BCP策定におけるリスク対策について
私は前職において、10年以上、情報システム構築プロジェクトのプロジェクト・マネージャーをつとめてきました。そして現在中小企業向けBCP策定支援をおこなう中で、リスク対策の考え方について思うところがありましたので皆様と共有させていただきたいと存じます。
プロジェクトマネジメント手法にはそれぞれの会社独自のものがあると思いますが、私がプロジェクト・マネジャー時代はグローバルに広く認知、使われているPMI(ProjectManagementInstitute)の手法が一般的でした。今回はPMIの手法、用語を用います。
リスク対策においては、下記の4つの対策を検討することが必要です。
【回避】-------------------------
リスクそのものを取り除くための対策です。これはそのリスクが発生すると極めて重大な影響が出るため何としても避けたいような場合に該当します。
【軽減】-------------------------
被害を小さく、あるいは少なくする対策です。その程度により対策に必要な費用は増減します。
【転嫁】-------------------------
リスクを他(第三者)に転嫁することで直接リスクを被ることはありませんが、リスクそのものはそのまま残ります。例としては保険、外部委託があります。ただし、財務的な損害は防げますが、事業継続の観点からは相手に依存することになります。
【受容】-------------------------
すなわち何の対策もたてないということです。リスクが発生した時は(言葉は悪いですが)積極的に受け入れることになります。
さて、それでは私が現在たずさわる中小企業におけるBCP策定においてはどのような検討がおこなわれているのでしょうか。
リスク対策手法を検討する際に、その手法が上記4つのどれに当てはまるのかを考えることで、考える際の整理ができます。
ただし、 BCP策定では災害のような、そもそも発生可能性を下げるというような対応が難しい、且つ起きてしまった時の影響が甚大なリスクを対象に検討をしていきますので、どこまでどの対策にするかを決めることは常に大変な難題となります。
実際にコンサルティングを行う中で感じることは、リスクの分析や評価のお手伝いは出来たとしても、対策の絶対的な正解は存在しないということです。いずれかの対策を採用する際、最後は経営者の意思決定に委ねられることになります。
それだけに経営層の想いを議論の中で強く認識してこれからのコンサルティングにも取り組んで行きたいと思っています。
