ページの先頭です。
ヘッダをスキップして本文へ。

TOPコラムおたすけコンサルタント亀田金太郎が行く > 第13回 緊急時に会社を守るために(2)~リスク管理~

第13回 緊急時に会社を守るために(2)~リスク管理~

2011年に起きた東日本大震災をきっかけに、改めてBCP(事業継続計画)が注目されています。ある会社でしか作れない部品の供給が止まり、世界中で製品の生産がストップするという事態が発生したことも記憶に新しいのではないでしょうか。一方では、速やかに生産を再開させ、シェアを大きく拡大する会社もありました。サプライチェーンの中で中小企業が重要な役割を果たしていることも再認識されました。取り引きの条件としてBCPが明確になっていることを挙げる企業も増えており、中小企業においてBCPの有無は死活問題となりつつあります。今回は、BCPの本質であるリスク管理について考えます。



BCPの本質はリスク管理

愛知県の自動車部品製造会社、山本スプリング(仮名)の会議室。山本一郎社長(仮名)、中小企業専門の経営コンサルタント亀田金太郎、その“相棒”であるITコンサルタント美咲いずみは、先ほどから3人で同社のBCPを策定しているところだ。
「入門コースの範囲を少し超えるかもしれませんが、リスク管理のお話をしておいたほうがいいかもしれません」金太郎が言う。

BCPの策定といっても『中小企業BCP策定運用指針』の記入シートを埋めていけばいいのだが、これでかなり高度なBCPが策定できるようになっている。運用指針では入門・基本・中級・上級の4つのコースが設定されている。山本スプリングは初めてBCPを策定するので、まずは入門コースの記入シートを埋めていくことにした(第12回参照)。

「BCPの本質はリスク管理なんです。ここを見てください」金太郎が持参のノートPCで『中小企業白書 2012』を開いた。その67ページには次のように書いてあった。

「ここまで、中小企業がサプライチェーンにおいて、重要な役割を担っていることを明らかにし、有事における事業停止に備えて、早期の事業再開を図るため、BCPの策定等のリスク管理が必要であることを示した。BCPを策定することは、さまざまな事態を想定し、自社の優先すべき中核事業の選定や、経営資源における弱点の抽出、顧客や協力会社の見直しにもつながることから、中小企業の平時の経営管理の一環としても位置付けられるべきものと考えられる。」

「うん、私もこのように理解しているつもりだよ。」

「はい、そうだと思います。ですが、リスク管理とは何か、詳しいところまで理解している人は意外に少ないようなんです。失礼ですが、例えばリスク管理の手順を社長はご存じでしょうか?」

「改めて聞かれると、即答できないなあ…」

リスク管理の手順

金太郎は、ホワイトボードに図を描いた(図1:リスク管理の手順)。

図1:リスク管理の手順

「(1)~(4)は計画で、(5)が運用です。」

「言葉は何となく分かるよ。だけど、例えば定性的と定量的なリスク分析が具体的にどう違うのか、イメージが湧かないなあ…」

「数値化したものが定量的なんじゃないでしょうか。例えば、リスクの発生確率と影響度とか」いずみが言う。

「リスクの発生確率と影響度は確かに重要だね。しかしそれは定性的リスク分析に入るんだ」金太郎はいずみにそう言うと山本社長に向き直った。
「そのあたりは少し難しいかもしれません。入門コースの記入シートも参照しながら、順に説明していきましょう。」

リスク識別

「まず、会社に影響を与えるリスクを洗い出して、それを具体的に言葉にする必要があります。そのための一連の作業を“リスク識別”と言います。」

「その言葉は分かりやすいね。ただ、どこまで洗い出せばいいのだろう。」

「そこがいちばん難しいんです。中小企業庁もそう思ったのでしょう、入門コースの記入シートには、『大規模地震(震度5弱以上)で想定される影響』(【様式2】の2ページ目)ということで、あらかじめリスク識別をしてくれているページがあります。」

「それはありがたいね。ただ、不足もあるんじゃない?」

「細かいことを言えばたくさんあるでしょう。しかし事業継続という意味では、これらを出発点に考えればいいのではないでしょうか。」

「記入シートにはリスク識別をするための“観点”が書かれていると考えればいいのでしょうか?大項目が『インフラへの影響』と『あなたの会社への影響』になっていて、『インフラへの影響』の中に小項目としてライフライン・情報通信・道路・鉄道があり、『あなたの会社への影響』では人、情報、物、金が小項目として挙げられています。小項目レベルでどんなリスクがあるのかをブレーンストーミング的に考えるといいんですね?」といずみ。

