「今日の来客の予定を確認して、郵便の発送、そして社内文書の整理をしないと……。」そんないつもと変わらない、平和な毎日を過ごしている総務担当者の方。日々の業務に忙殺されて、いつ来るかわからない「大地震」対策はできていますか?
マグニチュード8〜9想定の大地震が発生する可能性は、30年のうちに70%*と言われています。これは、30年の間に起こる確率なので、それが明日かもしれませんし、今、この瞬間かもしれません。
*南海トラフ地震が30年以内に70%の確率で起こる確率
また、地震以外にも、事業の継続にはさまざまな障害が立ちはだかります。「落雷」「洪水」といった自然災害のほか、「新型コロナウイルス 」などのパンデミックや「テロ」の脅威など、未曾有の危機に直面することもあります。
「もし○○が起きたらどうするか」。事業継続を妨げるリスクが発生した際について考えることを「リスクアセスメント(Risk Assessment、RA)」といいます。
事業継続計画(BCP)を考える際、このリスクアセスメントと前回紹介したビジネスインパクト診断(BIA)は欠かすことのできない大切な考え方。総務の方や防災担当者の方は、この考え方を知らずしてオフィスの防災はできません。
今回はリスクアセスメントが必要な理由、リスクの洗い出しなど、具体的な導入方法についてご紹介します。3ステップでリスクアセスメントを策定し、緊急事態に備えましょう。
【たった3ステップ】リスクアセスメントの考え方
リスクアセスメントの策定を実際に考えながら進めてみましょう。
(1)事業継続を妨げる障害とその対策を明確化(リスクの洗い出し)
ひとつめのステップは事業継続を妨げる障害とその対策を明確化することです。
企業が事業活動を何十年、何百年と継続する間、常に事業継続を揺るがすリスクが付きまといます。それこそ「地震」「洪水」「竜巻」などの自然災害に対するリスクや、新型ウイルスやテロといった新しい脅威と立ち向かわなければならないことも出てくるかもしれません。
また、リスクアセスメントは1回の確認では不十分。何度も見直し、内容を更新する必要があります。それは世の中で想定されているリスクが常に変化するからです。
社会や組織の変容に柔軟に対応し、常に新たなリスクについて考えることが重要です。このことを「リスクの洗い出し」と言います。
(2)リスク対策の優先順位を明確化(リスクの分析・評価)
多くのリスクを洗い出しても、すべてのリスクに対して同じだけの重点を置くことはできません。たとえば「地震」と「優秀な人材の流出」のリスクは同じでしょうか?「テロ」と「市場規模の収縮」は?同じ「リスク」といえど、その程度には差があることがわかります。そこでふたつめのステップとして、何を優先するかを決めておく必要があります。
リスク対策の優先順位は「リスクが顕在化する頻度」と「顕在化した際の損害の大きさ」のふたつで測ります。このことを「リスクの分析・評価」と言います。
(3)緊急事態の想定シナリオを統一化
3つめのステップ「緊急事態の想定シナリオの統一」は、緊急事態時の行動を左右する重要な役割を果たします。
たとえば首都直下型地震が発生したとき、会社はいったいどのような脅威に晒されるのでしょうか。
東京都に本社を構えるA社の防災担当、Bさん、Cさん、Dさんは、緊急事態時にどういった対応をするべきか考えて話し合う場を設けました。まだリスクアセスメントを考えていない状況です。
B:「社内に何泊も泊まる可能性があるから、備蓄は大量に必要だ」
C:「みんな歩いて帰れるだろうから、大量と言っても2泊分くらいでいいでしょう」
D:「そもそも備蓄よりもっと大事なことがあるんじゃないの?寝床はどうする?」
このように意見が食い違い、話がまとまりません。
こうした事態をなくすためには「緊急事態の想定シナリオを統一化」することが大切。たとえば首都直下型地震が発生した際、会社や社員はどのような状況に陥るのか。まずはそのシナリオを共有すると個々の意見のギャップを埋めることができます。
想定されるシナリオに違いがあれば当然、考えにはばらつきが出てしまい、災害が起きたときに安全かつ迅速な対応をとることはできません。緊急事態が発生してから考え始めていたのでは十分な対応はできないのです。
(1)リスクの洗い出しと(2)リスクの分析・評価をした上で、(3)想定シナリオを統一化していく。このリスクアセスメントをしてはじめて適切なBCPの策定が可能になるのです。
リスクの洗い出しと分析・評価について
では、具体的にリスクアセスメントはどのように進めていけばいいのか。まずはリスクの洗い出しと分析・評価の方法について見ていきましょう。
リスクを洗い出す前になぜリスクを洗い出す必要があるのか、その目的を考えます。売り上げのアップか、ステークホルダーを守るためか。はたまた人材育成か。それらの目的がはっきりすると、目的に対する障害がより明白に見えてきます。
(1)リスクの洗い出しの方法
企業のリスクを洗い出すために、まずはどのような脅威が存在するのかを考えてみましょう。以下のように大枠のカテゴリを用意すると思いつきやすいかもしれません。このときに大切なことは「リスクをすべて洗い出すこと」です。
・自然災害のリスク
地震、洪水、竜巻、落雷、大雨、地盤沈下、噴火、豪雪など
・事故のリスク
設備の故障、停電、断水、爆発、漏電、発火、交通事故など
・オペレーション、人的被害のリスク
