リスクの洗い出しに対応して、その対策をあらかじめ準備する必要があります。
対策は「リスクに対してどのような効果が期待できるか」と、そのために必要な「コスト」を考えて策定する必要があります。
リスク対策とは「想定されるリスクを発生させないこと」だけを考えていればよいわけではありません。
もちろん、想定されるリスクで影響度の高いものほどその抑制、防止に努める必要があります。
しかし、実際のリスクには防ぎようのないものもあるのです。
「レジリエントな対策」
レジリエントとは「復旧力のある」という意味です。
何らかの重大なインシデントが発生した場合でも、その被害を最小にとどめるための対応を意味しています。
インシデントが発生した場合、その検出、修復、復旧あるいは代替手段の適用といった対応が必要になります。
例えばこの検出が迅速に行なわれれば、当然のことながら修復の対応も早く行うことができます。
事前に修復手段、復旧手段、あるいは代替手段が用意されていれば、迅速に当然元通りの業務遂行がなされる状態に戻すことができるでしょう。
リスクが発生したとしても、その影響を極力抑えることができます。
リスク対策を検討する場合、「発生をゼロにするための抑止、防止策」は、「発生をある程度許容する施策」に比べて格段に手間がかかることがよくあります。
そもそも、発生をゼロにすること自体が不可能な取り組みともいえます。
したがって、ある程度のインシデントの発生を許容しつつ、発生したとしてもその被害を極小化できるような対策を常日頃から準備しておくことが重要になります。
ルール化には限界がある
重要な考え方の一つとして、ルール化の限界があります。
インシデントの発生を防ぐためには、企業や組織でさまざまなルールを作り出し、守るよう指導すべきです。
例
「情報資産管理のための台帳を作成すること」といったルールを策定する必要があるとしましょう。
情報の発生時点で、台帳に情報管理者、保存期間、保存場所などを記録して管理するというルールです。
この場合、そもそも情報資産とはどこまでを指すのかが曖昧だと現場の作業は混乱します。
実際の現場では
顧客調査データ、顧客から預かった情報、さまざまな設計データ、生産データ、見積書経営情報などさまざまな情報が生日々み出され、それは膨大な量になります。
これらをすべて情報資産として管理しようとすると、それだけで大きな稼働が必要になってしまいます。
そこで情報の重要度を「厳秘」、「秘密」、「関係者限り」など判断して情報の仕分けルールを導入し、重要度に合わせて台帳管理の適用範囲を定めることになります。
また情報資産の重要度に応じて、ファイルサーバー上の特定のフォルダに特定の(例えば見積書)情報を集約して管理する、といったルールで運用の負担軽減を行ないます。
これでもまだ暖昧さが残ります。
「資料を作成するための作業データはどう管理すればよいのか」、「仕分けルールの曖昧な情報が出た際に、新しくフォルダを作って入れてしまう」などといった事態が発生するでしょう。
徐々に情報資産管理台帳には載らない情報が増え、情報管理台帳そのものの信頼性も失われることになるかもしれません。
ルールとは「品質水準を定にかつ効率的に保つための守るべき手順」といえます。
トップダウンのマネジメントが強すぎると、現場はルールを守ること自体が目的化してしまい、本来の目的を見失ってしまいます。
経営から見れば、これは不効率な作業が発生していると見るべき事態です。
現実には、すべての業務をルール通り、マニュアル通りに進められるわけではありません。
ルールが適用できない事象が発生した時、それをどのように処理すべきか、リスク評価と合わせて考え直す必要があるのです。
一時的には時間と手間のかかる作業になるかもしれませんが、この時間と手間を惜しみ既存のルールに合わせて無理やり処理を行いリスクを内在させるより、再検討するべきでしょう。
このような状況が発生した場合に、すぐに現場レベルで課題提起し、トップマネジメントを含めて解決に取り組み改善していく様な心構えと体制が必要です。