導入
BCP は「作って終わり」ではなく “回し続けて改善” して初めて価値を生みます。ISO 22301 Clause 10 は パフォーマンス評価 → 内部監査 → 経営レビュー → 改善 をサイクルで回すことを要求し、COSO ERM や IIA Three Lines Model は 取締役会の可視性 を高める仕組みを求めています。本稿では KPI/KRI ダッシュボード と ボード向け四半期レポート を 30 日で実装する手順を示します。
ISO – Online Browsing Platform (OBP)
COSO – Enterprise Risk Management
PwC -Overseeing cyber risk: the board’s role
IIA – The IIA’s Three Lines Model (PDF)
ガバナンス参照フレームワーク
| フレームワーク | 目的 | 実装ポイント | 参照 |
|---|---|---|---|
| ISO 22301 Clause 10 | KPI/KRI の設定と改善 | RTO/RPO, 演習完了率, CAP Close 率 | ISO – Online Browsing Platform (OBP) |
| COSO ERM (2017) | 戦略とリスクの統合 | “リスク調整後 KPI” を財務指標に連結 | COSO – Enterprise Risk Management |
| IIA Three Lines Model (2020) | 役割分担・独立性の明確化 | 1st: Ops, 2nd: Risk/Compliance, 3rd: Internal Audit | IIA – The IIA’s Three Lines Model (PDF) |
| Gartner BCM Metrics (2024) | 実践的メトリクス例 | 平均復旧時間, 演習 ROI | Gartner – Risk Response Accelerator: Business Continuity Management |
| WEF Global Risks Indicators (2025) | マクロ KRI | 地政学・サプライチェーン指標を外部連携 | World Economic Forum – Global Risks Report 2025 |
KPI/KRI ダッシュボード設計
| カテゴリ | 代表指標 | 目標値 | データソース | 更新頻度 |
|---|---|---|---|---|
| 復旧能力 KPI | 平均 RTO (主要5システム) | ≤ 20 分 | DR ツール自動計測 | リアルタイム |
| 備え KPI | 演習完了率 | 100 % / 半期 | BCP LMS | 月次 |
| 脅威 KRI | 重大インシデント件数 | 0 / 四半期 | SIEM | 日次 |
| 性能 KRI | RTO 未達率 | 0 % | DR ダッシュボード | 月次 |
| 外部 KRI | Global Supply-Chain Pressure Index | ≤ 1σ | Fed Reserve/WEF | 月次 |
TIP: KPI は “目標達成度”、KRI は “早期警戒”。ISO 22301 では両方を要監視。
KPI/KRI ダッシュボード(サンプル)
| カテゴリー | 指標名 | 単位 | 目標値 | 最新値 | 状態 | 更新日 | データソース | 更新頻度 | 責任者 |
| 復旧能力 KPI | 平均RTO (主要5システム) | 分 | 20 | 18 | 良好 | 2025-04-29 | DRダッシュボード | リアルタイム | CIO |
| 備え KPI | 演習完了率 | % | 100 | 95 | 要改善 | 2025-04-29 | BCP LMS | 月次 | BCP Office |
| 脅威 KRI | 重大インシデント発生件数 | 件/四半期 | 0 | 1 | 注意 | 2025-04-29 | SIEM | 日次 | CISO |
| 性能 KRI | RTO未達率 | % | 0 | 5 | 注意 | 2025-04-29 | DRダッシュボード | 月次 | BCP Office |
| 外部 KRI | Global Supply‑Chain Pressure Index | 指数 | 1 | 1.3 | 注意 | 2025-04-29 | Fed Reserve / WEF | 月次 | Risk Mgmt |
取締役会レポートの5セクション
- 概要サマリ – 直近四半期の成果&課題
- 主要リスク動向 – 内外部 KRI とトレンド
- KPI ハイライト – 目標対比、トレンドチャート
- 改善計画 / 予算要求 – CAP 進捗と投資見込み
- 次期アクション – 次四半期の重点施策
取締役会レポートテンプレート(サンプル)
| 項目 | 内容サンプル | 責任部門 |
| 概要サマリ | 第2四半期はBCP演習を2件実施し、平均RTOは目標を達成。 | BCP Office |
| 主要リスク動向 | 地政学リスクの高まりによりサプライチェーン遮断リスクが上昇。 | Risk Mgmt |
| KPIハイライト | 平均RTO: 18分 (目標20分)、演習完了率: 95% (目標100%) | CIO Office |
| 改善計画・予算要求 | フェイルオーバー自動化追加予算 1200万円を要求。 | Finance |
| 次回アクション | 来期までに演習完了率を100%に引き上げる。 | BCP Office |
30 日ダッシュボード実装プラン
| 週 | マイルストーン | 完了条件 |
|---|---|---|
| 1 | KPI/KRI 定義 & データマッピング | データソース合意、算出式確定 |
| 2 | ダッシュボード試作 (BI ツール or Excel) | RAG ステータス自動反映 |
| 3 | ボードレポート雛形作成 | 5 セクション + グラフ完成 |
| 4 | ユーザーテスト & ロールアウト | CIO / Audit / Board にレビュー |
90 秒アクションチェックリスト
- KPI/KRI ダッシュボード に自社データを流し込み
- 取締役会レポートを次の定例会にアジェンダ追加
- Three Lines Model に基づき“レビュー責任者”を割当
- CAP 完了率を次回からダッシュボードに追加