リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

リスク基準

2014年10月29日

リスク基準とは、リスクアセスメント実施者によって評価結果に大きなブレがでないようにすることを狙いとして、あらかじめ設定する判断指標を指します。国際規格※1では「リスクの重大性を評価するための目安とする条件」と定義されています。すなわち、リスクに対する対応の要否判断や対応する場合の優先順位付けを判断するための指標と言い換えることもできます。

具体的な例を挙げます。たとえば、リスク分析(リスクの理解;リスクの大きさの算定)を実施し、リスクの大きさをそれぞれ16点、12点、9点・・・というように算定できたとします。この際、対応不要のリスクは何点未満のものか? 何点以上のリスクには対応すべきか? とにかく急いで手当をすべきリスクは何点以上のものか?・・・といった問いの答えになるものが「リスク基準」です。

※1. Guide73 3.3.1.3より

リスク基準に関する規格要求事項

リスクマネジメントの国際規格ISO31000:2012では、「リスク基準」について次のように求めています。
5.3.5 リスク基準の決定※2 組織は,リスクの重大性を評価するために使用される基準を規定することが望ましい。この基準は,組織の価値観,目的及び資源を反映したものであることが望ましい。基準の中には,法律及び規制の要求事項,並びに組織が合意するその他の要求事項によって組織に課せられる,又は導き出されるものがある。リスク基準は,組織のリスクマネジメント方針(4.3.2参照)との矛盾がなく,あらゆるリスクマネジメントプロセスにおいて最初に規定され,継続的にレビューされることが望ましい。 (以下、省略)
※2. ISO31000:2012 5.3.5より

なお、「リスクの重大性を評価するために使用される基準」とは、冒頭にも触れましたように「リスク基準」の定義そのものです。また「組織の価値観,目的及び資源を反映したもの」とは、具体的にはたとえば経営理念やトップマネジメントの意思がこれに該当します。

さらに、「法律及び規制の要求事項・・・」については、具体的にはたとえば、国際決済銀行向けに出されるバーゼル(BIS規制)などがこれに該当します。BIS規制では、組織の自己資本比率を算定するにあたって、計算式の分母にどのような種類のリスクを含めるべきか、について定めています。 ISO31000には、上記以外にも、リスク基準決定にあたり考慮すべき事項が列挙されています。組織は、これらを参考にしてリスク基準を決定することが肝要です。
リスク基準の導き出し方は様々ですが、トップや組織を取り巻くステークホルダの考えがどうであるか、そして、どのようなリスク分析手法を用いるか、の2つに特に大きく依存します。

前者の「トップや組織を取り巻くステークホルダの考え」については、先に触れましたように業界内に法規制があればそれに従うことが必要となります。これに加えて、トップの想いを反映することになります。通常、組織においてトップは2年後3年後・・・会社をどこまで成長させたいか!?構想を持ち、それを売り上げ目標など数値に反映しますが、リスク基準もこれと同じです。組織を取り巻くリスクについて何をどこまでするのか、トップの想いを少しでも明らかにすることが重要です。

後者の「どのようなリスク分析手法を用いるか」とは、リスク分析を実施する際にどのような長さのモノサシを使うかによって異なるということです。たとえば、リスク分析は100点満点で算定されるかもしれませんし、50点満点で算定されるかもしれません。あるいは点数ではなく、高・中・低などでラベル付けされるかもしれません。これにより基準も変わってきます。また、分布によっても変わる可能性があります。仮に100点満点でリスクの大きさを算定したとして、ほとんど全てのリスクが90点~100点の間に収まっている場合と、1点~100点の間に均一に分布している場合とでは、対応要否の判断や優先性判断のための基準の設け方が変わる可能性が出てくるわけです。

405_ext_05_4.png

(文責:勝俣 良介

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム