リスク分析(Risk Analysis)
掲載:2019年04月19日
改訂:2021年11月17日
執筆者:エグゼクティブコンサルタント 伊藤 隆
用語集
リスク分析とは、リスクアセスメントを構成するプロセスの一つであり、ISOガイド73:2009では「リスクの特質を理解し、リスクレベルを決定するプロセス」と定義されています。ここで、リスクの特質とは、リスクが顕在化する確率や顕在化した場合の影響の度合いなど、リスクの大小の判断材料になりうる要素のことで、リスクレベルとは、リスクの大きさを指します。リスク分析はリスク特定(リスクの洗い出し)の後に行い、リスク分析の次にはリスク評価(対応の優先順位付け)をします。この一連のプロセスをリスクアセスメントと呼んでいます。
リスク分析の狙い
リスク分析の目的は何でしょうか。それは、「リスクの特質を理解し、リスクレベルを決定すること」です。では「リスクの特質の理解」は、何のために行うのでしょうか。リスクの特質を理解するのは、複数あるリスクの中から、組織として「本当に対応が必要なものはどれか」、「より優先的に対応すべきものは何か」を判断するためです。すなわち、リスク対応の優先順位を付けるための判断材料を得る行為がリスク分析です。
ちなみに、例えば以下の問いに対する答えが判断材料になります。
- そのリスクは、発生する可能性が高いのか低いのか?
- それはどれくらい確かなことなのか?
- そのリスクは顕在化したら、どのような影響をもたらすのか?
- それは、大きいのか小さいのか?
- それは、ひとたび顕在化すると、あっという間にその影響が広まるものなのか?
リスク分析の方法
さて、リスク対応の優先順位をつけるための判断材料を得る手法ですが、具体的にはどのように行うのでしょうか。一般的には、リスクがひとたび顕在化した場合の「影響の大きさ:影響度」と、それが起きる「確率:発生可能性」の2軸でリスクの大きさ(リスクレベル)を求めます。次のような算定式に表すことができます。
リスクレベル = リスクの影響度 × リスクの発生可能性
こうしたアプローチ方法は国際規格でも認められています。具体的には、リスクマネジメントの国際規格であるISO31000:2018(リスクマネジメント―指針)に、検討することが望ましい要素として“事象の起こりやすさ及び結果”や“結果の性質及び大きさ”が挙げられています。
リスク分析の具体例
それでは、具体例を挙げて考えてみましょう。具体例を考えるにあたり、リスクマトリクスを活用してみましょう。リスクマトリクスとは、縦軸に影響度を、横軸に発生可能性をとった分布図です。リスクの特徴を視覚的に理解しやすく、リスク分析をする際に作成されることが多い図表です。
リスクマトリクス
さて、以下のリスクが特定されたとします。リスクマトリクス上にプロットしてみましょう。
ラベル | リスク詳細 |
---|---|
R1 | 主要取引先が倒産し、数億円相当の貸し倒れが起きるリスク |
R2 | 地震により旗艦工場が損壊し、半年以上の操業停止が起きるリスク |
R3 | 内部犯行により数万件の個人情報が社外に漏洩するリスク |
結果は上図のようになりました。図では、発生可能性および影響度を掛けあわせた結果の数値が大きければ大きいほど、すなわち、図の右上におかれたリスクほど、リスクレベルが大きいと、直感的に読み取ることができます。従って、ここではR1(主要取引先が倒産し、数億円相当の貸し倒れが起きるリスク)への対応が最も優先されるべきであると判断できます。リスク対応の優先順位を判断するために、リスクの特質を理解してリスクのレベルを決める――リスクマトリクスを作成するこの行為そのものがまさにリスク分析です。リスクマトリクスはリスクマップとも呼ばれ、Navi記事「リスクマップ」では、リスクマップを利用する上での留意点などについても解説しています。併せてご覧ください。