リスクマネジメントと危機管理のサマリー

By リスク, 危機管理

IT業界にいると、いろいろなところで、バグやトラブル、プロジェクトの遅延といったインシデントを経験することがある。そこで、少し俯瞰的にリスクマネジメントと危機管理を眺めてみて、日々の「障害対応」の裏書きとしたいと思う。

リスクマネジメントと危機管理の定義について

1.リスクマネジメントって何?

経営学を勉強すると、まず、最初にSWOT分析なるツールを必ずと言っていいほど教えてくれる。外部環境には機会(Opportunity)と脅威(Threat)が存在し、それに対して、自己の組織の内部資源である強み(Strength)と弱み(Weakness)をどのように管理して、トータルとして組織全体の生き残りを図っていくかを示するためのフレームワークだが、これは、企業経営のみならず国家の運営や自治体の運営、そして個人の成長戦略まで恐らく全ての組織から個人までこのモデルで考えることができるものである。そして、この脅威(Threat)に対する管理が広義のリスクマネジメントである。

確率の理論に「期待値」{期待値(E)=確率(P)×結果(C)}があるが、このうちマイナス(-)の結果(Consequence)にそれが起きる確率(Probability)をかけ合わせたもの、すなわち、マイナスの期待値(Expectation)こそが、リスクRisk)である。「不確実性」などと呼ばれることもあるが同じことである。(なお、確率(P)の部分は数量化することが困難な場合もあるため発生可能性Likelihood)として表記されることが多い。)

組織や個人は、プラス(+)を最大化しつつ、マイナス(-)を最小限に抑えていかなければ存続していくことができない。このマイナス(-)の期待値である「リスク(R)」の管理こそが「リスクマネジメント」である。

2.リスクマネジメントを細分化すると?

リスクマネジメントの方法にもいろいろある。何がなんでもリスクを抑える必要があるわけでもなく、リスクが現実化した場合でも支障がなければ、ほっておいてもいい(受容[Accept])。原発を作らなければ原子力災害が起きるリスクはないわけであるので、このようにリスクを引き受けないということもできる(回避[Avoid])。投資リスクなどの分野では相関の低い複数のリスク資産に分散投資することによって、全体としてのリスクを下げることもある(分散[Spread out])。また、物的損失を金銭で補うような保険をかけるように、あるリスクを別のものに置き換えてしまうこともできる(転換[Transfer])。そして、減災のために複数の防御手段を備えたり、緊急事態(エマージェンシー)に備えておき最悪の事態が発生した場合でもその結果(Consequense)を最小限に抑えるなど、リスク自体を小さくすることも重要であろう(低減[Reduce])。

3.危機管理

低減」のうち、特に緊急の対応を要するような非常事態(災害、テロ、事故など)に対するリスクマネジメントについては、「危機管理」と呼ばれ、準備(Preparedness)、対応(Response)、復旧(Recovery)、減災(Mitigation)の4つのフェーズに分けて論じられる。米国では、クライシスマネジメントCrisis Management)と呼ばれたり、エマージェンシーマネジメントEmergency Management)と呼ばれたりする分野である。

4.インシデントマネジメント

更に、危機管理のうち、災害や事故に対する準備(Preparedness)とそれらが発生してしまった場合の対応(Response)については「インシデントマネジメントIncident Management)」と呼ばれる。結果(Consequence)を最小限に抑えることであるため「コンセケンスマネジメントConsequence Management)」と呼ばれることもある。サーバーがハッキングを受けた場合への対応などをITセキュリティーの分野ではインシデントマネジメントと呼んでいるが、これは決してITの分野に限らず、災害や事故への対応でも同じことであり、最悪の場合に備えて計画や資機材を準備したり訓練をする「準備」と、好ましくない事態が発生してしまった場合にその被害(結果)を最小限に抑え、組織や個人が生き残るための「対応」に関するマネジメントである。民間企業では、事業継続計画BCPBusiness Continuity Plan)を作成することがあるが、インシデントマネジメント準備段階での計画のことである。また、危機発生時には、既存の組織ではなく、臨機応変に組織を編成し、協力して事態に対応(Response)する必要があるが、そのための雛形を標準化しておくことが迅速な対応に求められるため、米国では現場指揮システムICSIncident Command System)と呼ばれる標準化されたマネジメントシステムが幅広く導入されている。