リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

リスク評価(Risk Evaluation)

2016年06月27日

リスク評価とは、リスクアセスメント※を構成する3つのプロセスのうちの一つです。3つのプロセスとは、リスク特定(リスクの洗い出し)、リスク分析(リスクの大きさの算定)、そしてこのリスク評価です。リスク管理の国際規格であるISO31000でも、同様の考えです(下図参照)。
 
リスク評価の狙いは、その前工程にあたるリスク分析によって得られた発生可能性や影響度の大きさなどのデータを基に、どのリスクに、より優先的に対応すべきかの判断材料を提供することにあります。ちなみに、優先的に対応すべきかどうかを判断するために設ける基準をリスク基準※と呼びます。
 
※「リスクアセスメント」、「リスク特定」、「リスク分析」、「リスク基準」の詳細については、各NAVI記事をご参照下さい。
 

【図:リスク管理の国際規格ISO31000:2009が示すリスクマネジメントの全体像とリスク評価】

1327_ext_05_1.png

リスク評価の具体例

1327_ext_05_2.png

【図1: リスク分析結果(例)】

ここではリスク評価が実際にどのように行われるか・・・そのプロセスの観察を通じて、リスク評価をより深く掘り下げてみたいと思います。
仮に、上図のようなリスク分析(リスクの大きさの算定)が行われたとします。図1のリスクマトリクスを見れば、どのリスクがより大きい影響度と高い発生可能性を持つかが分かります。ですが、厳密にはこの図だけでは、「組織がどのリスクに対応すべきか」、「対応するリスクが複数ある場合、どういう優先順位で対応するべきか」、「どの程度の緊急性で対応すべきか」といったことは読み取ることができません。そこで、
最優先対応リスク:R1
次点対応リスク:R2、R3
対応しないリスク:R4
図2に示すように、リスクマトリクスのエリア別に、リスク対応の要否や対応の優先性を決めたとします。上図の例は、破線で囲まれた領域が、対応が必要なエリアであることを示しています。また、影響度大、発生可能性大のエリアは、再優先で対応すべきエリアであることを示しています。こうした判断指標をリスク基準と呼びますが、まさにこのリスク分析結果をリスク基準と比較して優先性を決める活動そのものがリスク評価なのです。

リスク評価を効果的に行うためのポイント

前項でみましたように、リスク評価では「リスク基準」が重要なインプットの1つになります。体系的なリスクアセスメントを実現するためには欠かせない指標と言えます。すなわち、リスク基準の精度がリスク評価の精度に比例することに留意が必要です。一方で、リスク分析の算定方法や基準は組織によって異なるため、一朝一夕に理想的なリスク基準を設けることが困難なこともまた事実です。リスク評価プロセスをデザインする者は、実際のリスク分析結果とリスク評価結果をトライアルアンドエラーを通じて比較しながら、最適な基準値を探し出していくことが理想的です。
 
また、リスク評価の結果=リスク対応の絶対的な優先度とは限らないことにも留意が必要です。リスク評価はあくまでもその判断材料を提供することに過ぎません。なぜなら、最終的にリスクに対応するかどうかや、どれだけの緊急性を持って対応するかは、対策にかかる費用なども加味しなければ判断できないからです。つまり、リスク評価の精度をある程度上げることは重要ですが、完璧を目指し過ぎることも、かえって弊害を生む可能性があることを忘れないでください。
 

(文責:小林 利彦

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム