企業は日々さまざまなリスクに晒されており、近年では新たなリスクも台頭している。本記事では、そういったリスクに備えるコンティンジェンシープランの概要や必要性、策定方法をまとめた。経営基盤を安定させるために、リスク対策の基本を押さえていこう。
目次
コンティンジェンシープラン(Contingency Plan)とは?
コンティンジェンシープランとは、企業が事故や災害などの緊急事態に直面した際に、その被害を最小限に抑えるための計画である。日本語では「緊急時対応計画」と訳されており、このコンティンジェンシープランを策定しておくと早期の事業復旧を実現しやすくなる。
コンティンジェンシープランの定義
独立行政法人である情報処理推進機構(IPA)は、コンティンジェンシープランを次のように定義している。
ここでいう緊急事態には、自然災害のほかにも以下のようなものが含まれる。
・設備の不具合による事故
・盗難などの事件
・個人情報の漏えい
・サイバーテロ
・インターネット上での炎上
・テロリズムや紛争 など
ちなみに、コンティンジェンシープランの内容は企業ごとにさまざまであり、特に形式などは決まっていない。ただし、緊急時に最善の行動を取れるように、わかりやすく形でまとめておく必要がある。
コンティンジェンシープランとBCP(事業継続計画)の違い
コンティンジェンシープランと混同されやすいものに、「BCP(事業継続計画)」と呼ばれるものがある。BCPは企業活動が何かしらの要因で制限された場合に、事業を継続させるための行動指針となるプランだ。
いずれも緊急時に使用されるものだが、コンティンジェンシープランとBCPには次のような違いがある。
ただし、近年ではいずれの策定時にも事業インパクト分析が行われるなど、コンティンジェンシープランとBCPの違いは薄れつつある。BCPを兼ねたコンティンジェンシープランを策定する企業も見られるので、上記の違いをそれほど気にする必要はないだろう。
コンティンジェンシープランを策定する目的
企業がコンティンジェンシープランを策定する目的としては、主に以下の3つが挙げられる。
・さまざまな経営リスクを最小限に抑えるため
・取引先や顧客への影響を抑えるため
・株主や投資家などを安心させるため
緊急時の対応計画は古くから存在していたが、現代においてコンティンジェンシープランの重要性は高まりつつある。インターネットなどのIT技術が発達した影響で、サイバー攻撃や情報漏えいなどの新たなリスクが増えてきたためだ。
コンティンジェンシープランを策定しておけば、仮にこれらのリスクに直面しても被害を最小限に抑えられる。また、ステークホルダーへの影響も抑えられるので、より安定した経営基盤を築きやすくなるだろう。
コンティンジェンシープランを効率的に策定する5つの手順
緊急時でも役に立つコンティンジェンシープランを策定するには、分析や調査などの準備が必要になる。ここからはコンティンジェンシープランの効率的な策定手順を解説するので、ひとつずつ丁寧に確認しながら作業を進めていこう。
【STEP1】策定目的の設定
コンティンジェンシープランの策定目的は前述の通りだが、細かな目的は企業によって異なる。例えば、IT関連のシステムや技術をとり入れている企業では、サイバーセキュリティ対策を重点的に考える必要があるだろう。
策定目的はコンティンジェンシープランの方向性を決定づけるため、企業ごとに細かくカスタマイズすることが重要になる。携わるメンバーの意見も確認しながら、慎重に策定の目的を設定していこう。
【STEP2】リスクの洗い出し
策定目的が決まったら、次は自社に関連するリスクを洗い出していく。このステップで重要になるポイントは、潜在リスクも含めたあらゆる経営リスクを把握しておくことだ。
会社経営にはさまざまなリスクが潜んでおり、トラブルの発生時には思わぬリスクが顕在化することもある。そのため、事業や従業員などの内部要因はもちろん、顧客や取引先、市場環境などの外部要因も加味した上で、すべてのリスクを丁寧に洗い出しておきたい。
【STEP3】リスクの評価・特定
すべてのリスクに対してコンティンジェンシープランを策定すると、膨大な手間と時間がかかってしまう。また、なかには脅威になる可能性が低いリスクも含まれているため、次は各リスクの評価を行い、重点的に対策すべきものを特定していく。
