今回は、ディザスタ・リカバリ対策を進める上で、最初に取り組まなければならない“リスクの洗い出しとインパクトの評価”について紹介したい。

　ここでの目的は、自社のビジネスが抱えているリスクをもれなく把握し、その重要性を見極めることである。ここで導き出された結果から、実際のディザスタ・リカバリ対策の計画が作られていくことになる。

　“リスクの洗い出しとインパクトの評価”は、以下の5つの作業に分割できる。

（1）社内の業務プロセスの洗い出し
（2）業務プロセスの優先順位づけ
（3）各業務プロセスとビジネス・インフラ（含むIT）との関連づけ
（4）各業務・各ビジネス・インフラで抱えているリスクの洗い出し
（5）（4）の結果を重要性（（2）の結果から）と発生可能性の両面から評価

　この作業の結果が具体的な対策の成否に大きな影響を与える。ここでの一連の作業を実行していくためには、経営トップのスポンサーシップによるプロジェクトチームの結成が必要となる。

　このプロジェクトチームには、社内の各部門からそれぞれの業務エリアのエキスパートの参画が重要であろう。

　プロジェクトのリーダーとしては“ビジネスリスク”と“ITリスク”の両面を分析できなければならない。社内で適切な人材をアサインできない場合は、外部のコンサルタントやシステム監査などの外部からの支援を依頼することも検討すべきであろう。

　“業務プロセスの優先順位付け”を行う際に注目すべきは、部門間、企業間をまたがるプロセスである。

　部門内や企業内で完結しているプロセスであれば、緊急時でもその組織における影響を把握しやすく、適切な対応を見極めやすいが、組織をまたがるプロセスの場合は、その業務が止まってしまうことの影響は大きく、その範囲を把握することは難しい。どのような対応をすべきかの判断を下すことも難しい。

　取引先と連携したプロセスが止まってしまった場合は、自社で発生している問題によって、取引先にまでその被害が及ぶことになる。

　また、問題が解決した後の取引先との関係に影響を与える可能性も高い。

　そのようなプロセスを支えているITインフラを守ること、また緊急時の対応や手順について十分な準備をしておくことは、企業間取引のIT化が進んだ現在のビジネス環境においては、企業が果たさなければならない義務といえるだろう。（コンピュータ・アソシエイツ　テクノロジー ディビジョン　コンサルティングディレクター　宮下 毅）