「うん、それでいいだろうね」金太郎が同意した。「ブレーンストーミング以外にも、BCPを専門にやっている人に聞くとか、すでにBCPを策定した会社に聞くという方法もあるね。」

「そう言えば、リスクは普通“脅威”と訳すことが多いけど、中にはプラスのリスク、つまり“好機”もあるんじゃないの?」と山本社長。

「はい、おっしゃるとおりです。しかしBCPの策定に関して言えば、“好機”は考えなくてもいいでしょう。災害が逆に好機になる場合もありますが、目的が事業の継続ですから、“脅威”が現実になったときのことを考える必要があります。」

定性的リスク分析

「次に、定性的リスク分析です。これは、発生確率と影響度でリスクの大きさを評価し、対応の優先順位を明確にするものです。」 

「数値で表現するんだよね。それなのに定性的なの?」山本社長も疑問のようだ。

「発生確率も影響度も数値には違いないですが、理論や計算で導き出すものではないからなんです。数値も離散的で、発生確率は0.1、0.3、0.5、0.7、0.9のように表します。影響度も、『非常に低い』を0.05、『低い』を0.1、『普通』を0.2、『高い』を0.4、『非常に高い』を0.8などと表します。そのうえで、参加者が協議して合意した値を採用します。ですから定性的評価の一種なんです。」

「なるほど、そういうことか。ところで優先順位はどうやって決めるの?」

「発生確率と影響度を掛け算して、0.05未満なら『低』、0.05以上0.15未満なら『中』、0.15以上なら『高』などのように決めます。この値はあらかじめ決めておく必要があります。」

「それがいちばん時間がかかりそうだね。」

「そうですね。リスク評価は経験も必要です。最初のうちは専門家に入ってもらって議論するのがいいでしょう。」

定量的リスク分析

「次に定量的リスク分析です。定性的リスク分析の結果、高い優先順位を付けたリスクに対して定量的リスク分析を行います。具体的には、インタビュー、モデル化による分析、シミュレーションなどによって、発生確率の精緻化や影響度の金額換算などを行います。」

「なんだか大変そうだね。必ずやらないといけないのだろうか?」

「かなりリスクの高いと思われることについては必要かもしれませんね。ただ、定量的リスク分析が実際に行われる場面というのは、企業買収、機関投資家がやるような大きな投資、巨額の研究費が必要となる製品開発など、かなり限られているように思います。そのレベルのものだけでいいかもしれません。実際、かなり専門的なスキルが必要になりますし、分析用のソフトウェアに習熟した人材が必要になることもあります。」

「そのようなことができる人材を雇うよりは、専門機関にアウトソーシングしたほうがいいような領域だね。」

「大きな製薬会社や金融機関には内部にいそうな人材ですが、それ以外では確かに外部に委託するほうがよさそうですね。ただ、比較的簡単に数値化できるものもあります。例えば、BCPにおいて会社の建物が全壊するというリスクを考えると、その復旧費用がリスクの影響度になります。『中小企業BCP策定運用指針』の基本コース以上では、レベルに応じてこの計算方法が細かく解説されているので、その通りに計算を行うと数値化することができます。」

「ふーむ。便利なものが無料で提供されているんだね。」

リスク対応計画

「次にリスク対応計画です。リスクへの対応の仕方は4つに分けられます。回避、転嫁、軽減、受容です。」
いつもよりよけいにしゃべっている金太郎、お茶で喉を潤してから続ける。
「まず、回避はリスクを取り除くことです。例えば、震度8の地震が来ても倒れないような耐震対策をすることなどです。」

「お金がかかりそうな話だね。」

「確かに。でもそういうリスクばかりではありません。緊急時の社員の連絡経路を明確化するだけでもリスク回避になります。」

「なるほどね。転嫁は、例えば保険をかけるというようなことだね?」

「そうです。脅威を責任とともに第三者に移転するのが転嫁で、保険はその代表です。ほかに、契約書に災害時の対応を明記しておくとか、アウトソーシングも転嫁になります。」