リスクの評価・特定については、各リスクに深刻度と発生確率を割り当てる方法が効率的だ。
例えば、各リスクの深刻度・発生確率を「高・中・低」の3段階で評価しておくと、どのリスクが大きな脅威になり得るかを簡単に把握できる
なお、それぞれの評価が以下に該当するものについては、特にコンティンジェンシープランを策定する必要はない。
・深刻度と発生確率がともに「低」のリスク
・深刻度が「低」であり、発生確率が「中」のリスク
・深刻度が「中」であり、発生確率が「低」のリスク
上記以外のリスクは深刻な脅威になり得るため、綿密なコンティンジェンシープランの策定を推奨する。
【STEP4】リスク発生時の対応方法を決める
重点的に対策すべきリスクが判明したら、次は各リスクへの対応方法を定めていく。行動内容だけでは「誰が動くのか?」や「誰が責任を負うのか?」などが不明瞭になるため、このステップでは以下の4つの項目を決めておく必要がある。
このステップが終われば、コンティンジェンシープランの大部分を策定したことになるので、漏れが生じないように作業を進めていこう。
【STEP5】レビューと見直し
コンティンジェンシープランの質を高めるには、日々の改善が必要になる。特に策定の経験がない場合は、最初から完璧なプランを策定することは難しいので、頻繁にレビューと見直しを繰り返すことが必要だ。
もし新たなリスクや課題が見つかった場合は、関係者間で話し合いながら丁寧にブラッシュアップしていく。つまり、コンティンジェンシープランはPDCAサイクルによって改善すべきものなので、レビューと見直しの機会は積極的に設けていきたい。
コンティンジェンシープランを策定・運用する際の注意点
上記の手順を守っても、企業の状況次第ではスムーズにコンティンジェンシープランを策定できないことがある。ここからは、策定時に陥りやすい落とし穴と注意点をまとめたので、策定を始める前にしっかりとチェックしておこう。
1.プランの策定がゴールではない
コンティンジェンシープランの策定に力を入れすぎると、なかなか検証や実行までたどり着かないことがある。確かに質の高いプランは必要だが、最終的な目的は策定することではない。
したがって、策定にあまりにも時間がかかりそうな場合は、作成途中のプランを仮運用する方法もひとつの手だ。プランが完成していない状態であっても、実際に運用することで見えてくるポイントは多く存在する。
運用を通して社内に浸透させることも重要になるため、コンティンジェンシープランは策定だけではなく運用にも力を入れていこう。
2.周りからの理解を得られないことも
コンティンジェンシープランは緊急時の「予備計画」であるため、必ずしも役に立つものではない。また、策定時には大きな手間や時間がかかることから、企業によっては周囲からの理解を得られない場合もあるだろう。
このような状況下で策定を進めると、深刻なリスクを見落としたり、十分なレビューを得られなかったりする恐れがある。したがって、コンティンジェンシープランの策定前にはその必要性をしっかりと共有し、社内一丸となって策定できる体制を整えておくことが重要だ。
運用時には従業員からの協力も必要になるため、トップダウン型の企業であっても社内全体の理解はしっかりと得ておこう。
3.定期的な教育や研修が必要になる
深刻なリスクが発生すると、上層部(経営者や上司など)から具体的な指示を出せないこともある。現場スタッフによる判断が必要になる可能性もあるので、コンティンジェンシープランの運用に関しては従業員側の知識も必要だ。
したがって、コンティンジェンシープランを策定した後には、従業員への定期的な教育や研修、リマインダーなども徹底したい。
どのような企業にもコンティンジェンシープランは必要
コンティンジェンシープランは緊急時の予備計画ではあるものの、その必要性はますます高まっている。IT技術やシステムを使用していなくても、日本は台風や地震などの自然災害が多い国であるため、有事への備えは必須だ。
これまで特に意識してこなかった企業は、これを機にコンティンジェンシープランの策定に力を入れてみよう。
