リスク特定 (Risk Identification)
掲載:2019年04月19日
改訂:2021年11月17日
執筆者:エグゼクティブコンサルタント 伊藤 隆
用語集
リスク特定とは、リスクアセスメントを実施する際に、最初に行うプロセスです。ISOガイド73:2009では、「リスクを発見、認識及び記述するプロセス」と定義されています。なお、リスクアセスメントはリスク特定を含む3つのプロセスで構成され、リスク特定の後に、そのリスクの大きさを算定するリスク分析、それらリスクへの対応優先度を決めるリスク評価を行います。限られた経営資源をどう配分すべきか、その意思決定を支援する分析手法の一つです。
リスク特定の狙い
リスク特定の最大の役割は、組織が掲げる目的・目標の達成を阻害する可能性のあるリスクを全て洗い出すことです。リスクマネジメントの国際規格であるISO31000:2018(リスクマネジメント―指針)でも、「リスク特定の意図は、組織の目的の達成を助ける、又は妨害する可能性のあるリスクを発見し、認識し、記述することである」と示されています。
すなわちリスク特定では、リスクの発生可能性や影響の大きさなどはあまり考慮せず、少しでも組織に影響を与えそうなリスクを洗い出し、リスクの一覧表を作成することが求められています。
リスク特定プロセス
リスク特定のプロセスを正しく理解するため、▽最終的なアウトプットは何か▽そのためにどんなインプットが必要か▽そのインプットをどのように加工するのか――の順で見ていきます。
リスク特定の最終的なアウトプットはリスクの一覧表です。これは組織に関係するリスクについて、その名称や種類、関係する業務などの基本的な情報を整理してまとめたものです。
リスクの一覧表を作成するために必要となるインプットは多岐に渡ります。一般的には、どのようなリスクがこのところ世間から注目されているかといった社会的なトレンド、組織内で起きた(あるいは起きそうな)変化・特徴・ヒヤリハット・インシデント、現金の取り扱いや顧客と直接の接点があるかなど業務の性質についての情報などがインプットになります。
最後はインプットを加工してリスクの一覧表を作成します。集めたインプットから、まず地震や不正アクセスなど事象(イベント)およびその事象が起きた際に組織にもたらされる事態(結果)を認識します。その上で、その事態(結果)が、組織の目的に与える具体的な影響を想像することを通じて、リスクを特定していきます。ちなみに、下表はこうした活動を行う際に活用できる方法です。それぞれの適性を把握し、目的に合わせ、いくつかを組み合わせて活用することが望ましいでしょう。
リスクの特定方法
| 方法 | 概要 |
|---|---|
| ブレインストーミング方式 | 組織内の事業や業務に精通したメンバー数人のグループを作り、ブレインストーミングを行って懸念されるリスクなどを洗い出す方式。リスクカテゴリーが多い場合には、複数のグループを作って担当するカテゴリーを分担することによって効率的な運用が可能となる |
| アンケート方式 | 組織内の関連部門などにアンケートを実施し、その結果からリスクの洗い出しを行う方式。包括的なリスクの洗い出しに有効 |
| チェックリスト方式 | あらかじめチェックシートを用意して、自組織の状況が該当するかどうかをチェックする方式。時間が限られている場合に有効 |
おすすめ記事
- リスク評価(Risk Evaluation)
- リスク分析(Risk Analysis)
- リスクアセスメント (RA: Risk Assessment)
- 他人事では済まされない「グローバルリスク報告書2018(The Global Risks Report 2018 13th Edition)」から読み解くべきこと
- リスクマネジメント
- ISO 31010(リスクマネジメント-リスクアセスメント技法)
- 中堅・中小企業にこそ有効な「強い会社を作るリスクマネジメント」第5回: リスクアセスメント(特定、分析、評価)はこうやる
- リスク認知
- リスク選好
- リスクマネジメント実務者が身につけておきたいスキルと資格