「軽減は、発生確率や影響度を減らすことだね。回避は発生確率をゼロにすること。そういう違いだね?」

「ご明察です。災害が発生したときに、地元のサプライヤーや販売先しかなければ共倒れになる危険がありますよね。例えば海外に取引先を作っておけば、そういうリスクはかなり軽減できるはずです。」

「受容は、受け入れちゃうってことですか?つまり何もしないってことですよね」といずみ。

「その通り。対応の優先度が低いリスクは、無理に対策するよりも受け入れたほうがいいことがあるし、どうやっても対応できなければ受け入れざるを得ないよね。予備の予算を取っておくことも受容と見なされるんだ。システム開発プロジェクトなどでは、リスク対策として見積もりに予備の金額を計上することがあるでしょ?これを『リスクを積む』と言うそうだね。リスク自体を軽減しているわけではないので、受容になるわけだね。」

「そういう区分けをするのが、リスク対応計画なの?」と言うのは山本社長。

「まずは区分けをして、そのうえで具体的な対応方法を決めるのがリスク対応計画です。保険をかけるならどの保険会社にするかとか、連絡手順を具体的に決めるとか、代替センターを置くならどこにするかなどがその内容です。すぐに決められないものについては、期限と責任者を決めておくことが必要です。」

監視コントロール

もう一度、お茶を飲んでから金太郎が話し始める。
「いよいよ最後、監視コントロールです。リスク対応計画ができた段階で、識別されたリスク、その発生確率と影響度、優先順位の高いリスクに関しては精緻化された発生確率と金額に換算された影響度、さらに対応の仕方の区分と具体的手順が出来上がります。識別されたリスクごとにこれらをまとめたものを『リスク登記簿』と呼びます。」 

「その『リスク登記簿』に基づいて定期的にチェックして、計画と違う場合は是正するか計画自体を見直す、つまりリスク管理のPDCAサイクルを回すのが監視コントロールなんだね?」

「おっしゃるとおりです。BCPで言えば、運用、つまりBCMが監視コントロールに該当します。」

「ふう…。しかしリスク管理について詳しいことは知らなかったなあ。」

「経営者は自然にリスク管理を実行しているはずなんですが、言語化できていないことが多いということでしょう。実際、社長はほとんど理解されていました。」

「確かに、われわれがやっていることを難しい言葉にしただけとも言えるよね。ただ、きちんと言語化しておかないと、後進に伝えるのに苦労する。そういう意味では、専門用語の理解も必要だと思っているんだ。金太郎先生のように分かりやすく説明してくれると助かるよ。」

「恐縮です。」

「ちょっと疲れたね、休憩しようか。」

山本社長の提案に、金太郎といずみはほっとしたのだった。

まとめ

・BCPの本質はリスク管理であり、リスク管理への理解なくして有効なBCPの策定は難しい

・管理の流れは「リスク識別→定性的リスク分析→定量的リスク分析→リスク対応計画→監視コントロール」となる

いずみの目

SE時代の開発プロジェクトでリスク管理を経験してきたつもりでしたが、きちんと理解していなかったことを思い知らされた美咲いずみです。
さて、『中小企業BCP策定運用指針』の記入シートを見ていて気付いたのですが、災害時には通勤ができないというリスクがあるんですね。考えてみれば当たり前ですが、多少の事故ぐらいなら何とかして会社に行けるだろうと思っていたので、頭の外にあったようです。
そうなると自宅でPCを使って仕事をするような事態も起こり得ますが、会社のデータを個人のPCに保存するのは、セキュリティ上問題があります。そこでお勧めしたいのが、リモートで利用できるシンクライアントサービスです。自宅のPCを、データを保存しないシンクライアントとして利用するため、情報漏えいのリスクを軽減します。ぜひご検討ください。

VMSiCS on BusinessStage

[ITブレークスルー代表 森川 滋之 記]

関連サービス

当サイト商品は、インターネット環境があればいつでもどこで利用できる商品を取り揃えていますので、お客様のBCPに合った商品をお探し下さい。
当サイト推奨商品はこちら。

資料請求・お問い合わせはこちらから

お問い合わせ

利用開始までの流れ

詳しくはこちらから。

利用開始までの流れはこちら