ISMSを取得しているISP大手の同社は、ISO 31000に基づくリスクマネジメントの仕組み作りを模索していた。
当社に対するオファーの内容としては、コンサルティングでもトレーニングでも良いのでリスクマネジメントのノウハウを同社にトランスファーして欲しいとのことだった。
当社は「課題ベースのリスクアセスメント」の提案をおこなったものの、どのようにして課題に気づきを持ち、言葉にするのかがネックになっていた。管理系部門はある程度のノウハウを持っていたものの、本当に対処すべきリスクは現場にしか分からないはずであり、現場からどのようにしてリスクを引き出すか、が最も重要なミッションだという結論に至った。
そこで、管理職を対象にしたトレーニング式のセミナーを企画することになった。
外部のファシリテーターの協力を仰ぎ、リスクの洗い出しをおこなう。
最初の発問は至ってシンプルであった。
「あなたの仕事は何なのか?」
今なんの仕事をおこなっているのか、これを適切に説明できることがリスクの認識につながる。
遠回りのようで実はこのアプローチが近道だった。
実は全ての仕事(業務)は、リスクマネジメントである「べき」なのである。
どのようなリスクをターゲットにその業務はおこなわれているのか。
その業務はリスクの大きさを考えた時に適切なものなのか。
これを考えることで、「残存リスク」が炙りださせる。
からくりは単純だ。仰々しいスプレッドシートなどでリスクの炙り出しはできないのである。人間はエクセルより遥かに賢い。ロジックでも関数でもマクロでもない。「当社の弱点は何なのか?」という問いにじっくり向き合うことが重要なのだ。複数人でこのアプローチに取り組むことを「リスクコミュニケーション」と呼ぶ。
同社のRCMはリスクコミュニケーションを通じて、より現場で働く人の実感に沿ったものとなった。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