No323 リスク管理の最初の一歩
前回(No322 がんばりすぎないリスク管理)に続いて今回はリスク管理での考え方についてお話をします。
前回も少し書きましたが、筆者は「やりすぎない」「がんばりすぎない」を大切なキーワードとして考えています。
ですので、一般的なリスク管理の教科書とはかなり書き方が違っていますが、あくまで筆者の主張としてお考えください。
リスク管理というと「オレは事務所仕事だから関係ないわ」という方がおられますが、それは思い違いというものです。
事務所の通路がせまければ、人と衝突するリスクがあります。
非常階段の扉が重ければ、指がはさまれるリスクがあります。
事務所への出入口にロックがなければ、無関係な第三者に情報を盗まれるリスクがあります。
場所や人に限らず、いつ起きても不思議のない話ばかりです。
リスク管理は決して他人事ではないのです。
リスク管理は何を目指すべきか?
リスク管理の目的は、皆さんを取り巻くリスクを知ること、そして実際にリスクが表面化した時にあわてないように準備をしておくことです。
リスク管理(リスクマネジメント)ではリスクを知るために、以下の4つの作業を行います。
1)危険源の特定(危険の原因を抽出)
2)アクションの抽出(危険源に近づく作業や行動を抽出)
3)リスク評価(トラブル発生時の重要度や発生頻度を求める)
4)リスク対策(取るべき対策を検討する)
このうち、1と2の作業はアクションの抽出を中心に行う方が取り組みやすいでしょう。
リスク評価も最初は簡単にすませます。
残るリスク対策がリスク管理のキモになりますので、これは多少の手間をかけて行うことになります。
以下、アクションの抽出、リスク評価、リスク対策の三点の進め方についてお話します。
アクションの抽出
教科書的には、組織が関わる全ての危険アクションを抽出することとなっています。
が、これって余程の経験がないとかなり難しいのが実際のところ。
なので、ここではそのお手軽版として「ヒアリングして出てきたものだけを対象とする」という手抜き法をオススメします。
つまり、各メンバに次のような問いかけをします。
「作業時にヒヤッとしたこと、ミスをしたことを教えてください」
「他の人の作業を見ていて、危ないな、と感じたことを教えてください」
ここで出てきたネタだけを以降(リスク評価、リスク対策)の対象とするのです。
これなら、実際に現場が意識している点ばかりですから、現場も対策の意図や目的がわかるからです。
とはいえ、無理しなくてもOKです。一人で三つも出してもらえれば最初は十分です。
例:
・扉の自動開閉が早すぎて指をはさみそうになった。
・入口の段差で転倒したことがある。
・台車の重量制限を越えて荷物を載せている人がいる。
・誤って他人のUSBメモリを初期化したことがある。
・台車を使わずに荷物を運び、落として壊したことがある。
・床に置いてある塗料缶を蹴りそうになった。
・はしごで段を踏み外し、落下しかけた。
・リアハッチを開いたまま車を発進させた。
・小さな机にあふれそうなほど開発機器を載せている人がいる。
・投入する薬剤を間違え、機器を故障させた。
・パソコンを電車内に置き忘れた。
リスク評価
次に抽出されたリスクの評価を行います。リスクアセスメントとも呼ばれます。
本来のリスク評価は「同じランクのリスクには、同程度(のコストや手間)をかけて対策する」ために行います。
これは対策にメリハリをつけるために必要なことです。
全てのリスクに同じようにコストをかけていたのではカネと手間ばかり食うことになり、コスト増に耐えられずリスク管理そのものを投げだしてしまうかもしれません。
これでは折角の投資がムダになってしまいます。
ですので、発生頻度が高く、重大な影響を及ぼすリスクには、対策を入念に計画し、頻度も低く重要でないリスクにはコストをかけない(極端なことを言えば放置する)といった区別を行っておくわけです。
こういった識別を行うために、リスク評価が大切なのです。
とはいえ「がんばりすぎないリスク管理」ですので、最初は細かい評価軸を設定せず、以下の3つ程度のカテゴリ分けで十分と思います。
最重要なリスク: 重要かつ頻度が高い
重要なリスク: 重要だが頻度は低い、重要ではないが頻度が高い
軽微なリスク: 重要でなく頻度も低い
リスク評価なんてしない。全てリスク対策が必要だ!という進め方はオススメしません。
このステップを省略するとランク分けが全くできておらず、次のリスク対策のステップで複数のリスクのコスト分配でもめることになります。
「声が大きい人の意見が通る」状態ですと特定のリスクだけにコストが偏って投入されます。
これでは適正なリスク管理が行われているとは言えません。
簡単でも良いのでリスクをランク分けしておくことで、このような無要なトラブルを避けることができます。
リスク対策
リスク対策を行うにあたり、四つの方向性があります。
1)回避
→リスクが発生しないように対策する
2)低減
→リスクの発生頻度を下げる
→リスクが発生した時のダメージを下げる
3)転稼
→リスクは仕方ないものとし、別の対策を行う。
4)受容
→リスクを許容範囲として受け入れる。
皆さんがリスク対策としてイメージするのは最初の「回避」だと思います。
しつこいですが、リスク管理の目的はリスクを無くすことではなく、リスクを把握して発生時にあわてずに対処できるようにしておくことです。
一般に回避できないリスクはたくさんあります。台風や地震といった天災がそうです。
また、停電に対しては自家発電設備で回避可能ですが、対策コストが大きすぎて一般的ではありません。
余談
