具体的な例を挙げます。たとえば、リスク分析（リスクの理解；リスクの大きさの算定）を実施し、リスクの大きさをそれぞれ16点、12点、9点・・・というように算定できたとします。この際、対応不要のリスクは何点未満のものか？　何点以上のリスクには対応すべきか？　とにかく急いで手当をすべきリスクは何点以上のものか？・・・といった問いの答えになるものが「リスク基準」です。

リスクマネジメントの国際規格ISO31000:2018（リスクマネジメント―指針）では、「リスク基準」について次のように求めています。

【出典：ISO31000:2018 6.3.4リスク基準の決定より】

なお、「リスクの重大性を評価するために使用される基準」とは、冒頭にも触れましたように「リスク基準」の定義そのものです。また「組織の価値観，目的及び資源を反映したもの」とは、具体的にはたとえば経営理念やトップマネジメントの意思がこれに該当します。

さらに、「組織の義務及びステークホルダの見解」における義務とは、たとえばメガバンクであれば、国際決済銀行向けに出されるバーゼル（BIS規制）などがこれに該当します。BIS規制では、組織の自己資本比率を算定するにあたって、計算式の分母にどのような種類のリスクを含めるべきか、について定めています。 ISO31000には、上記以外にも、リスク基準決定にあたり考慮すべき事項が列挙されています。組織は、これらを参考にしてリスク基準を決定することが肝要です。

リスク基準の導き出し方は様々ですが、トップや組織を取り巻くステークホルダの考えがどうであるか、そして、どのようなリスク分析手法を用いるか、の2つに特に大きく依存します。

前者の「トップや組織を取り巻くステークホルダの考え」については、先に触れましたように業界内に法規制があればそれに従うことが必要となります。これに加えて、トップの想いを反映することになります。通常、組織においてトップは2年後3年後・・・会社をどこまで成長させたいか！？構想を持ち、それを売り上げ目標など数値に反映しますが、リスク基準もこれと同じです。組織を取り巻くリスクについて何をどこまでするのか、トップの想いを少しでも明らかにすることが重要です。

後者の「どのようなリスク分析手法を用いるか」とは、リスク分析を実施する際にどのような長さのモノサシを使うかによって異なるということです。たとえば、リスク分析は100点満点で算定されるかもしれませんし、50点満点で算定されるかもしれません。あるいは点数ではなく、高・中・低などでラベル付けされるかもしれません。これにより基準も変わってきます。また、分布によっても変わる可能性があります。仮に100点満点でリスクの大きさを算定したとして、ほとんど全てのリスクが90点～100点の間に収まっている場合と、1点～100点の間に均一に分布している場合とでは、対応要否の判断や優先性判断のための基準の設け方が変わる可能性が出てくるわけです。