緊急時対応計画のプロセスは、各リスクの潜在的な影響を評価するためのリスク評価から始まります。通常、リスク分析はビジネスリーダーと従業員によって実施されます。チームメンバーはブレインストーミングセッションから始まり、潜在的なリスク、行動方針、会社全体の準備状況について話し合います。この段階では、プロジェクトの範囲を明確にし、すべての関係者に意見を求めることが重要です。企業は、直面するすべての脅威に対してリスク管理計画を作成する必要はありません。リスク管理計画を作成する必要があるのは、可能性が高く、事業運営を中断する可能性があると考えられる脅威だけです。

効果的なビジネス影響分析 (BIA) は、さまざまなビジネス機能と、予期せぬイベントにどのように反応するかを理解するために重要です。たとえば、マイクロプロセッサの不足は、ゲーム機の製造を扱う企業の一部にとっては壊滅的な影響を与える可能性がありますが、同じ会社の人事部門にはほとんど影響を及ぼさない可能性があります。

この特定の脅威に対する行動計画の作成の緊急性を評価するには、マイクロプロセッサ不足によって脅かされているビジネスの部分から収益のどれだけが生み出されているかを知る必要があります。ゲーム機が収益に占める割合が高い場合、すぐに強力な計画を立てたいと思うでしょう。適切に開発された BIA は、関係者がリスクを評価し、ビジネスのどの部分が日常業務にとって最も重要であるかをより深く理解するのに役立ちます。

企業が直面するリスクを特定し、各リスクの可能性と重大度を判断し、BIA を実施した後、ビジネス リーダーは、シンプルな 3 ステップのプロセスに従ってバックアップ計画を構築できます。

計画を実行するトリガーを特定します。 たとえば、ハリケーンが近づいている場合、嵐の接近により、どの時点で緊急時対応計画がトリガーされますか?50マイル離れたとき—100? 実行を担当するチームがいつ作業を開始するかを把握できるように、明確な決定を下す必要があります。

適切な対応を設計する: ビジネスが準備していた脅威が到来しました。会社が迅速に回復できるように、チームは自分たちに何が期待されているかを正確に知る必要があります。明確でアクセスしやすい指示、従うのが簡単なプロトコル、全員が相互に通信できる方法が必要です。

責任を明確かつ公平に委任する: 他の取り組みと同様、緊急時対応計画を成功させるには、効果的なプロジェクト管理が必要です。自然災害などの存続の脅威が発生した場合、会社の復旧支援に携わる全員が自分の役割を理解し、その役割を果たすために必要な適切な訓練を受けている必要があります。たとえば、火災の場合、消火の訓練を受けていない従業員がホースを手に取ることを期待するのは不公平です。しかし、適切な訓練を行えば、従業員の数を数えたり、各階を訪問して他の従業員が避難していることを確認したりすることができます。

計画を設計するときにチーム間のワークフローを改善する 1 つの方法は、 RACI チャートを作成することです。 RACI は 責任、責任、相談、情報提供 を意味し、チームや個人が責任を委任し、リアルタイムで危機に対応するのに役立つプロセスとして広く使用されています。

決して起こらないかもしれないことに資金を投入することの重要性を正当化するのは難しいかもしれませんが、ここ数年間は、適切な緊急時対応計画の価値を私たちに教えてくれました。サプライチェーンの問題、個人用保護具の深刻な不足、パンデミックによってもたらされた財政的大混乱について考えてみましょう。組織が直面している種類の脅威に対して効果的な緊急時対応計画を立てていたら、何が変わっていたでしょうか?

緊急時対応計画への投資の重要性をビジネスリーダーに説得する場合、コストと不確実性が大きな障壁となります。緊急時対応計画のコストはすべて見積もられているため、イベントがどのようにビジネスに混乱をもたらすかを正確に知る方法がないため、意思決定者が躊躇するのは当然です。

業界が異なれば、この問題への取り組み方も異なります。建設業界では、プロジェクト全体の予算の 10% を不測の事態に備えて確保しておくのが一般的です。他の業界では、さまざまな方法を使用しています。 一般的な方法の 1 つは、リスクが発生する可能性の割合に基づいてリスクを推定するものです。この方法によれば、200,000 米ドルの復旧費用が発生するイベントが発生するリスクが 25% ある場合、企業は緊急時対応計画に準拠するために 25 パーセント、つまり 50,000 米ドルを確保しておく必要があります。

