チェーンのお悩み相談

開業医の求人広告

家の近くの内科医院を開業して約1年。それなりに患者も増​​加し、経営が安定している病院だったが突然停止のご案内が玄関に張り出されていた。医院長の持病が悪化して受診不能とすることである。ある時期から、病院の張り紙で、医師の求人が出ていたそうなのか？病院での採用募集のラインも、医師採用の意味はないと近所の噂はされていた。
老人関係の施設が多くなってますます看護師の求人が多くなっています。広告を見ると、看護師の求人は老人施設関係のところが多く載っています。看護師免許を持つ人は多いが、それを活用する人が少ないとの話を聞きました。つまり、家の人が多いかもしれません。動作環境をよくしても、社会に帰ってきて求めています。
　エンタープライズリスク管理は、事業継続計画（BCP）策定の要となる部分だ。リスク、脅威、脆弱性そしてリスク管理プロセスを理解することが、事業継続プロフェッショナルの仕事の基本だ。【Paul Kirvan,TechTarget】

　リスク管理と事業継続をめぐる議論の大前提となるのはリスクの定義だ。リスクに対してはさまざまな定義が存在するが、結局のところ、どのような作業であっても、何らかの問題が起きる可能性があるということに行き着く。問題が起きる確率あるいは可能性が、その作業に関連したリスクとなるのだ。ある作業がこれまで常に成功し、一度も問題が発生しなかったとすれば、失敗（リスク）の可能性はゼロと見なせるかもしれない。しかし現実的に考えれば、どれほどささいなことであっても、ある出来事あるいはプロセスに伴って何かが起きる確率あるいは可能性は0と1の間、つまり0％と100％の間なのだ。

　例えば、ある障害（1時間未満の停電など）が、（保険会社の統計に基づいて）5回に1回の割合で起きる可能性があるとすれば、そのリスクの可能性（確率）は0.2（20％）であり、3回に1回の割合で起きる可能性があれば、リスクの可能性は0.33（33％）ということになるだろう。これに対して、気まぐれな小惑星が地球に衝突する確率はゼロに近く、ある人が風邪をひいて仕事を休む確率は1に近いといえるだろう。

※関連記事：IBMのCIOが語るITリスク管理、モバイル端末セキュリティ（前編）
→http://techtarget.itmedia.co.jp/tt/news/1101/27/news03.html

　リスクを評価する際には、ある出来事が起きる可能性、その出来事の潜在的深刻度（正常なプロセスに与えるダメージなど）、そして状況の脆弱性（その出来事の発生に寄与する弱点など）を分析する。さらに、その出来事の発生確率と潜在的深刻度と脆弱性を掛け合わせる。

　言い換えれば、事業継続のリスクは次の式で表されるということだ。

リスク ＝ 確率 × 深刻度 × 脆弱性

　この式を簡単な表にまとめると以下のようになる（表中の数値は例）。

※リスク評価表
→http://techtarget.itmedia.co.jp/tt/news/1104/05/news03.html

　この例の「火災」の項目について算出されたリスクの値は、火災に対する既存の脆弱性に基づけば、火災が100回発生すると、それが深刻な被害を引き起こす場合が約4回あることを意味する。このような表を作成することにより、リスクの特定と優先順位付けを行い、次の行動指針とすることができる。この例では各カテゴリーに任意の数値を当てはめたが、こういった数字の多くは過去のデータ、そして各イベントとその結果の分析に基づくリスク表から得ることができる。

　事業継続プロフェッショナルは、上で行ったようなリスク評価を必ず実行し、自社に起きる可能性のある状況を特定しなければならない。リスクが明確なれば、次はビジネスインパクト分析（BIA）を実施し、特定されたリスクが自社の業務と財政に与える影響を把握することができる。

●リスクへの対処

　エンタープライズリスク管理では、リスクを特定したら、次にそれらのリスクにどう対処するかを決める必要がある。基本的なアプローチは4つある。

1．避ける：リスクを伴う作業を実施しないようにする

2．減らす：リスクの深刻度を軽減する手段を講じる。リスクを除去するのではなく、その潜在的影響を減少させるということだ

3．分散する：リスクの一部を吸収するものを探す。リスクを分散するための一般的な選択肢が保険の利用だ

4．受容する：リスクおよびその潜在的影響を受け入れる姿勢を持つ

　これらの選択肢は企業の事業継続・ディザスタリカバリ（DR）戦略に織り込むことができる。

●事業継続プロセスにおけるリスク管理

　リスク管理は、事業継続プロセスの流れの中でどの部分に位置するのだろうか。

　リスク管理作業は事業継続プロセスの極めて初期の段階からスタートする。事業のどの部分がリスクにさらされているのか分からなければ、戦略や計画の策定といった作業に着手できないからだ。

●リスク管理標準と業界団体

　リスク管理の国際標準となっているのが、ISO（国際標準化機構）が2009年11月に発行したISO 31000（Risk Management - Principles and Guidelines on Implementation：リスクマネジメント――原則および指針）だ。もう1つの重要な標準として、ISO 31010:2009（Risk Management - Risk Assessment Techniques：リスク管理――リスク評価手法）がある。これは、リスク管理を体系化・実行する方法に関するガイドラインを示したものだ。米国にはNIST（米国立標準技術研究所）が策定したSP 800-30という優れた標準もある。リスク管理プロジェクトに取り組む際には、これらの標準を参考にすべきだ。

　恐らく米国で最も有名なリスク管理団体はRIMS（The Risk Management Society）だろう。同組織は研修プログラム、資格認定、セミナー、広報活動、リスク管理専門家のネットワーク化や情報交換など広範なリスク管理活動に取り組んでいる。

　エンタープライズリスク管理は、事業継続プロセスの重要な一部分だ。今日の事業継続・DR標準（BS 25999 Part 2、NFPA 1600:2010など）にもリスク管理に言及した部分がある。

　大手企業であればリスク管理を担当する部署があるかもしれない。事業継続・DR構想の推進に当たっては、早い段階でリスク管理部門を参加させることが重要だ。事業継続・DRの取り組みにリスク管理チームを含めることで情報と経験を共有し、事業継続・DR計画の策定時に生じる可能性がある混乱を防ぐことができる。

※関連記事：高まるデータセンターの停電リスク、企業はどう対応すべきか
→http://techtarget.itmedia.co.jp/tt/news/1103/31/news03.html