運用上のレジリエンスとは、有害事象が発生しても、顧客を満足させ、製品やサービスを提供し、従業員を保護する企業の能力です。
企業は、有害な運用上の事象を予測、防止し、そこから回復して適応できれば、運用上のレジリエンスを実現できます。こうした事象には、ハッキング、火災、パンデミック、悪天候、ネットワークの停止などがあります。
現代は予測不可能な世界です。今日の厳しいビジネス環境では、オペレーショナルリスクがあふれており、まったく予期しないタイミングで発生することがあります。新型コロナウイルスによる危機はわかりやすい例です。2020 年初頭の数か月間に世界的なパンデミックが発生したため、世界中のビジネスは完全に混乱に陥り、成長を続けていた多くの企業も停滞したり倒産したりしました。
しかし、こうした危機的状況の中にあって、難局に効果的に備え、嵐を乗り切ることができた企業があります。成功できたこれらの企業と、壊滅的な損失を被った他の多くの企業を分けたものは何でしょうか。多くの場合、答えは「運用上のレジリエンス」です。
ビジネスの挫折は避けられないものです。システムは故障し、サイバー攻撃は発生し、局地的な災害は発生します。世界的なパンデミックが日常的に (または世代ごとに) 発生することはなくても、他の種類の混乱は発生し得るし、今後も発生するでしょう。企業の脆弱性がどこにあるかを特定し、時間をかけて基礎となる要素を開発することで、企業は迅速に混乱に備え、混乱から回復し、顧客への影響を最小限に抑えることができます。
ビジネスのすべての機能は、運用上のレジリエンスを維持し、促進する上で重要な役割を果たします。ただし、企業内の役員レベルのマネージャーは、特有の圧力に対処し、展望を持つ必要があります。次のことを考慮に入れてください。
オペレーショナルリスクを迅速に特定し、対応するには、適切なガバナンスを整備することが重要です。
IT チームは、特に企業がクラウドに移行し、DevOps をデジタル化する中で、既存/未知の脅威を特定し、それに対処する必要があります。
運用上のレジリエンスは、収益とキャッシュフローに大きく依存しています。新規プロジェクトの立ち上げ時に、企業が資金調達できるように、問題点や問題のある契約に常に目を光らせておく必要があります。
セキュリティチームが、新たな脅威に対し先を見越した対応ができるように、複数の場所からの可視性と報告が必要です。
適切なデータを収集し、地政学的な微妙な違いに対処することは困難です。施設チームがグローバル拠点の強みと弱みを瞬時に把握する必要がある場合は、特にその傾向が強くなります。
人事チームは、従業員や請負業者がチームに参加するとき、あるいはチームを変わるときに、データを収集、要求、照合して、従業員等が適切なアクセス権や権利を持っていることを確認する必要があります。
混乱に対処するときは、緊急事態の場合と同じ注意が必要です。行動計画に従い、パニックに陥らないようにします。緊急事態に対処し、有利な立場で切り抜けるために、成功する企業は、次の 4 段階のレジリエンスライフサイクルに従っています。
壊滅的な事象が発生した後では、企業内のサイロからデータの不備、ツールの違いに至るまで、継続的な運用に不可欠なサービス、人材、プロセスを特定することは困難です。what-if シナリオ分析を実行し、最良の結果、最悪の結果、最も可能性の高い結果に応じた計画を作成します。
運用手順は、リスクやコンプライアンスではなく、効率性を重視して設計される傾向があります。自動化の進んだ予防措置ではなく、是正ツールに依存する傾向もあります。残念ながら、これにより、ビジネスの防御に間隙が生じ、対応が非常に困難になります。代わりにリスクとコンプライアンスアクティビティを日常のプロセスに組み入れ、可能な場合は自動化し、企業全体に共通のデータソースを使用し、インシデントを継続的に監視することで、多くの緊急事象のインシデント対応を、悪影響が出る前に対処できるレベルにまで最適化できます。