市場や業界は常に変化しているため、緊急時対応計画が発動されたときに直面する現実は、その計画が作成されたときの現実とは大きく異なる可能性があります。たとえば、9/11のテロ攻撃の後、米国政府が策定していた緊急時対応計画の多くは、数十年前に準備されていたため、突然無意味になった。

計画と脅威との間に同様の断絶が生じるのを避けるために、企業は作成した計画を常にテストし、再評価する必要があります。たとえば、IBM のガイドラインでは、計画を少なくとも年に 1 回テストし、必要に応じて改善することが義務付けられています。新しいリスクが発見され、その重大度と可能性が十分に高いと判断された場合、古い計画は完全に廃止される可能性があります。

強力な計画を立てている企業は、そうでない企業よりも破壊的な出来事からより早く回復します。マイナスの出来事が発生した場合、ビジネスがより早く回復し、通常の業務に戻るほど、会社、顧客、従業員に対するリスクは低くなります。

適切な緊急時対応計画は、企業の評判と財務の両方へのダメージを最小限に抑えます。たとえば、データ侵害は間違いなく銀行の評判と収益にダメージを与えますが、銀行がどのように対応するかは、顧客が銀行との取引を継続するかどうかに重要な役割を果たします。

多くの組織は、従業員や顧客に、準備に真剣に取り組んでいることを示すために、強力な緊急時対応計画を使用しています。ビジネスリーダーは、損害を与える可能性のある幅広いイベントを計画することで、投資家、顧客、従業員に対し、リスクを最小限に抑えるために必要な措置を講じていることを示すことができます。

リスクの深刻さと可能性: メーカーは、特定の航空機部品を調達している地域でのニュースを追跡しており、そこでの混乱の可能性が「高い」と判断しています。彼らは最初は別のサプライヤーを探しましたが、見つけるまでに数か月、場合によっては数年もかかることがすぐにわかりました。この部品はすべての航空機の建設に必要であるため、この混乱の深刻度も「高」と評価しています。

きっかけ: サプライヤーは、原産国での破壊的な地政学的な出来事により、必要な部品が間もなく不足することをメーカーに知らせます。

対応: メーカーは、より安定した国で、切望されている部品の新しいサプライヤーを探し始めます。

リスクの重大度と可能性: 銀行の管理者は、アプリの脆弱性を認識しており、修正に取り組んでいます。アプリがハッキングされ、情報システムが侵害された場合、重要な顧客データが失われる可能性があります。金融機関として望ましいターゲットであるため、彼らはこのイベントの可能性が「高い」と評価しています。また、競合他社が同様の状況に直面しているのを見て、このような出来事が起こった場合、自社のビジネスに混乱が生じる可能性が大きいことも彼らは知っています。彼らはこのリスクの重大度も「高い」と評価しています。

トリガー: IT 部門は、銀行のアプリがハッキングされ、顧客のデータが安全ではなくなったことを銀行のマネージャーに認識させます。

対応: アプリはただちにシャットダウンされ、顧客にはデータが侵害されたことが通知されます。彼らは、自分たちのお金にアクセスでき、自分の個人情報がダークウェブ上で誰にも公開されないようにするために銀行が講じている措置を認識させられます。このシナリオ用に特別に訓練されたセキュリティ専門家のオンコール チームが、銀行システムを復元し、顧客情報を保護するために派遣されます。

リスクの深刻さと可能性: 発電所の管理者は、深刻な洪水が未処理の水が市内の道路や公共水路に広がる可能性があることを知っています。差し迫った嵐を考慮すると、このリスクの重大度とその可能性は両方とも「高い」とみなされます。 」

トリガー：ハリケーンの進路は都市に向かって向きを変え、「安全」と評価された基準を超える風速で100マイルも離れていない場所に近づきます。プラントのコンティンジェンシープランが実行に移されました。

対応: 必要な作業員は全員年中無休で工場に呼び戻され、ハリケーンが到来する前にできるだけ多くの水を処理するための措置が講じられています。彼らの計画によれば、残ったものはすべて、ハリケーンに耐えるように設計された貯蔵タンクにポンプで移送される予定だ。風速が一定の速度に達すると、工場自体が停止し、作業員全員が避難します。