BCI GPG を読み解く〜 #7 事業継続プログラムにおけるガバナンスと、役割・責任の割り当て (PP1-4)

前回の #6 までで解説させていただいた、事業継続プログラムの適用範囲を決めるというセクションに続いて、GPG には「Establishing governance」すなわち「ガバナンスを確立する」というセクションがあります（注 1）。

一般的に「ガバナンス」とは、やるべきことが適切に行われ、やるべきでないことが行われないようにするための統治の仕組みをいいます。例えば「コーポレート・ガバナンス」とは、企業における不正や不祥事を防止し、投資に対して株主から期待される収益を実現するために、企業経営を管理監督する仕組みです。

では事業継続におけるガバナンスとは、どういうものなのでしょうか？

このセクションの中にある「Concepts and Assumptions」（概念と前提）という項目では、事業継続におけるガバナンスは以下のものに対して重点的に行われるべきだ、と書かれています。

- 事業継続プログラムに対する監視とサポート（適切な資源の提供と予算の承認を含む）を提供する。
- 事業継続プログラムが確実に組織の目的に沿うようにする。
- 事業継続プログラムが、事業継続ポリシーや、他の関連する法令や規制による要求事項に確実に準拠するようにする。
- 要求事項に合致するよう、事業継続プログラムを定期的に監視しレビューする。
- 継続的改善をサポートする。

つまり、以前に #4 で解説させていただいた「事業継続ポリシー」で決められた内容が確実に実行されるように、監視・監督することです。

ここで「監視・監督」というと、立場が上の方から下の方に対してルールを守らせるような印象を持たれるかもしれません。ところが上の項目の中に、「サポート（適切な資源の提供と予算の承認を含む）を提供する」という、経営層が行うべきことが含まれていることから、ここでは立場の上下を問わず、それぞれの立場でやるべきことが確実に行われるようにすることが意図されていると言えます。

具体的にガバナンスの仕組みをどのように動かしていくかは、「PP6 Validation」（妥当性の確認）で説明されています。これを適切に実施できるようにするために、ここでガバナンスの仕組みを作り、それを事業継続ポリシーの中に組み込んでおくのです。

-   -   -   -   -

「ガバナンスを確立する」に続けて GPG に書かれているのは、「役割と責任を割り当てる」（Assigning Roles and Responsibilities）です。

ISO 22301 に限らず ISO のマネジメントシステム規格には共通して、「役割及び責任」に関する記述が必ずありますが、これは事業継続プログラムに限らず、組織におけるマネジメント活動を効果的に実施するためには、活動に必要な様々な役割に対して明示的に担当者（または担当組織）を割り当て、その業務内容や責任範囲、および権限を明確に決める必要があるという考え方に基づいています。GPG においても、「役割と権限を割り当てる」というセクションの最初のパラグラフに、そのような趣旨の記述があります。

ここでは事業継続プログラムにおいて、明示的に割り当てられるべき役割が次のように列挙されています。

- トップマネジメント（Top management）
- 運営グループ（Steering group）
- 事業継続計画の所有者（Business continuity plan owner）
- 事業継続に関する実務者（Business continuity professional）
- インシデント対応者（Incident response personnel）
- 各部門の担当者（Departmental representative）

「トップマネジメント」は ISO 規格における定義と同様に経営層を指しますが（注 2）、「運営グループ」というのはトップマネジメントに対して助言を行ったり、事業継続プログラムの状況を監視してトップマネジメントに報告したりする組織で、組織内の有識者による諮問委員会のような位置づけだと考えられます。前述のガバナンスにおいて重要な役割を担うのは、トップマネジメントと運営グループということになるでしょう。

「事業継続計画の所有者」とは実務的には事業継続計画（BCP）の改廃について最終的に承認する権限と責任を持つ人、「事業継続に関する実務者」は恐らく「所有者」の下で、実務を担う担当者（または担当組織）ということになります（注 3）。

しかしながら実際に事業継続プログラムを運営していくためには、事業影響度分析（BIA）のための情報収集や BCP の作成、演習の実施などといった活動を、多くの組織と共同で進める必要があります。これらを前述の「事業継続に関する実務者」だけで行うのは困難なので、事業継続プログラムの適用範囲に含まれる各部門に「各部門の担当者」を割り当ててもらい、事業継続に関する各部門の窓口になってもらうという形が推奨されています。

もちろん実際にどのような割り当てにするかは、組織の状況によって異なります。例えば中小企業で「運営グループ」を組織するのは大げさでしょうし、「各部門の担当者」は不要かもしれません。そのような事情も勘案して、自組織の事業継続プログラムのために必要な役割を明確にし、明示的に人員を割り当て、責任と権限の範囲を明確にすることが、ここでは求められています。

ところで、割り当てられた人員が自らの役割を全うし、責任を果たすためには、必要な教育訓練を実施し、それらの役割を果たすための力量（competence）が備わっているかどうかを確認する必要がありますが、それらに関しては PP2 「Embedding」に記載されています。

以上で PP1 に関する解説は概ね網羅できましたので、次回からは PP2 の解説に入っていきたいと思います。

［BCI Good Practice Guidelines の入手方法］
BCI の Web サイトから入手できます。BCI 会員であれば PDF にて無償でダウンロードできます。非会員に対しては 30 ポンドで販売されています。詳しくは下記 URL にアクセスしてください。
https://www.thebci.org/training-qualifications/good-practice-guidelines.html


［本稿に関するお問い合わせ］
本稿や GPG の内容、もしくは BCI の活動に関するお問い合わせにつきましては、下記 URL の問い合わせフォーム（合同会社 Office SRC の Web サイト）からご連絡いただければ幸いです。
http://office-src.com/contact

【注釈】
1) ISO 22301（JIS Q 22301）にはガバナンスに関する独立した項目はありませんが、「5.2 経営者のコミットメント」という項目に、概ね同様の趣旨の記述があります。

2) ISO 22301（JIS Q 22301）では「トップマネジメント」が「最高位で組織を指揮し、管理する個人又は人々の集まり」と定義されており、GPG もこの定義を踏襲しています。

3) 「professional」と書かれているので、例えばコンサルタントのように、この分野に関する専門家をイメージされるかもしれませんが、ここではこの仕事で報酬を得ている人という意味で「professional」と表現されていますので、本稿では実務者と訳しました。