リスク特定 (Risk Identification)
| 執筆者: | エグゼクティブコンサルタント 伊藤 隆 |
リスク特定の狙い
リスク特定の最大の役割は、組織が掲げる目的・目標の達成を阻害する可能性のあるリスクを全て洗い出すことです。リスクマネジメントの国際規格であるISO31000:2018(リスクマネジメント―指針)でも、「リスク特定の意図は、組織の目的の達成を助ける、又は妨害する可能性のあるリスクを発見し、認識し、記述することである」と示されています。
すなわちリスク特定では、リスクの発生可能性や影響の大きさなどはあまり考慮せず、少しでも組織に影響を与えそうなリスクを洗い出し、リスクの一覧表を作成することが求められています。
リスク特定プロセス
リスク特定のプロセスを正しく理解するため、▽最終的なアウトプットは何か▽そのためにどんなインプットが必要か▽そのインプットをどのように加工するのか――の順で見ていきます。
リスク特定の最終的なアウトプットはリスクの一覧表です。これは組織に関係するリスクについて、その名称や種類、関係する業務などの基本的な情報を整理してまとめたものです。
リスクの一覧表を作成するために必要となるインプットは多岐に渡ります。一般的には、どのようなリスクがこのところ世間から注目されているかといった社会的なトレンド、組織内で起きた(あるいは起きそうな)変化・特徴・ヒヤリハット・インシデント、現金の取り扱いや顧客と直接の接点があるかなど業務の性質についての情報などがインプットになります。
最後はインプットを加工してリスクの一覧表を作成します。集めたインプットから、まず地震や不正アクセスなど事象(イベント)およびその事象が起きた際に組織にもたらされる事態(結果)を認識します。その上で、その事態(結果)が、組織の目的に与える具体的な影響を想像することを通じて、リスクを特定していきます。ちなみに、下表はこうした活動を行う際に活用できる方法です。それぞれの適性を把握し、目的に合わせ、いくつかを組み合わせて活用することが望ましいでしょう。
リスクの特定方法
| 方法 | 概要 |
|---|---|
| ブレインストーミング方式 | 組織内の事業や業務に精通したメンバー数人のグループを作り、ブレインストーミングを行って懸念されるリスクなどを洗い出す方式。リスクカテゴリーが多い場合には、複数のグループを作って担当するカテゴリーを分担することによって効率的な運用が可能となる |
| アンケート方式 | 組織内の関連部門などにアンケートを実施し、その結果からリスクの洗い出しを行う方式。包括的なリスクの洗い出しに有効 |
| チェックリスト方式 | あらかじめチェックシートを用意して、自組織の状況が該当するかどうかをチェックする方式。時間が限られている場合に有効 |
