リスクマネジメントと危機管理の定義について

1.リスクマネジメントって何?

営学を勉強すると、まず、最初にSWOT分析なるツールを必ずと言っていいほど教えてくれる。外部環境には機会(Opportunity)と脅威(Threat)が存在し、それに対して、自己の組織の内部資源である強み(Strength)と弱み(Weakness)をどのように管理して、トータルとして組織全体の生き残りを図っていくかを示するためのフレームワークだが、これは、企業経営のみならず国家の運営や自治体の運営、そして個人の成長戦略まで恐らく全ての組織から個人までこのモデルで考えることができるものである。そして、この脅威(Threat)に対する管理が広義のリスクマネジメントである。

確率の理論に「期待値」{期待値(E)=確率(P)×結果(C)}があるが、このうちマイナス(-)の結果(Consequence)にそれが起きる確率(Probability)をかけ合わせたもの、すなわち、マイナスの期待値(Expectation)こそが、リスクRisk)である。「不確実性」などと呼ばれることもあるが同じことである。(なお、確率(P)の部分は数量化することが困難な場合もあるため発生可能性Likelihood)として表記されることが多い。)

組織や個人は、プラス(+)を最大化しつつ、マイナス(-)を最小限に抑えていかなければ存続していくことができない。このマイナス(-)の期待値である「リスク(R)」の管理こそが「リスクマネジメント」である。

2.リスクマネジメントを細分化すると?

リスクマネジメントの方法にもいろいろある。何がなんでもリスクを抑える必要があるわけでもなく、リスクが現実化した場合でも支障がなければ、ほっておいてもいい(受容[Accept])。原発を作らなければ原子力災害が起きるリスクはないわけであるので、このようにリスクを引き受けないということもできる(回避[Avoid])。投資リスクなどの分野では相関の低い複数のリスク資産に分散投資することによって、全体としてのリスクを下げることもある(分散[Spread out])。また、物的損失を金銭で補うような保険をかけるように、あるリスクを別のものに置き換えてしまうこともできる(転換[Transfer])。そして、減災のために複数の防御手段を備えたり、緊急事態(エマージェンシー)に備えておき最悪の事態が発生した場合でもその結果(Consequense)を最小限に抑えるなど、リスク自体を小さくすることも重要であろう(低減[Reduce])。

3.危機管理

低減」のうち、特に緊急の対応を要するような非常事態(災害、テロ、事故など)に対するリスクマネジメントについては、「危機管理」と呼ばれ、準備(Preparedness)、対応(Response)、復旧(Recovery)、減災(Mitigation)の4つのフェーズに分けて論じられる。米国では、クライシスマネジメントCrisis Management)と呼ばれたり、エマージェンシーマネジメントEmergency Management)と呼ばれたりする分野である。

4.インシデントマネジメント

更に、危機管理のうち、災害や事故に対する準備(Preparedness)とそれらが発生してしまった場合の対応(Response)については「インシデントマネジメントIncident Management)」と呼ばれる。結果(Consequence)を最小限に抑えることであるため「コンセケンスマネジメントConsequence Management)」と呼ばれることもある。サーバーがハッキングを受けた場合への対応などをITセキュリティーの分野ではインシデントマネジメントと呼んでいるが、これは決してITの分野に限らず、災害や事故への対応でも同じことであり、最悪の場合に備えて計画や資機材を準備したり訓練をする「準備」と、好ましくない事態が発生してしまった場合にその被害(結果)を最小限に抑え、組織や個人が生き残るための「対応」に関するマネジメントである。民間企業では、事業継続計画BCP: Business Continuity Plan)を作成することがあるが、インシデントマネジメント準備段階での計画のことである。また、危機発生時には、既存の組織ではなく、臨機応変に組織を編成し、協力して事態に対応(Response)する必要があるが、そのための雛形を標準化しておくことが迅速な対応に求められるため、米国では現場指揮システムICS: Incident Command System)と呼ばれる標準化されたマネジメントシステムが幅広く導入されている。

このウェブサイトの目標

筆者は、その経験と研究から、日本では特に大規模災害に対する「インシデントマネジメント」が弱いと考えている。例えば、福島第一原子力発電所における原子力災害ひとつ取り上げてみても、最悪の事態を想定した準備がされていたかという点に関しては重大な疑問がある。様々な防御手段を複数導入して減災(Mitigation)が図られたとしても、それは単に結果(C)が発生する確率(P)を下げているだけに過ぎず、リスクがゼロになるわけではない。従って、放射能漏れという最悪の事態が発生した場合でもそれを最小限に抑えるための準備をしなければならなかったのだが、十分ではなかった。筆者は、この点を改善するために米国的のICSのような仕組みの導入と最悪の事態を直視したリスクマネジメントが必要であると考えており、そのための関連すると思われる情報や提言、そしてインシデントマネジメントには特に重要となる通信システムに関する情報などを随時掲載していきたいと考えている。

ご意見やご要望等あれば、FacebookかTwitterにてご連絡いただけると幸いである。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中