はじめに

前回は、業務の観点からリスクを洗い出すことのメリットデメリットについて整理しました。
（参考：業務の観点からリスクを洗い出してみる①）

しかし、いくらメリットを感じたところで、実際の方法のイメージが湧かなければ人によってばらついた洗い出しとなり、デメリットで挙げていた非効率なリスクの洗い出しになってしまうかもしれません。

そこで今回は、実際の業務観点からのリスクの洗い出しの流れについて考えてみたいと思います。

リスク洗い出しの流れ

業務の観点でリスクを洗い出すことにした場合、大きく分けて5段階でリスクの特定から評価・追加対策の検討までを行っていくことになります。その5段階を以下に整理しています。

1.　業務内容を洗い出す

業務別でリスクアセスメントを行う際には、まず実際に行っている業務内容をできる限り細かく洗い出すことが大切になります。
しかし、最初から細かいところを洗い出すことは難しいと思いますので、例えば各部門ごとに○○プロジェクトといったような大きな業務から、その中のお問合せ部分・○○部分などともう少し細かい業務に分類して、問い合わせ対応ならこういった作業が発生するといったような詳細な業務を見ていくという方法で進めていくと細かな部分まで洗い出せます。

また、この機会に合わせて業務フロー図の作成や再確認などを行うとより見えやすくなるのではないでしょうか。

2. 　洗い出した業務で起こったら困ることを洗い出す

詳細な各業務まで洗い出すことが出来たら、次は、それぞれの業務で発生したら困ることについて考えてみましょう。
例えば、お問合せ対応でメールのやり取りを行うのであれば、メールの宛先・内容間違えなどの誤送信、また、業務時に利用しているメールサービスの停止など様々なことが考えられます。

3.　現状行っている対策を考える

リスクの洗い出しまで完了したら、それぞれのリスクに対して現状で何らかの対策を実施しているのか、また、現状ではあまり考えておらず特に何もしていないのかといったことについて考えていきます。

メールの宛先・内容間違えなどの誤送信についてはダブルチェックなどを従来から行っている場合などもあるでしょう。一方で、メールサービスの停止などになると、特段対策は行っていないという可能性も大いにあり得ます。

4.　現状の対策で問題ないか判断する

リスクと現状の対策まで整理することが出来たら、その後追加で対策を行うべきか否か考えることができます。
例えば、メールの誤送信の場合、現状そこまで起きておらず実際に起きた際の影響も少なければこれ以上追加対策をする必要はないでしょうし、もし、頻発しているようであれば、ツールの導入など新たな追加対策を検討する必要があるかもしれません。

また、本来追加対策すべきでもそのタイミングではスケジュールや予算の問題で対応することが難しく、一旦リスクがあることを把握したうえで、受容するという判断を行うこともリスクに対する判断のひとつです。

5.　追加対策を考える

もし、リスクに対して追加対策が必要であると判断した場合は、どのような追加対策を行うべきか考えましょう。
例えば、メールの誤送信の場合、送信保留機能の導入や承認機能の導入などツールや機能を増やすという方法が考えられます。

また、この追加対策については改めて費用対効果などを検証してから行うか決めたいという場合もあるかもしれませんので、そういった場合は、一旦「○○を検討する」という形の追加対策にして、検討を進めることもひとつの手です。

そして、追加対策として決めたことはスケジューリングしてしっかり管理・実行を進めていくようにしましょう。

まとめ

2回にわたって、業務の観点からリスクアセスメントを実施することについて考えてきました。

もちろんこのリスクアセスメントが絶対の正解ではなく、組織によって行いやすい方法や適切な方法はあります。
なので、この記事も参考にしていただきながら、リスクの洗い出しがより精密に、より適切に行うことができる方法をご検討いただければと思います。