リスク管理の責任・権限とは、リスクマネジメントプロセスの実行責任・権限のことです。より具体的には、リスクの洗い出し（リスク特定）や、その大きさの算定（リスク分析）、対応の優先順位づけ（リスク評価）、リスクに対する対応（リスク対応）などといった活動における最終的な意思決定や確実な履行を指します。また、説明責任・権限とは、これらリスク管理の活動内容や活動結果について、主要なステークホルダー（例：社長など）に対して、確実かつ正確に伝える義務を意味します。

ちなみに、リスクマネジメントの用語について定めた国際規格ガイド73では、次のように定義されています。

※出典：ガイド73 3.5.1.5リスク所有者より

部門や役職者などの責任・権限は、業務分掌規程などに定められることが一般的です。ですが、リスクに関する管理責任・権限については意外に不明瞭なこともあります。リスクオーナーを設ける狙いは、管理責任・権限の明確化を通じて、リスク管理の抜けもれ、いわゆる、リスク管理のポテンヒットを防止することにあります。

したがって、実際の組織では、リスクの種類や性質に合わせて、組織の中に複数のリスクオーナーを設けることが一般的です。具体的にはたとえば、財務リスク（例：為替変動の影響を受けるリスクや、取引先が倒産し、売掛金が貸し倒れになってしまうリスクなど）のリスクオーナーは財務部に、システムリスク（例：不正アクセスやバグによってシステムに障害が起きるリスクなど）のリスクオーナーは情報システム部に、労務リスク（例：勤務中にけがをするリスクなど）のリスクオーナーは、人事部に…といった形です。

上図のようにリスクオーナーは部門全体を指すこともあれば、人に帰属する場合もあります。冒頭で述べましたように、リスクオーナーはリスク管理及び説明の責任・権限を持つ者と定義されることから、そのリスクの管理を担う部門の部門長や担当役員などがアサインされることも少なくありません。企業の内部監査人や監査役は、各リスクが組織においてどの程度厳格に管理され、またどのような課題があるかについて、こうしたリスクオーナーに対する監査を通じて、推し量ることができます。

リスクオーナーという言葉は、ISOマネジメントシステム規格（リスクマネジメントの国際規格であるISO31000:2018、情報セキュリティマネジメントシステムの国際規格ISO27001:2013等）やCOSO-ERM(2017)の中でも使われています。

以下は、ISO31000:2018の中でリスクオーナーという言葉が登場する箇所を抜粋したものです。この箇条（5.4.3）では、リスクマネジメントを行うための説明責任と権限を担う個人をリスクオーナーとして特定することが望ましいと述べています。ここでリスクオーナーを個人に限定しているのは、責任の所在が不明瞭になることを防ぎたいという意図があると推定されます。

※出典：ISO31000:2018　5.4.3 組織の役割, 権限, 責任及びアカウンタビリティの割当てより

また、ISO27001:2013では、以下のような場面で登場します。情報セキュリティに関して特定されたリスクへの対応計画や、対応後に残るリスクの大きさ（残留リスク）について、担当者だけの判断で良しとするのではなく、リスクオーナーの承認を得ることを求めています。

※出典：ISO27001:2013　6.1.3 情報セキュリティリスク対応より

さらに、COSO-ERM（2017）では、次のように触れられています。

※出典：COSO-ERM - 戦略とパフォーマンスとの統合:2017より