上げ（全体に占める割合）、従業員数（社員が占める割合）、関連する組織（株主、取引先、消費者、地域住民など）、
　市場の成長段階（成長期、停滞期など）、関連するコンプライアンス（関連法規、規格、基準、契約要求事項）、
　サービス提供間隔（24時間態勢、週5日8時間（土日休み）、期間限定など）、競合企業との関係（類似製品、代替可能製品）

　X軸とY軸でマトリックスを作り、時間軸（１年間）を動かしてみる。すると、適切な事業継続の範囲が明らかとなる。このような方法で、事業継続の対象範囲を決めれば、その決め方について誰か文句を言う事はできないだろう。もし事業継続の認証を目指すなら、事業継続の対象範囲を決める手順を作っておくことをお勧めしたい。手順どおりに作られ、その結果が妥当であるかの判断は、経営者の観点で見ればよいだろう。経営者の判断と異なるなら、どこがいけないのか、手順か、経営者か、明らかにすればいい。

対象範囲を明確にできれば、次に事業影響分析（ビジネス・インパクト・分析：BIA）に入る。