【リスク対策】運用編
リスク対策を計画して終わりではなく、継続することが必要という話をどこかでしたと思うので、運用について記載していこうと思います。
失敗談も含めなので、これがうまく行く最善手ではないことご了承ください。
以前の記事で作ったステークホルダー図を参考に進めていきます。
基本的な進め方
一般的にリスク対策には終わりはありません。
そのため、PDCAサイクルを回していくことが前提となります。
Plan:リスク計画を立てる
Do:実行する
Check:実行状況の確認、結果の確認をする
Act:リスク計画内容を見直す
リスク計画を立てるのは以前までに行っているのでご参考に。
何が難しいのか?
組織規模が大きくなればなるほど対応すべき範囲、対応できる範囲は増えてきます。今回は、中小規模の組織にフォーカスして話をします。
中小規模の組織だと、そもそも外部監査組織がないこと、担当人数が少ない場合が多いと思います。
経験上起きそうなこととしては以下の4点です。
1.やって満足症候群
2.モチベーション続かない、評価されない問題
3.再計画なんてムリ
4.さらば担当、さらばリスク対策
1.やって満足症候群
その通りですね。計画を立てて満足!計画を立ててやった気になるケースです。書籍を買って積読することで満足と同じ感じですね。
こうなりやすい人は、いっそ計画をしっかり作ることより実行する方に力を割いた方が良いかもしれません。
感覚的に最もリスキーなところをやりましょう。
どうせあれもこれもやらないといけないので、計画立てて終わるくらいなら思いついたところからやった方が幾分ましです。
2.モチベーション続かない、評価されない問題
ぶっちゃけリスク対策が正しくされていれば目に見えた成果は出ないです。
だって、脅威が対策によって適切に抑えられているので。
また、実行フェーズでは、現場の業務に水を差すコミュニケーションが増えるので、心的にもやりたくないバリアが出てくると思います。
しかもこっちは少人数なので背中を押してくれる人はいないです。
なので、モチベーションは下がる一方だし、評価もされにくいです。
こちらについては、自覚的に振り返りをし、自分の成果を認知していくのが良いと思います。
「この対策がなかったらどうなっていたか?」これを突き詰めるしかないと思います。
経営もそのあたり意識して評価をしてあげることが重要だと思います。
どうしても減点評価になりやすいので、加点評価が出来る仕組みを作ることが重要なのかもしれません。
3.再計画なんてムリ
計画を作るのは大変って言いましたが、定期的に振り返り、再計画を作っていく必要があります。
土台ややり方があるので、再計画を作るのは最初よりマシですがやっぱり大変です。またリスクに向き合うのしんどいんですよね…
なので再計画と思わないように、PDCAサイクルを短くして日々見直すくらいがいいかもしれません。
過去に、私は年に1回ちゃんと振り返りましょう。とか言ってしまったことがありとっっっっっっっっっても後悔しました。
4.さらば担当、さらばリスク対策
これが一番の問題かもしれません。
中小規模の組織では知識が属人化しやすいので、担当者が退職したタイミングでリスク対策が続かなくなるのは容易に想像できると思います。
そのため、出来ればリスク対策の実行部隊はひとりでやるべきではないです。体制図で言うと、「情報セキュリティポリシー作成委員会」とかですね。
現場で自走できればベストですが、外からの指摘はあるにこしたことはないです。特に外部監査の機能も用意出来ないケースもあるためなおさらかと思います。
結局どうするのが良いの?
各課題について整理すると結局のところ以下の4つを重視すると良いのかなと思います。
計画をしっかり作ることより実行することに重点を置く。
自覚的に振り返りをし、自分の成果を認知する。
PDCAサイクルを短くする。
リスク対策の実行部隊は複数人で遂行する。
正解はないし、実際にやってみると色々課題が見えてくると思います。
ぜひそのあたりも情報交換出来ればいいなと思うのと、リスク対策がしっかり進み、安心して事業を推進できる環境が出来ることを心から祈っています。
この記事が気に入ったらサポートをしてみませんか?