リスク管理Naviリスクマネジメントの情報サイト

リスク基準

掲載:2019年04月19日

改訂:2024年07月10日

執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

用語集

リスク基準とは、国際規格※1では「リスクの重大性を評価するための目安とする条件」と定義されており、適切なリスク評価を実施できるようにするための判断基準を指します。なお、リスク評価とは、リスク分析によって算定されたリスクの大きさに基づき、リスク対応が必要なものとそうでないものを見極める活動のことを言います。この見極めの際に利用される判断基準がリスク基準なのです。

※1. Guide73 3.3.1.3より

         

リスク基準の意義

リスク基準には、主に2つの意義があります。1つには「組織としてどこまでのリスクをとるのか・とらないのか」という判断をするにあたって、経営の考えとのズレを防ぐことができます。「どこまでのリスクをとるのか・とらないのか」の方向性を決めるのは経営ですが、実際にリスクアセスメントは現場に近い担当者が担うことが一般的です。その際にとるリスク・とらないリスクの判断が迷わずにできるようにしておく必要があります。2つ目の意義としては、リスクアセスメントを行う実務者間で実施結果にばらつきが出ないようにすることが挙げられます。同じリスクに対してリスク評価を行ったにもかかわらず、Aさんがやった場合とBさんがやった場合とで、結果が異なってしまっては結果の品質に疑問符がつくことになります。このように、リスク基準を設けておくことで、経営とリスクアセスメント実務者との間の認識のズレと、リスクアセスメント実務者間の認識のずれを防ぐことを期待できるのです。

リスク基準の具体例

身近な例でリスク基準を考えてみましょう。たとえば、機密情報保護という目的に対して「社員が不正に社内の機密データを競合他社に売り渡すリスク」「ハッカーから機密データを盗み出されるリスク」「社員がパソコンを外出先で無くして機密情報が漏洩するリスク」の3つを洗い出したとします。これらリスクに対してリスク分析を行い、影響度と発生可能性を以下のように算定したとします。この例ではリスクの大きさがそれぞれで異なることがわかりますが、さて、いずれのリスクに対しては対応が必要で、いずれのリスクに対しては対応不要だと判断できるでしょうか。

リスク 影響度 発生可能性 大きさ
社員が不正に社内の機密データを競合他社に売り渡すリスク 3 1 3
ハッカーから機密データを盗み出されるリスク 3 2 6
社員がパソコンを外出先で無くして機密情報が漏洩するリスク 2 2 4

リスク基準が設定されていない場合は、その判断に困ることになります。そこで、たとえば「4点未満ならリスクを取る」「4点以上ならリスクを取らず必要なリスク対策を講じる」というリスク基準を設定したとしましょう。すると以下のような判断をスムーズに行うことができます。

リスク 影響度 発生可能性 大きさ リスク評価
社員が不正に社内の機密データを競合他社に売り渡すリスク 3 1 3 リスク対策不要
ハッカーから機密データを盗み出されるリスク 3 2 6 リスク対策必要
社員がパソコンを外出先で無くして機密情報が漏洩するリスク 2 2 4 リスク対策必要

ちなみに、「どこまでリスクを取るのか・取らないのか」については経営がその方向性を決めるものですが、経営者が直接「何点以上はOKで、何点以上はダメ」といった具体的な基準を出すことは現実的ではありません。ゆえに、経営は、より経営に近い言葉で言語化したリスク選好(リスクアペタイト)を明確化することが必要になります。リスク基準はこうしたリスク選好(リスクアペタイト)を参考にしながら設定されることになります。

リスク基準に関する規格要求事項

リスクマネジメントの国際規格ISO31000:2018(リスクマネジメント―指針)では、「リスク基準」について次のように求めています。

6.3.4 リスク基準の決定
組織は目的に照らして、とってもよいリスク、またはとってはならないリスクの大きさ及び種類を規定することが望ましい。組織はまた、リスクの重大性を評価し、意思決定プロセスを支援するための基準を決定することが望ましい。リスク基準は、リスクマネジメントの枠組みと整合させ、検討対象の活動の特有の意図及び範囲にリスク基準を合わせることが望ましい。リスク基準は、組織の価値観、目的及び資源を反映し、リスクマネジメント方針及び記述と一致していることが望ましい。基準は組織の義務及びステークホルダの見解を考慮に入れて規定することが望ましい(以下、省略)

【出典:ISO31000:2018 6.3.4リスク基準の決定より】

「リスクの重大性を評価し、意思決定プロセスを支援するために使用される基準」が「リスク基準」を指しています。また「リスク基準は、組織の価値観、目的及び資源を反映し、リスクマネジメント方針及び記述と一致していることが望ましい」とありますが、これは経営がそもそもリスクに対してどのように向き合おうと思っているのか、その考えを反映することが望ましいという意味です。一般的には、こうしたリスクを取る・取らないに関する経営目線で言語化されたものをリスク選好(リスクアペタイト)と呼びます。

リスク基準の導き出し方は様々ですが、トップや組織を取り巻くステークホルダの考えがどうであるか、そして、どのようなリスク分析手法を用いるか、の2つに特に大きく依存します。

前者の「トップや組織を取り巻くステークホルダの考え」については、業界内に法規制があればそれに従うことが必要となります。これに加えて、トップの想いを反映することになります。通常、組織においてトップは2年後3年後・・・会社をどこまで成長させたいか!?構想を持ち、それを売り上げ目標など数値に反映しますが、リスク基準もこれと同じです。組織を取り巻くリスクについて何をどこまでするのか、トップの想いを少しでも明らかにすることが重要です。

後者の「どのようなリスク分析手法を用いるか」とは、リスク分析を実施する際にどのような長さのモノサシを使うかによって異なるということです。たとえば、リスク分析は100点満点で算定されるかもしれませんし、50点満点で算定されるかもしれません。あるいは点数ではなく、高・中・低などでラベル付けされるかもしれません。これにより基準も変わってきます。また、分布によっても変わる可能性があります。仮に100点満点でリスクの大きさを算定したとして、ほとんど全てのリスクが90点~100点の間に収まっている場合と、1点~100点の間に均一に分布している場合とでは、対応要否の判断や優先性判断のための基準の設け方が変わる可能性が出てくるわけです。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる