リスク評価(Risk Evaluation)
掲載:2019年04月19日
改訂:2021年11月05日
改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
用語集
リスク評価とは、リスクアセスメントを構成する3つのプロセスのうちの一つです。3つのプロセスとは、リスク特定(リスクの洗い出し)、リスク分析(リスクの大きさの算定)、そしてこのリスク評価です。リスクアセスメントのプロセスについては、リスク管理の国際規格であるISO31000:2018でも、同様の考え方が示されています(図1 参照)。
リスク評価の狙い
リスク評価の狙いは、その前行程にあたるリスク分析によって得られた発生可能性や影響度の大きさなどのデータを基に、どのリスクにより優先的に対応の検討をすべきかの判断材料を提供することにあります。ちなみに、優先的に対応の検討をすべきかどうかを判断するために設ける基準をリスク基準と呼びます。
【図1:リスク管理の国際規格ISO31000:2018が示すリスクマネジメントの全体像とリスク評価】
リスク評価の具体例
【図2: リスク分析結果(例)】
ここではリスク評価が実際にどのように行われるか、そのプロセスの詳細を通じて、リスク評価をより深く掘り下げてみたいと思います。仮に、図2のようなリスク分析(リスクの大きさの算定)が行われたとします。このリスクマトリクスを見れば、どのリスクがより影響度が大きく、発生可能性が高いのかが分かります。ですが、厳密にはこのリスクマトリクスだけでは、「組織がどのリスクに対応すべきか」、「対応するリスクが複数ある場合、どういう優先順位で対応するべきか」、「どの程度の緊急性で対応すべきか」といったことは読み取ることができません。
【図3】
次点対応リスク:R2、R3
対応しないリスク:R4
そこで、図3に示すように、リスクマトリクスのエリア別に、リスク対応の要否や対応の優先性を決めたとします。図3の例は、破線で囲まれた領域が、対応の検討が必要なエリアであることを示しています。また、影響度大、発生可能性大のエリアは、最優先で対応すべきエリアであることを示しています。こうした判断指標をリスク基準と呼びますが、このようにリスク分析結果をリスク基準と比較して優先性を決める活動そのものがリスク評価なのです。
リスク評価を効果的に行うためのポイント
前項でみましたように、リスク評価では「リスク基準」が重要なインプットの一つになります。リスク基準は、体系的なリスクアセスメントを実現するためには欠かせない指標と言えるでしょう。ですから、リスク評価の精度がリスク基準の精度に比例することに留意が必要です。一方で、リスク分析の算定方法や基準は組織によって異なるため、一朝一夕に理想的なリスク基準を設けるのが困難であることもまた事実です。
リスク基準を設けるにあたっては、トップマネジメントの意向を汲み取ることも重要です。事実、ISO31000:2018では、以下に示すように、トップマネジメントがこうしたリスク基準のインプットを示す必要があると書かれています。
5.2 リーダーシップ及びコミットメント
トップマネジメント及び監督機関(該当する場合)は、リスクマネジメントが組織の全ての活動に統合されることを確実にすることが望ましい。また、次の事項を通じてリーダーシップ及びコミットメントを示すことが望ましい;
(中略)
- リスク基準の策定の指針として取ることができる、または取ることができないリスクの大きさ及び種類を確定し、それらのリスクが組織及びステークホルダに伝達されることを確実にする
出典:ISO31000:2018 5.2 リーダーシップ及びコミットメントより
いずれにしましても、リスク評価プロセスをデザインする際は、トップマネジメントの考えや実際のリスク分析結果とリスク評価結果とをトライアルアンドエラーを通じて比較しながら、最適な基準値を探し出していくことが理想的です。
また、リスク評価の結果=リスク対応の絶対的な優先度とは限らないことにも留意が必要です。リスク評価はあくまでも優先度の判断材料を提供するに過ぎません。なぜなら、最終的にリスクに対応するかどうかや、どれだけの緊急性を持って対応するかは、対策にかかる費用なども加味しなければ判断できないからです。つまり、リスク評価の精度をある程度上げることは重要ですが、完璧を目指し過ぎても、かえって弊害を生む可能性があることを忘れないでください。
おすすめ記事
- リスク (Risk)
- リスクマネジメント
- ISO31000:2018 リスクマネジメントー指針
- COSO-ERM
- ISO31000入門-ISO31000の全貌とその読み解き方・活用方法を教えます-
- リスク対応(Risk Treatment)
- リスク認知
- ISO31022:2020 リスクマネジメント-リーガルリスクマネジメントのためのガイドライン
- ISO31030:2021 - 旅行リスク管理 - 組織向けのガイダンス
- ウクライナとロシア戦争後の不確実な未来に備えるには
- リスク特定 (Risk Identification)
- リスク分析(Risk Analysis)
- リスクアセスメント (RA: Risk Assessment)