この物語は、BCMSチームメンバーである「みならい君」が、上司や先輩に指導を受けながら自社のBCMを構築する物語です。
第3回 リスクアセスメントの実施プロセス
リスクアセスメントとは
いさお常務
みんな揃ったかな?そろそろ3回目のミーティングを実施するよ!
みならい君
は~い、準備OKで~す!
けいこ先輩
本日もよろしくお願いします。
本日は、前回実施した事業影響分析結果の「BIAワークシート」に基づいてリスクアセスメントを実施していくんですね。
本日は、前回実施した事業影響分析結果の「BIAワークシート」に基づいてリスクアセスメントを実施していくんですね。
いさお常務
そうだね。ところで、みならい君、リスクアセスメントの目的を一言でいうと何かな?
みならい君
はい、任せてください!リスクを特定し、評価し、分析して…え~っと、とにかく、リスクを管理することですよね!
いさお常務
う~ん、大体は理解してそうだね。だけどなんだか、リスクマネジメントとリスクアセスメントが混在しているようだね。
けいこ先輩
常務、私もリスクマネジメントとリスクアセスメントの違いがよく理解できていません。
いさお常務
それでは、今日はその辺を整理することから始めようか。
みならい君
よろしくお願いしま~す。
けいこ先輩
よろしくお願いします。
いさお常務
まずは、”リスク“を管理する枠組み、すなわち、リスクを特定し、分析し、評価した結果に基づき、特定されたリスクの取り扱いを決定し、リスク対応策を導入し、その有効性を評価した上で必要に応じ改善する活動全体を“リスクマネジメント”というんだよ。
そのマネジメントサイクルのPlanにあたる部分が“リスクアセスメント”なんだよ。
そのマネジメントサイクルのPlanにあたる部分が“リスクアセスメント”なんだよ。
けいこ先輩
なるほど、だからISO22301:2012でも、リスクアセスメントの要求事項である“8.2.3リスクアセスメント(Plan)”とリスク対応の要求事項である“8.3.3保護及び軽減(Do)”は分かれているんですね!
いさお常務
そうだね、よく気が付いたね!
みならい君
なるほど、そうすると、リスクマネジメントのチェックが“9.1.1一般の監視及測定”にあたり、Actが“10.2継続的改善”に該当するんですね!
いさお常務
おっ!みならい君も、勉強しているね~。
みならい君
えへへへ。
いさお常務
最後にまとめると、リスクアセスメントとは、何が発生する可能性があるのか?それが引き起こす結果はどのようなものになるのか?その発生しやすさはどのくらいか?影響の低減または発生の可能性の低減できそうなものはあるか?の4つのポイントを明確にすることなんだよ。
リスクの特定
いさお常務
それでは、実施前にやるべきことを整理しよう。
けいこ先輩
はい!まずリスクアセスメントのステップは、
- BIAで特定した“復旧優先業務(工程)”とそれを支える経営資源に対するリスクを特定すること
- 特定されたリスクを体系的に分析すること、
- 対応を必要とする業務の中断・阻害を引き起こすリスクを評価すること、
- 事業継続目的に適合し、リスク選好に従った対応策を特定すること
ですよね!
みならい君
ということは、
1.が、リスク特定(リスクを発見、認識及び記述するプロセス)に該当し、
2.が、リスク分析(リスクの特質を理解し、リスクレベルを決定するプロセス)に該当し、
3.が、リスク評価(リスクおよび、またはその大きさが、受容可能か許容可能か決定するために、リスク分析の結果をリスク基準と比較するプロセス)に該当するんですね!
そして、4.で決定したリスク対応策は、先ほど言ったように、次回のミーティング(事業継続戦略の決定)の中の“8.3.3保護および軽減”で具体的な対策を決定するんですね!
1.が、リスク特定(リスクを発見、認識及び記述するプロセス)に該当し、
2.が、リスク分析(リスクの特質を理解し、リスクレベルを決定するプロセス)に該当し、
3.が、リスク評価(リスクおよび、またはその大きさが、受容可能か許容可能か決定するために、リスク分析の結果をリスク基準と比較するプロセス)に該当するんですね!
そして、4.で決定したリスク対応策は、先ほど言ったように、次回のミーティング(事業継続戦略の決定)の中の“8.3.3保護および軽減”で具体的な対策を決定するんですね!
