リスク分析に”このぐらいで”はありえない
ITmediaさんの記事に”「予想外」は言い訳にならない?――悲観論に立つリスク分析”というものがありました。主としてシステムから見た場合のリスク分析、BCPに関するやや抽象的な内容でしたが、言わんとするところは正しいと思います。
多くのプロジェクトのリスク分析では、過去の同様のプロジェクトや請負った会社の知見に基づき、「大体このくらいの検討でよいだろう」というレベル感でリスク分析がなされています。当然そうでないきちんとしたプロジェクトもありますが、多くは「予想外」のことを言い出すときりが無いため、なるべく事象を絞ろうとして、それ以外のことは発生した場合でも責任範囲外にしようとする傾向があります。
私の個人的な考えでは、まずリスクが顕在化した場合、または被害が発生した場合には、リスクから直接的に発生したことへの経済的補償はできても、無形のものに関してはベンダとして補償できないものです。その意味でもリスク分析は、ベンダや請負った会社だけにまかせっきりではいけない内容だと思います。
また、その一方で、どの範囲まで検討するべきであるかという問題ですが、不思議なことにテロや地震は想定内でありながら、発生する可能性としてはもっと高い単純ミスによるシステムや業務停止などに関しての備えは予想外に入れられることもあります。リスクは原因からの分析も必要ですが、まずは発生する事象(発生箇所、発生内容)の網羅と、その影響範囲の分析を徹底的に行うことが重要ではと思います。
何故か、リスク分析となると、火事・地震などどちらかというと危機管理の要素を強く持った事象が取りざたされ、その次に情報漏えいが話題になることが多いと思います。しかし、実際には、日々の当たり前の業務にこそリスクが潜んでいることを忘れてはなわないと思います。