運用上の継続性に対する最悪の手法は、災害が起きるまで待ってから対処方法を決定することでしょう。ベンダーやサプライヤー間のコミュニケーション不足、不正確または不完全な情報、十分なトレーニングを受けていないスタッフが要因となって、企業は情報に基づかない拙速な意思決定を行うことになってしまい、実際には益よりも害の方が大きくなる可能性があります。詳細な継続性計画を作成することで、企業が平静を保ち、リスクを軽減し、迅速に回復するための青写真ができます。計画が主要な意思決定者によるレビューと承認を受けたことを確認し、実施する前にその有効性をテストします。
効果的な運用上のレジリエンスにより、企業は災害から立ち直ることができます。ただし、生き残ることを重視しすぎると、企業は、混乱がもたらす独特の学習体験を見失ってしまうことがあります。重要なインサイトを適応し、学ぶことができれば、企業と対応計画を改善して、将来の混乱に適切に対処できます。緊急事態に備えてプログラムを用意し、関連データを収集し、結果のレビューと分析を行い、重要な結論をチームに伝達できるようにしておきます。
運用上のレジリエンスは、重要なビジネス製品やサービスの提供に影響を与える可能性がある業務の中断を、検出、防止し、それに対応し、それから学習、回復する能力です。事業継続性管理 (business continuity management, BCM) は、事業が中断された場合に、事業の保護または代替方法を提供するための戦略を設計、開発、維持し、行動計画を履行するものです。
システム、プロセス、ビジネスライン、資産、人材、サードパーティなど、企業に影響を与える内部要因と外部要因を考慮に入れることが重要です。レジリエントな運用では、リスクの相互関連性と相互依存性を調べ、それが企業に与える影響を確かめます。効果的に管理されたリスク管理ポートフォリオでは、部門や業務を横断して、すべての潜在的な脅威を全体的に評価します。
リスクを、すべての人が理解できる用語に置き換えます。共通の言語により、組織内の潜在的なリスクをより包括的に分析し、文書化できます。共通の言語を使用すれば、企業がリスクや変化する状況への適応を検討する中で、リスクとリスク対効果に関する有意義な議論も生まれます。
同じ事象が 2 つあるわけではありませんが、各事象から学ぶことはたくさんあります。主要なリスクが企業全体のどこに存在するかを評価し、考えうる回避策を実施して、企業が変化する状況に適応できるように支援します。堅牢なシステム、柔軟なプロセス、レジリエントな文化、コラボレーション環境はすべて重要です。
企業は、重要なテクノロジーとシステムに依存しています。運用上のレジリエンスには、これらの重要な資産とサービスの全体像、主要なオープンインシデントに関する情報、現在は信頼できる計画がない資産の記録が必要です。最も重要な資産と、資産が直面している主なリスクを特定します。これらのリスクには、認証、接続性、暗号化、脆弱性への対応などがあります。
災害やその他の緊急事態が発生した場合は、従業員の健康を最優先する必要があります。先を見越したコラボレーション、コミュニケーション、リーダーシップを重視して、従業員の安全を確保し、生産性を維持できるようにします。人事システムやアプリのデータを活用して、確立されたコントロールへの準拠を確認し、アラート、トレーニング、ポリシーを提供して、潜在的に危険な状況や混乱した状況に、従業員が適切に備えられるようにします。
停電、洪水、火災などによる施設の停止は、ビジネスを停止に追い込む可能性があります。運用上のレジリエンスは、施設内の安全性とコンプライアンスを維持し、ステータス情報と重要なコントロールに確実にアクセスできるようにします。
企業が十分な備えをし、きわめてレジリエントである場合でも、取引相手のサードパーティが潜在的な問題を引き起こす可能性があります。リスクとコンプライアンスのアセスメントは、サプライヤー、コンサルタント、ベンダーの事業継続性とリスク管理のプログラムの評価に役立ちます。必要に応じて、契約書にポリシーへのコンプライアンスを記載し、セカンドソーシングにより多様化を改善します。
一般的な組織上のサイロやデータサイロによって生じる、ギャップ、遅延、間接費の問題を克服します。