Home >リスクマネジメント・ラボ > 事業継続マネジメント 

リスクマネジメントの専門知識・事例を学ぶ

リスクマネジメント・ラボ
第7回 2011年5月
第6回 2011年2月
第5回 2010年11月
第4回 2010年8月
第3回 2010年5月
第2回 2010年2月
第1回 2009年10月

CBCIの対策講座としての最適! BCMの基本が学べる
BCM-RM研修コース」開催中

Business Continuity Institute (BCI) 日本支部 事務局長 前田 泉  
5回

BCMSの導入及び運用(2.組織の理解-リスクアセスメント)
前回はBCMSの導入及び運用における「組織の理解」の目的と「事業インパクト分析」について説明しました。今回は、「事業インパクト分析」の結果特定された「重要な活動」を継続するため、これら活動を支える経営資源に対する脅威やぜい弱性を組織において明らかにする「リスクアセスメント(4.1.2)」について、主要なポイントをおさえたいと思います。

1. 「リスクアセスメント」の目的
2. 「リスクアセスメント」の方法
3. 「リスクアセスメントの成果

 

1. 「リスクアセスメント」の目的

リスクアセスメントの目的は、万一、リスクが顕在化した場合、組織にとって最も重要な活動に中断を生じる可能性とその影響を減じるための対応を明らかにしておくことです。
(事業継続マネジメント実践ガイドライン2010 (Good Practice Guideline(GPG)2010 - Evaluating Threats Through Risk Assessment)

□ 重要な活動に対して中断(混乱)を与える可能性のある内部及び外部の脅威を特定すること。
□ 特定された脅威のそれぞれについて、発生可能性(発生確率)及びその影響を明らかにすること。
□ 組織が定める方法によって対応すべき脅威に優先順位を付けること。
□ 事業継続計画(BCP)策定に必要とされる情報を提供すること。

 

2. 「リスク」と「脅威」

「リスク」とは不確実性であり、事業投機のようにプラスの効果をもたらすこともあれば、マイナスの効果をもたらすことがあります。また、薬のように、症状に効くプラスの面と、副作用といったマイナスの面の両面が合わせてもたらされる場合もあります。

何かしらの直接的な脅威(Peril)に起因して、リスクが顕在化しますが、それをとりまく環境要因(Hazard)によって、リスクの範囲が広がったり影響が悪化したりするケースがあります。

 

リスクの評価は一般に以下に従い算定されます。

リスク = 脅威のインパクト x 発生確率
(GPG2010 - Evaluating Threats Through Risk Assessment)

American Productivity and Quality Center(APQC)のビジネスプロセスは、この分野での国際的なベンチマークとなっています。たとえば、組織の一事業を重要な活動と定めた場合、このようなバリューチェーンにおける脅威の特定も重要なリスクアセスメントのアプローチとなります。



(上記は1996年版。最新版についてはhttp://www.apqc.org/process-classification-frameworkを参照ください。) 

ここで注意すべきは、一般的な、社内のバリューチェーン(例1)のみに目を奪われるのではなく、それ以外に外的環境(例2)の変化にもよく情報の網を張りめぐらして、自組織の事業継続に重大な影響を与える脅威がないか、よく分析しておく必要があります。

バリューチェーン

外的環境

 

3. 「リスクアセスメント」の方法
「リスクアセスメント」の方法は次のとおりです。

□ 事業インパクト分析で決定した組織の最も重要な活動に対し中断を生じるような内部および外部の知られたる脅威をリスト化すること。
□ 脅威のインパクトと発生確率について、リスクアセスメントのための数値評価システムを確立し、トップマネジメントの承認を得ること。
□ 承認された評価システムを用いて個々の脅威により発生する組織への影響を予測すること。
□ 承認された評価システムに従って脅威の発生確率とその程度を決定すること。
□ 承認された計算式に従って、脅威のインパクトと発生確率の数値評価を組み合わせて個々の脅威を評価すること。
□ 数値評価されたリスク分析結果をレビューすること。
□ リスクのレベルに応じて脅威に優先順位付けを行うこと。
□ 許容できないリスク領域と単一障害点を明確にすること。
□ 組織が既にリスク管理制御プログラムを保有している場合には、当該プログラムの責任者に脅威評価結果を伝達すること。
□ 組織の最も重要な活動を中断する脅威を低減すること。

(GPG2010 - Evaluating Threats Through Risk Assessment)


リスクアセスメントは、多くの組織ですでにPDCAサイクルとして運用されているケースが多いと思いますが、事業インパクト分析で行ったとおり、時季やタイミング等時間のファクターで脅威の重要度に差異が発生する場合があること、リスクそのものがリスクアセスメントの目的ではなく「重要な事業」への「インパクト」がポイントであること、に十分留意する必要があります。

次回は、BCMSの導入及び運用(事業継続戦略の決定)について説明します。

『月刊ISOマネジメント』(日刊工業新聞出版社刊)/RMCAリレー連載⑭「企業経営を強化する実践リスクマネジメント講座」/2010年8月号掲載

執筆者:前田 泉(まえだ いずみ)
 シニアリスクコンサルタント®
 日本リスクマネジャー&コンサルタント協会 理事
 事業継続協会(BCI日本支部) 理事 事務局長
 URL:http://thebci.jp/
 電子メール:imaeda@thebci.jp
 BCM-RM研修コース講師