だけど、具体的にどうやってリスクを特定するだろう?
けいこ先輩
そう言えばそうよね。いきなり“リスク”って言ってもイメージがわかないわ。
いさお常務
そうだね、リスク特定のプロセスには、脅威と脆弱性の明確化、すなわち、現状の脅威を抑えるための対策が必要だね!
例えば、“復旧優先業務(工程)”を支えるスタッフや要員などの“人”という経営資源に対する脅威には、新型インフルエンザや新型ウイルス性胃腸炎などの感染による出社停止というものや、風水害や地震などによる出社不可などが考えられるね。
特に人の依存度の高いプロセス(有資格者や特定の人しか実施できない業務など)であれば、これらの脅威は特定されることが期待されるよね。
例えば、“復旧優先業務(工程)”を支えるスタッフや要員などの“人”という経営資源に対する脅威には、新型インフルエンザや新型ウイルス性胃腸炎などの感染による出社停止というものや、風水害や地震などによる出社不可などが考えられるね。
特に人の依存度の高いプロセス(有資格者や特定の人しか実施できない業務など)であれば、これらの脅威は特定されることが期待されるよね。
みならい君
なるほど、脅威は事業運営の“問題事や心配事”と考えればよいんですね!
けいこ先輩
ということは、“復旧優先業務(工程)”を支える“設備やシステム”などの経営資源に対する脅威には、故障や障害などによる業務停止というものが考えられ、システムに対する固IT有のリスク(脅威)には、サイバーテロやウイルス感染、システム障害などによるシステムダウンというものが考えられるわね。
特に設備の依存度の高い業務(代替え不能な特殊な設備の利用)であれば、このリスクは特定されることが期待されるべきだわ!
同様に、の依存度ITの高い業務(マニュアルオペレーションで代替え困難な業務)であれば、このリスクは特定されることが期待されるわね!
特に設備の依存度の高い業務(代替え不能な特殊な設備の利用)であれば、このリスクは特定されることが期待されるべきだわ!
同様に、の依存度ITの高い業務(マニュアルオペレーションで代替え困難な業務)であれば、このリスクは特定されることが期待されるわね!
みならい君
工場やオフィスなどの施設に対する脅威には、地震や風水害のような自然災害や火災などによる施設の倒壊や使用不可というものが考えられるね!
いさお常務
2人とも乗ってきたね!
BCMSのガイドであるISO22313:2012でも、優先順位が高い資“源”または、“代替えが困難な資源(長い時間を要するもの)”に着目して、脅威や脆弱性を特定することを推奨しているよ。
BCMSのガイドであるISO22313:2012でも、優先順位が高い資“源”または、“代替えが困難な資源(長い時間を要するもの)”に着目して、脅威や脆弱性を特定することを推奨しているよ。
リスクの分析及び評価
いさお常務
リスク特定が終わると、それらの脅威の影響の大きさや発生可能性、そして現状の脆弱性に関する情報を体系的に利用してリスク値を算出する活動が、リスク分析になるんだよ。
けいこ先輩
そのリスク値と当社で決めたリスク受容基準を比較して、それらのリスクの取り扱いを決める活動が、リスク評価になるんですね。
みならい君
なるほど!
当社のリスク算出の公式は、(脅威×脆弱性=リスの大きさ+脅威の発生可能性)ク値で、各評価基準が3段階だから、以下“6”が受容可能で、以上が何らかのアクション“8”が必要だということですね。
当社のリスク算出の公式は、(脅威×脆弱性=リスの大きさ+脅威の発生可能性)ク値で、各評価基準が3段階だから、以下“6”が受容可能で、以上が何らかのアクション“8”が必要だということですね。
いさお常務
2人とも完全にリスクアセスメントのイメージがついてきたね!
そろそろ作業に取り掛かろうか!
そろそろ作業に取り掛かろうか!
けいこ先輩
はい!前回作成した「BIAワークシート」に基づいて、この「リスクアセスメントシート」に記載していくんですね!
みならい君
よ~し、がんばるぞ!
第3回の連載はここまでです。
次回は、事業継続戦略を決定するプロセスについてのディスカッションを覗いてみましょう。