レンタルサーバ会社などでは、災害時もサーバを止めないように自家発電設備を持っているところもあります。
さて、予算の範囲で回避の対策が取れるのであれば、それに越したことはありません。
回避が難しい場合は、次に低減する方法を考えます。
これは、発生頻度を少なくしたり、重大な結果になりにくいように対策を行うことになります。
かなりチープな例ですが、入口の段差で転倒する人が多いなら、スロープやブロックを置いて段差を小さくできるでしょうし、それも難しければ、注意書きの紙を入口に置いたり、床に「段差注意」と書いたりすることでも効果は期待できます。
つまり、注意書きで発生頻度を下げる、スロープなどで転倒しにくくするといった対策が低減策となるわけです。
三つ目の転稼は、リスクの発生はやむをえないとして、他のやり方でカバーすることを言います。
機械の故障に備えて損害保険に入る、故障時に即日訪問してくれるような保守契約に加入する、といった具合です。
最後の受容は、文字通り特に対策を取らずに受け入れることを言います。
頻度が低く、大きな問題とならないものについては、リスクがあることはわかった上で特に対策を行わないことも選択肢としてあり得るということです。
この受容というのは、必ずしも悪い対策ではないのですが、この結論を経営陣に受け入れてもらうことが非常に難しいのが現実です。
というのは、「リスクをわかっていながら何もしないとは何ごとか?何か手はあるのではないか」と言われると説明が非常に面倒だからです。
ですので、リスク対策として「受容」とされるケースがごく稀で、多くは「低減」とし対策内容は「注意喚起する」などでお茶を濁す傾向にあります。
対策の事例
抽象的な話だけではわかりにくいので、先に挙げた例のいくつかに対して、対策例を書いてみます。
発想次第でいろんな対策があることがわかると思います。
お題:扉の自動開閉が早すぎて指をはさみそうになった。
→回避:自動開閉を止める
→軽減:自動開閉をゆっくりにする、注意書を行う
→転稼:クッションを付けて挟んでもケガしないようにする
お題:入口の段差で転倒したことがある。
→回避:改修工事を行って段差をなくす、別の出入口を開放する
→軽減:スロープなどで段差を減らす、注意書を行う
→転稼:ケガをした時に備えて保険に加入する。
お題:はしごで段を踏み外し、落下しかけた。
→回避:そもそもはしごを使う高所作業をなくす
→軽減:ステップの広いはしごに変える、すべりにくい靴にする
→転稼:命綱など踏み外しても大事とならない仕組みを採用する
お題:リアハッチを開いたまま車を発進させた。
→回避:リアハッチのない車にする。開いていれば警告する車種に変更する
→軽減:発進前のチェックリストを車に載せておく
→転稼:事故に備え自動車保険を拡充する。
お題:投入する薬剤を間違え、機器を故障させた。
→回避:他の薬剤を同じ場所に保管しない
→軽減:薬剤のラベルや形状を異なるものとする。
→転稼:間違って投入しても故障しない機種に変更する。
お題:USBメモリを社外で紛失した
→回避:USBメモリの持出禁止、オンラインストレージへの切換
→軽減:ストラップなどの利用の義務化
→転稼:USBメモリの暗号化
いかがでしょうか。これが正解というものではありませんが、知恵を絞ればいろんな方法や対策が出てくるものです。皆さんもいろいろと考えてみてください。
まとめ
今回は、少しカタい話となりましたが、リスク管理の進め方についてお話しました。
最初に、リスクの抽出を行い、それを元にリスク評価、そしてリスク対策を行うという手順になります。
本来的には、全てのリスク抽出を行って、より重大なものから対応をするというのがリスク管理の王道ですが、「がんばりすぎないリスク管理」では、むしろお手軽さ、費用対効果を重視した手順として、アクション(動作)の抽出、軽いリスク評価、リスク対策の順に、できることからやっていく方式をおすすめしたいと思います。
リスク対策では、回避(リスクを無くす)、低減(発生頻度、重要度を低くする)、転稼(別の対策で逃げる)、受容(そのまま受け入れる)の四つの方向がありますが、必ずしも回避にこだわらず、うまく低減や受容を利用してコストや手間をかけずに実施できる対策を行ってください。
さて、最後にお伝えしておきたい大切なことがあります。
リスク管理は継続してこそ価値があるということです。
リスクの抽出から対策検討までは一連の流れですが、回りの状況は毎年のように変化します。
法制が変わり、購入できていたものが入手できなくなり、逆に新たな良い道具が販売され、人々の意識も変化します。
こういった時代の流れに置いていかれないようにするためにもリスク管理は毎年見直しを行う必要があります。
既に確立している対応策の見直しも必要でしょうし、新たなリスクの抽出や評価も必要でしょう。
このような繰り返しを行うことをPDSサイクルなどと呼びます。
PDSは 計画(Plan)、実践(Do)、振返り(See)の略で計画から振返りを定期的に繰り返しましょうという考え方です。(PDCAサイクルという言い方もあります。こちらは Plan-Do-Check-Actionの略ですが、ほぼ同意です)
このPDSサイクルを回すには何よりも経営陣の決意が必要です。また、これは持久走でもありますので根気としつこさも必要不可欠です。
組織をメンバを守るためにもお試し感覚で良いので、リスク管理に踏み出していただきたいと思います。
次回もお楽しみに。
(本稿は 2023年9月に作成しました)
このNoteは筆者が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
この記事が気に入ったらサポートをしてみませんか?