この度の平成30年北海道胆振東部地震により、お亡くなりになられた方々のご冥福を心からお祈りするとともに、被害に遭われた全ての方々に心からお見舞いを申しあげます。
さて、先回のブログで「災害時の事業影響度分析」について書かせていただきました。
どんな災害・事故が事業に影響するか、想定できましたか?こういうお話をすると、よく「いっぱいあり過ぎる」というコメントをいただきます。でも、数多ある災害や事故、またそれらによる事業への影響をすべて想定する必要はありません。考えてもきりがありませんから、最初は直感レベルで良いので「これが起こったらやばいな」「これが起こったら間違いなく顧客に迷惑がかかるな」というものをいくつか挙げてもらえればと思います。
何が起こるのかがわかったら、すぐに対策をとりたくなるのが人情かもしれません。でも、対策が取りやすいところばかりに注目して、重大な影響があるところを後回しにしては元も子もありません。もう1ステップ入れましょう。ここで必要になってくるのがリスクアセスメントです。
リスクアセスメントは、製造現場や建設業などでは、安全活動に組み込まれていることが多いので、おなじみかもしれません。災害や事故のリスクアセスメントも、考え方は全く同じです。
事務職やサービス業など、安全活動になじみが薄い方のために、リスクアセスメントがどんなものか説明すると、およそ以下のような質問に答えるような情報をまとめたものになります。
a)何が起こる可能性があるのか。それはなぜか(リスクの特定)。
b)それが引き起こす結果はどのようなものになりそうか。
c)その起こりやすさはどのくらいか。
d)引き起こされる結果を軽減,又は起こりやすさを低減しそうなものはあるか。
リスクアセスメントの概略手順は以下となります。
1)リスクの特定(事業を中断する可能性のある事象や行動、事故や災害など)
2)リスクの評価(基準の例:影響の大きさ+復旧までの長さ+発生頻度、など)
3)対応の特定(「手を打たない」という選択もあり)
そして、リスクの高いところ、かつ限られた経営資源の許せるところから手を打っていきます。少し手間はかかりますが、もれなく考えられること、複数の人と情報を共有できることなどのメリットがあるため、やることが望ましいです。
ただ、リスクアセスメントはいろいろなやり方があります。やりかたに関する詳細は、多くの解説書が出回っていますのでそちらを参照していただければと思います。特に評価基準はまちまちで、一番混乱するところかもしれません。私のお勧めは、「何でもいいので一度仮設定し、その後はトライ&エラーを繰り返して、社内のメンバーが”しっくりくる”ポイントを導き出す」というものです。凝るときりがありませんが、普通なら5~6回試すと「まぁ、こんなものかな」というレベルに落ち着いてくると思います。
リスクアセスメントができると、あとは「これが起こったら、こうする」という手順を決めていけば、BCPの骨格が見えてきます。
最初から高い完成度のものを作っても、社内に定着できなければ意味がありません。5~10年くらいの長期戦を念頭に置き、まずは簡単なものから作り、定着させながら少しずつブラッシュアップしていくのが良いと思います。