手続きの不備、受注ミス、混雑、商品の誤配送など
・情報セキュリティのリスク
コンピューターの緊急停止、個人情報の漏洩、バグ、機器故障など
・法務のリスク
財務諸表の虚偽、海外での企業活動によるリスク、製造物責任によるリスク、契約書によるリスクなど
・不正・内部統制のリスク
架空計上、インサイダー取引、反社会的勢力との交流など
・政治・経済のリスク
テロ、戦争の勃発、為替変動、競合他社の台頭や不正など
・人事・労務のリスク
人材の流出、社内の士気の低下、モラハラ、パワハラ、ストライキ、派遣労働者・契約社員の雇い止めなど
・労働安全衛生のリスク
労働時間の管理、感染症、ストレス、過労(過労死)など
目的に対するリスクをすべて洗い出すと、やるべきことがはっきりと見えてきます。リスクを浮き彫りにすることができたら、次は「リスクの分析・評価」に進みましょう。
(2)リスクの分析・評価の方法
企業のリソース(「人」「モノ」「金」「情報」を含む、経営資源のすべて)には限りがあり、すべてのリスクに対応することは現実的ではありません。そこでリスクの分析・評価をすることでリスクに優先順位をつけることができます。
リスクの優先順位は「顕在化する頻度」と「顕在化した際の損害の大きさ」のふたつで測ります。洗い出されたリスクを以下の「リスクマップ」に当てはめてみましょう。
| 顕在化した際の損害の大きさ | 4 | 地震・津波 | |||
| 3 | 洪水・個人情報漏洩・赤字 | 停電 | 競合企業の台頭・技術の陳腐化 | ||
| 2 | 環境汚染 | ストライキ | 従業員の士気の低下 | 人材の流出 | |
| 1 | 知的財産権の被侵害 | 人権侵害、雇用差別 | 従業員の不正 | 商品の誤発送・商品の欠陥・ハラスメント・クレーム対応の失敗 | |
| 1 | 2 | 3 | 4 | ||
| 顕在化する頻度 | |||||
右上のマスであるほど「頻度が高く、損害が大きい」という意味になります。「頻度が低く、損害が小さい」とされる1-1のマスは、比較的優先度が低くなります。
リスクアセスメントをBCPに導入するための手順
リスクマップの作成が終われば、いよいよBCPに盛り込みます。
BCPとは、「Business Continuity Plan」の略で、日本語では「事業継続計画」と呼ばれます。これは、企業が緊急事態に直面した場合に、損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするため、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のことです。
リスクマップの4-4マスに近いものを積極的にBCPとして取り入れるべきではありません。優先順位が高くとも、日々の業務で防ぐことが一般的なものもあります。たとえば「人材の流出」「商品の誤発送」は日々の業務で積極的に見直すべきものです。BCPとして考える大きさのものではありません。
ではBCP策定をするに値するリスクとは何か。それは「頻度が低くとも損害の大きい、非日常的なリスク」です。さらに言うと、企業のリソースに多くの影響を与えるものを考えるといいでしょう。
たとえば自社が津波に襲われた際、どんなことが起こりうるでしょうか。また企業のリソースへの影響はどのようなものがあるのでしょうか。
「人」……津波に巻き込まれたことによる交通インフラの荒れで、欠勤など
「モノ」……オフィスにダメージがあったり、エントランスが破壊されてしまうなど
「金」……商品がずぶ濡れで商品価値の低下など
「情報」……ネットワークが繋がらなくなったり、情報漏洩してしまうなど
このように、多方面への影響を及ぼしてしまう「津波」は、BCP策定に値するリスクといえます。次に「パワハラ」について考えてみましょう。
「人」……パワハラを受けた人が辞めてしまう、もしくはパワハラを起こした本人の異動や辞令など
「モノ」……特になし
「金」……人件費など
「情報」……特になし
もっと考えれば多くのリスクが出てくるかもしれませんが、それでも「津波」のリスクには及びません。このように、リソースに影響の大きいリスクに対してBCP策定をしましょう。
■ビジネスインパクト分析はBCP策定に不可欠!「ビジネス」視点で防災を考えよう
リスクアセスメントと一緒に知っておきたい「ビジネスインパクト分析」について解説しています。
■BCPとは? 便利なテンプレ集3選と、管理手法であるBCMまでを一挙解説
リスクアセスメントとビジネスインパクト分析が完了したら、まとめとして「BCP」の形にしましょう。
■BCP改善のために欠かせない「机上訓練」を成功させるには
BCPは作るだけで終わりにしてはいけません。BCPを改善するための「机上訓練」について解説しています。
まとめ
企業の事業継続にはさまざまなリスクがつきもの。「リスクアセスメント」自体は難しくなく、新しい考え方でもありません。企業の経営陣が事業を推進するうえで考えていることでもあります。
改めてリスクについて考えることで、企業としてどのような目的を持ち、どのように施策を打つべきなのか。新たな脅威は何か、目を光らせておくことができます。
事業を永続的に継続するために必要な「リスクアセスメント」。未曾有の事態に陥ってから対応していては手遅れになります。企業のステークホルダーを守るためにも常にリスクアセスメントを実施し、BCPについて考えましょう。
