【BCP コラム】BCP リスク評価(Risk Assessment) の手法 その1
リスクの特定(Risk Identifiction)
・リスク評価(Risk Assessment)は、BCP策定に限らずリスクマネージメント全般において、意思決定や予防策などを含めた対応策を考える際に必要不可欠なプロセスです。
・一般的にリスク評価(Risk Assessment)は、、②リスク分析(Risk Analysis)、③リスク評価(Risk Evaluation)からなりますが(※)、ここでは、ISO311010 “Risk Management-Risk assessment Techniques”をもとに、①リスクの特定(Risk Identification)の手法について紹介します。
※ いろいろな手法がありますので、あくまで一例とご認識ください。
リスク特定の目的:
・目的は当該の組織やシステムが設定している目標に対して、影響を及ぼしえるリスクや
リスク状況(環境)などを特定することです。
・従って、いうまでもなく、当該の組織やシステムが設定している目標を明らかにして共有する必要があります(チームなどでリスク特定作業を行う場合)。組織には様々なシステムがあると思いますが、そのシステムの目標の明確化は見逃されがちではないしょうか。“急がば回れ”ではありませんが、一度きちんと整理することにより爾後の作業が容易になると思います。
リスク特定の手法:
・ISO311010には手法として、以下3つが挙げられています
-実際の事象に基づく手法(Evidence Based Methods)
-システマティックなチームアプローチ
-HAZOPのような帰納法による手法(Inductive reasoning techniques)
・実際の特定作業においては複数の手法を組み合わせて特定していく場合が多いと思いますが、中でも“実際の事象に基づく手法(Evidence Based Methods)”が最も取り組みやすくベースとなる手法となる場合が多いのではないでしょうか。いくらでも情報を入手できる現在においては、自社内の事例のみならずアンテナを立てておくだけで他社、他組織の事例などに接することができます。加えて、対象や状況が広がりつつあるハラスメントなどの社会のトレンドにもアンテナを張っておけば、新たにリスクとなりえる事象も容易に認識できるでしょう。
・ただし、BCPやリスクマネジメントに関心がなく、組織としてリスクにかかる社会の動向が全く分からないといった場合は、リスク特定のみでも難儀かもしてません(そのような場合はコンサルタントをご活用ください)。
・ISO311010には支援的手法として、ブレインストーミングやデルファイ法などが挙げられています。
リスク特定作業を行う上での推奨:
・普段からBCPやリスクマネジメントに関心をもって、組織的に社会の動向や他組織のリスク事案などに注目し要すれば分析、組織内で共有することが必要だと思います。
・BCPやリスクマネジメントは、紛れもなく経営マネジメントの一環です。リスクマネジメント体制構築やBCP策定においては、経営層が担当者や担当部署を指名しリスクそのものを認識できるような体制を構築することがその第一歩になるといえるでしょう。(了)