切実感のないリスク管理に意味はあるのか

ぼんやりとしたリスク意識(写真:写真AC)

民間企業にとってBCPという経営管理項目は、当然、予算ありきの世界であり、予算の枠内で実効性の高い行動を取ることが求められます。しかし筆者は、危機管理のコンサルタントとして、皆様のお話の根底から推し量るに、確かに「実効性」がないだろうと考えます。むしろそれが、今そこにある危機的状況のように見えます。

そもそもBCPの「実効性」を阻害している、あるいは「実効性」に不安を覚える背景は何でしょうか。問題の根は、本来の「リスク」意識の欠如から来ると考えています。原点に立ち返り、リスクマネジメントの部分から見ると、実効性の阻害要因が見えてきます。

大企業の場合ですが、役員・取締役で実施される危機管理委員会(もしくはリスク管理員会)において、危機管理項目に挙げられるのは①地震・自然災害への対応②情報管理・情報セキュリティーの2つが常連です。

最初のリスクの洗い出し時点から何年も経過しているにもかかわらず、毎年同じ項目が挙げられるのはなぜでしょうか。政府やメディアで大きく取り上げ続けられている課題だからでしょうか。

つまり、自社が置かれている環境の変化やその中での本来的なリスクを考える以前に、一般的な2つの課題を挙げることで、まるで対岸の火事のような、ウチも平均的な企業並みにやっておかないと、という感覚になってはいないかということです。

今回の新型コロナウイルス感染症もそうですが、地震をはじめとする自然災害においても、事象が発生した場合の事業影響度をリスクという原点でとらえきれていないことが指摘されています。BCPの実効性に対する不安を払しょくするために、まず自分たちのリスク意識を見直すことから再出発してはどうでしょうか。

見直しの手順はおおむね次のとおりです。

【震災BCPの見直し手順(例)】
1.対象となる地震を選定する(例:南海トラフ地震、東海・東南海・南海地震)
2.被災シナリオ、被害想定を確認する(内閣府ホームページ等)
3.自社の各事業所への影響を、当該建物の地震対応機能(免震、制震など)に応じて、想定震度、揺れ易さ(地盤増幅率)、津波影響度、崩壊危険度、火災危険度、液状化危険度についてそれぞれ整理し、レポート化する
4.自社の各事業所の被災想定を行う(感覚的で構わない)
5.重要顧客・重要取引先の関連事業所、製造業の場合には、サプライチェーンとしての物流(商品の流れ)についても、上記3項と同じ影響度を整理、レポート化する
6.上記の結果、自社の事業影響度をリスクとして検討する
6.1定量的(売上、利益の損失等)分析
6.2定性的(社会状況、震災時の社会的要請等、複数のタイミング時期で)分析
6.3コンテキスト分析(優先事業あるいは中核事業に対するアウトソーシング利用の是非、判断は経営マター)
7.対象地震が発生した際の、自社のリスクについてレポート化する
8.既存の対応策の見直し、あるいは新規の対応策の追加の是非への検討
9.購入が必要なもの(備蓄品やシステム導入など)の予算稟議
10.認められた予算内での対応策の実行と、認められなかった対応策が経営陣のリスク受容であることの確認
11.規定、マニュアル、手順書、等ドキュメントの改訂
12.改訂内容にフォーカスしたBCP訓練計画と訓練実施
13.訓練からのフィードバックと改善(PDCA)