リスクアセスメント (RA: Risk Assessment)

リスクアセスメントは、対応すべきリスクが複数ある中で、限られた経営資源を最適に配分するために用いられるアプローチ方法の1つです。国際規格によれば「リスク特定、リスク分析及びリスク評価のプロセス全体」と定義されています（※1）。すなわち、「組織にとってのリスクの種類（リスク特定）や大きさ（リスク分析）、リスクへの対応の必要性や優先性（リスク評価）を検討するための分析手法」と言い換えることができます。

※1. ISOガイド73:2009における定義

リスク特定
リスク分析
リスク評価
様々なリスクアセスメント技法

リスク特定

リスク特定とは、文字通り、どのようなリスクが存在するのかを特定することです。リスクの大小を問わず、どんなリスクがあるのかをできうる限り洗い出し、一覧表を作成することにその目的があります。

リスク特定には、プロセスやこれに紐づく資産などを洗い出した上で、これらを基にリスク特定を行う方法や、専門家の知見や世間一般に公表されているリスク一覧表を使う方法など、様々な方法が存在します。

リスク分析

リスク分析は、リスクの大きさを計ることです。「リスク特定」にて洗い出されたリスクの発生可能性は高いのか？影響は大きいのか？など、リスクへの理解を深めることに、その目的があります。

リスク分析は、リスクに対してとられている既存の対策、それを加味した上でのリスクの発生可能性、リスクが顕在化した場合の影響の大きさの3要素を加味して、算定することが一般的です。「リスクの大きさ（1～16点）＝リスクの発生可能性（1～4点）×リスクの影響（1～4点）」といった数式を使うケースが最も多いですが、必ずしも定量的である必要はありません。

リスク評価

リスク評価は、「リスク分析」にて得られたリスクの大きさを基に、対応の必要性や優先性の判断材料を提供することにあります。

わかりやすく伝えるために学校のテストを例にとります。学校の100点満点のテストで80点なのか90点なのかを丸付けをする行為がリスク分析だとします。80点や90点がすごいことなのかどうかを判断するための材料を得る行為がリスク評価です。たとえば、80点でも、クラスのほぼ全員が90点をとっているときと、そうでないときで80点の価値は変わってきます。同様の考え方で、リスク分析の結果をどう評価すべきか、それを検討することがリスク評価なのです。

様々なリスクアセスメント技法

リスクアセスメントには、先述した「リスク特定」「リスク分析」「リスク評価」のそれぞれに様々な技法が存在します。

わかりやすいところではたとえば、情報セキュリティにおける「リスク特定」では、情報資産の洗い出しを起点にリスク特定をするアプローチが一般的です。また、BCPにおける「リスク特定」では、事業関係者へのインタビューや事業影響度分析（Business Impact Analysis: BIA）を通じて「リスク特定」するアプローチが一般的です。さらに、いわゆるJ-SOXでは、組織内のお金に関連するプロセスからリスクを特定するアプローチが一般的です。

このほかにも、ブレインストーミングといった直感的なアプローチから、客観的にシミュレーションするモンテカルロシミュレーションなど、様々な手法がありますが、より具体的に技法についてご覧になりたい方は、JIS Q 31010:2012－リスクアセスメント技法－を参照下さい。