内部統制でも、情報セキュリティでも、リスクの評価が基本とされます。そして、あらゆるリスクを徹底して洗い出すことが求められています。では、なぜ、こうしたリスクを洗い出すのでしょうか。その目的は何でしょうか。
結論から言えば、リスクを知ることで、危機対応ができる、最適な対処を実現できるようにすることだと思うのです。備えあれば憂い無しとも言いますね。起きるであろうリスクに対して、万全とはいえないまでも、対応策を練っておくだけで、あわてずにすむでしょうし、すばやい行動も可能になるということです。
先日、車に乗っていて、人が飛び出してきて驚いたことがあります。私は自動車を運転しませんから、横に乗っていて肝をつぶしました。ところが運転手氏は何のことはない、涼しい顔をして、ブレーキを踏み、安全な対処をしていました。驚いたのは、飛び出しをした歩行者と、車に乗っていた私だけという構図でした。
なぜ冷静な対応ができたのかと問うたところ、運転手氏いわく「予測できたから」との回答でした。なるほど、予想していた人は事態の変化に驚きもせず、的確に対応できますが、予測していない私はびっくりして、気が動転してしまうことになるわけです。
ただ、運転手氏が、「予測できたから」といえるのは、過去にそれ相応の経験や、私と同じような怖い経験があるためではないかと思うのです。そうした経験を大切にして、そこから法則性を学ぶことで、未来を予測するということが可能になるのだと思うのです。私は運転しないため多くを学ばず、従って、いつも肝をつぶすばかりなのです。
事故が起きた後で、「緊張感が無かった」「緊張の糸が切れた」などと言います。しかし、本当のところはどうなのでしょうか。後付の理由、説明のためだけの理由でなければ良いのですが。
人間は常に緊張することなどできませんし、総ての事態を予測することもできないでしょう。危険な場所、危険な時間帯、危険な状況などといった要素を取り出すことで、必要なときに必要な注意を払い、緊張感を保っているのだと思います。
そうしますと、問題は危険性のポイントとその予兆の把握の仕方がよかったか、十分な予想がなされていたか、ということではないでしょうか。緊張感があったかではなく、そのための十分な情報が得られていたのか、を問うべきだと思うのです。
問題は、あらゆるリスクの洗い出しではなく、重要なリスクや顕在化する危険のあるリスクの選択と、その背景、予兆の情報を把握する手法の体系化にあるのです。リスクは山ほどありますし、その総てのリスクに対応することは事実上無理だと思います。仮にできたとしてもその費用は膨大なものになるでしょう。
リスクを重大なものとそうでない軽微なものとに区分する、そして対応が必要なものと必要でないもの、事実上対応できるものとできないものを区分する、その上で、そのリスクの取扱、処理を明確にすることが肝心です。すなわちリスクに対して、回避するのか、受容するのか、あるいは共有するのか、など的確な対処方法を準備しておく必要があるのです。
簡単にリスクの大小が決まるように言ってしまいましたが、実はその判断こそが大事なのだと思います。判断の背景には企業戦略があり、自社の企業としての方向性に対して、そのリスクが重大か否かを検討することが重要だと思うのです。
