マルチハザードBCP策定の鍵はリスクアセスメントにある(写真:写真AC)

■リスク対応の出発点

マルチハザードBCPを策定する際の鍵となるのは、言うまでもなく「リスクアセスメント」です。このアセスメントで使用する「リスクアセスメントシート」の書き方は、参照するソースによって若干表現形式が異なりますが、ここでは筆者が調べた限りにおいて一般的と考えられる形式を用いて解説します。

リスクアセスメントシートには、左端の列から順に、地震や火災などの「リスクもしくはハザードの種類」、次にこのリスクの「発生確率(起こりやすさ)」、リスクが顕在化した時の影響とその大きさ」、評価結果である「リスクレベル」などの項目が設けられています。

リスクアセスメントシートの書き方を再確認(写真:写真AC)

ここまではどのシートにも見られますが、この後に「リスクを低減するためにとるべき対策」、リスクが顕在化した時の「緊急対応手順」「リスク低減対策の実行責任者」「対策完了予定日」などの項目を追加するケースもあります。リスクの評価だけでなく、さながら総合的なリスク対応・対策のラフスケッチにもなっているのです。

先ほど指摘したとおり、リスクアセスメントシートに共通する特徴は「発生確率」と「影響の大きさ」を数値で見積もることでしょう。あるインシデントの発生確率が「3」、組織が被る影響の大きさを「5」などと評価し、最終的に3X5=15という数字の大小をハザードごとに比較し、リスク対応のプライオリティが決まるわけです。

この方法では「3」や「5」という数字が評価者の恣意性や主観性を免れ得ない上に、掛け算の結果も相対的にならざるを得ません。しかしながら、リスクの評価には過度に厳密な結果を期待することもできませんから、会社として対処すべきリスクの優先順位をざっくりと決めるだけなら、十分に意義のある方法と言えるでしょう。