リスク評価の狙いは、その前行程にあたるリスク分析によって得られた発生可能性や影響度の大きさなどのデータを基に、どのリスクにより優先的に対応の検討をすべきかの判断材料を提供することにあります。ちなみに、優先的に対応の検討をすべきかどうかを判断するために設ける基準をリスク基準と呼びます。

ここではリスク評価が実際にどのように行われるか、そのプロセスの詳細を通じて、リスク評価をより深く掘り下げてみたいと思います。仮に、図2のようなリスク分析（リスクの大きさの算定）が行われたとします。このリスクマトリクスを見れば、どのリスクがより影響度が大きく、発生可能性が高いのかが分かります。ですが、厳密にはこのリスクマトリクスだけでは、「組織がどのリスクに対応すべきか」、「対応するリスクが複数ある場合、どういう優先順位で対応するべきか」、「どの程度の緊急性で対応すべきか」といったことは読み取ることができません。

そこで、図3に示すように、リスクマトリクスのエリア別に、リスク対応の要否や対応の優先性を決めたとします。図3の例は、破線で囲まれた領域が、対応の検討が必要なエリアであることを示しています。また、影響度大、発生可能性大のエリアは、最優先で対応すべきエリアであることを示しています。こうした判断指標をリスク基準と呼びますが、このようにリスク分析結果をリスク基準と比較して優先性を決める活動そのものがリスク評価なのです。

前項でみましたように、リスク評価では「リスク基準」が重要なインプットの一つになります。リスク基準は、体系的なリスクアセスメントを実現するためには欠かせない指標と言えるでしょう。ですから、リスク評価の精度がリスク基準の精度に比例することに留意が必要です。一方で、リスク分析の算定方法や基準は組織によって異なるため、一朝一夕に理想的なリスク基準を設けるのが困難であることもまた事実です。

リスク基準を設けるにあたっては、トップマネジメントの意向を汲み取ることも重要です。事実、ISO31000:2018では、以下に示すように、トップマネジメントがこうしたリスク基準のインプットを示す必要があると書かれています。

出典：ISO31000:2018 5.2 リーダーシップ及びコミットメントより

いずれにしましても、リスク評価プロセスをデザインする際は、トップマネジメントの考えや実際のリスク分析結果とリスク評価結果とをトライアルアンドエラーを通じて比較しながら、最適な基準値を探し出していくことが理想的です。

また、リスク評価の結果＝リスク対応の絶対的な優先度とは限らないことにも留意が必要です。リスク評価はあくまでも優先度の判断材料を提供するに過ぎません。なぜなら、最終的にリスクに対応するかどうかや、どれだけの緊急性を持って対応するかは、対策にかかる費用なども加味しなければ判断できないからです。つまり、リスク評価の精度をある程度上げることは重要ですが、完璧を目指し過ぎても、かえって弊害を生む可能性があることを忘れないでください。