その上で、各事業部へのアンケート調査を実施するわけだが、経済産業省の実践テキストの調査事務局を担当した有限責任監査法人トーマツの達脇恵子氏は、より具体的なリスクを洗い出すためのポイントとして、調査事務局が、あらかじめ考えられるリスクを例として示すことを勧める。

「突然、おたくの部署のリスクを出してくれと言われても、一体何を出せばいいのか担当者は困ってしまいます」(達脇氏)事例の1つとして防災・BCP対策に関するリスクを示しておけば、社員からの理解も得られやすくなるだろう。

この作業により洗い出されるリスクは、防災やBCPに関するものだけでなく、労働安全やコンプライアンス、情報セキュリティなど多岐にわたるため、大企業なら1000を超えることもめずらしくないという。ただし、優先順位づけをして対処していくときに1000以上もあるとハンドリングしきれないため、実際には100以内に集約されるケースが多いようだ。


最も重要なのは、組織全体として網羅性のあるリスクのリストをつくることだと達脇氏は語る。「網羅性のあるリストでないと、全体を管理する側として死角がないか、抜け落ちているものがないか、不安になってしまいます」(達脇氏)。