リスクアセスメント (RA: Risk Assessment)
リスクアセスメントとは
リスクアセスメントとは、組織の目的に影響を与えうる不確実性の中からリスクを特定し、その大きさや重要性を分析・評価することで、適切なリスク対応につなげるための一連のプロセスを指します。
国際規格であるISOガイド73およびISO 31000では、リスクを「目的に対する不確かさの影響」と定義しており、リスクアセスメントはリスクマネジメント全体の中核的な要素として位置づけられています。その中で、リスクアセスメント技法を体系的に整理しているのが ISO/IEC 31010:2019(日本のJIS規格では JIS Q 31010:2022 )です。
企業においては、リスクアセスメントを通じて重要リスクを特定し、経営判断や優先順位付けに活用することが求められます。
リスクアセスメントに関する法令と義務範囲
リスクアセスメントは、分野によっては法令上の義務として位置づけられています。代表的な例が、労働安全衛生分野です。
労働安全衛生法では、化学物質や機械設備などに関してリスクアセスメントの実施が求められており、近年の法改正により、対象物質の拡大や結果に基づく措置の実施・記録がより重視されるようになっています。
一方、ERM(全社的リスクマネジメント)やBCP、情報セキュリティなどの分野では、直接的な義務規定がない場合でも、ガイドラインや国際規格への対応、説明責任の観点から、リスクアセスメントの実施が事実上求められるケースが増えています。
リスクアセスメントの全体プロセスと進め方
ISO 31000およびISO/IEC 31010では、リスクアセスメントを以下の3つの主要プロセスで構成しています。
- リスク特定
- リスク分析
- リスク評価
これらは単独で完結するものではなく、あらかじめ定めたリスク基準と照合し、組織として対応すべきリスクを選択するために一体として実施されるべきものです。そして、リスクアセスメントは対象範囲や目的の設定、結果のレビューや見直しを含め、継続的に実施することが重要です。事業環境や外部環境が変化する中で、定期的な更新を前提とした運用が求められます。
リスク特定
リスク特定とは、文字通り、組織が成し遂げたいと考えていること、すなわち「組織が重要視する目的」に対して、どのようなリスクが存在するのかを特定することです。リスクの大小を問わず、どんなリスクがあるのかをできうる限り洗い出し、一覧表を作成することにその目的があります。
リスク特定には、プロセスやこれに紐づく資産などを洗い出した上で、これらを基にリスク特定を行う方法や、専門家の知見や世間一般に公表されているリスク一覧表を使う方法など、様々な方法が存在します。
リスク分析
リスク分析は、リスクの大きさを計ることです。「リスク特定」にて洗い出されたリスクの発生可能性は高いのか?影響は大きいのか?など、リスクへの理解を深めることに、その目的があります。
リスク分析は、リスクに対してとられている既存の対策、それを加味した上でのリスクの発生可能性、リスクが顕在化した場合の影響の大きさの3要素を加味して、算定することが一般的です。「リスクの大きさ(1~16点)=リスクの発生可能性(1~4点)×リスクの影響(1~4点)」といった数式を使うケースが最も多いですが、必ずしも定量的である必要はありません。
リスク評価
リスク評価は、「リスク分析」にて得られたリスクの大きさを基に、対応の必要性や優先性の判断材料を提供することにあります。
わかりやすく伝えるために学校のテストを例にとります。学校の100点満点のテストで80点なのか90点なのかを丸付けをする行為が、リスクマネジメントの世界ではリスク分析に該当します。そして、30点未満だと赤点になり再テストを受けなければいけないという学校ルールがよくあると思いますが、そうした基準を境に、再テストを受ける必要がある・ないの判断をする行為が、リスク評価に当たります。
リスクマネジメントの文脈では、リスクの大きさが8点とか、6点とか、10点と算定する行為がリスク分析に該当しますが、たとえば8点以上はリスク対策を考えなければいけないという判断を行う行為がリスク評価です。
様々なリスクアセスメント技法
リスクアセスメントには、先述した「リスク特定」「リスク分析」「リスク評価」のそれぞれに様々な技法が存在します。
わかりやすいところではたとえば、情報セキュリティにおける「リスク特定」では、情報資産の洗い出しを起点にリスク特定をするアプローチが一般的です。また、BCPにおける「リスク特定」では、事業関係者へのインタビューや事業影響度分析(Business Impact Analysis: BIA)を通じて「リスク特定」するアプローチが一般的です。さらに、いわゆるJ-SOXでは、組織内のお金に関連するプロセスからリスクを特定するアプローチが一般的です。
このほかにも、ブレインストーミングといった直感的なアプローチから、客観的にシミュレーションするモンテカルロシミュレーションなど、様々な手法がありますが、より具体的に技法についてご覧になりたい方は、JIS Q 31010:2012-リスクアセスメント技法-を参照ください。
まとめ
リスクアセスメントは、組織が直面するリスクを体系的に把握し、適切な意思決定につなげるための重要なプロセスです。最新版のJIS Q31010:2022およびISO/IEC 31010:2019では、多様な技法を状況に応じて選択・活用することが肝要です。
法令対応だけでなく、ERMやBCP、サステナビリティ対応を含め、リスクアセスメントを継続的に実施・改善していくことが、企業のレジリエンス向上につながります。
