リスク対応(Risk Treatment)
掲載:2019年04月19日
改訂:2021年11月04日
改訂者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介
用語集
リスク対応とは、リスクマネジメントプロセスを構成する活動の一つです。なお、リスクマネジメントプロセスとは、リスク特定・リスク分析・リスク評価・リスク対応・モニタリング及びレビューに関する一連の活動のことです。
ISO31000:2018が示すリスクマネジメントの全体像とリスク対応
リスクマネジメントの国際規格ISO31000:2018では、リスクマネジメントの全体像を下図の通り示しています。
【図:ISO31000:2018の図1-原則,枠組み及びプロセス】
対策の決定
先述しましたように、リスク対応を中心となって支える活動の一つに「リスクの対策を決定する」があります。この対策には選択肢があり、一般的には、「リスク回避」「リスク軽減(低減)」「リスク移転」「リスク保有」の4つに分類されます。企業は、この選択肢のいずれか、または複数を選ぶことにより、最適なリスク対応を目指すのです。
リスク回避
リスクを生じさせる要因そのものを取り除くという意味です。リスク破棄とも呼ばれます。たとえば、ある新規事業について、成功した場合に得られるであろうリターンと、万が一失敗した場合に発生する最大予想損失額を比べて、とろうとしているリスクにリターンが見合わなければ、その新規事業を続けることそのものをあきらめるといった行為です。
リスク軽減(低減)
リスクの発生可能性を下げる、もしくはリスクが顕在した際の影響の大きさを小さくする、または、それら両方の対策をとることです。たとえば、「地震により工場が倒壊し事業が数ヶ月間停止するリスク」において発生可能性を下げる対策には、耐震補強などが当てはまります。また、リスクの影響を小さくする対策には、別工場の操業レベルを上げ、代替生産をすること(BCP)で、被害を最小限に抑える対策などがこれに該当します。
リスク移転
文字通り、リスクを自組織外へ「移転」する行為です。リスク共有とも呼ばれます。最も典型的な対策は、保険への加入です。また、業務を専門家にアウトソースする行為などもこれに該当します。たとえば、システムを自社のサーバルームではなく、専門のデータセンター事業会社に移設し、そちらの業者に監視をしてもらうといった行為などもこれに含まれます。
リスク保有
特に対策をとらず、その状態を受け入れることです。リスクが受け入れ可能な大きさであると判断された場合、もしくは、現実的な対策がないためやむを得ず受け入れると判断された場合に選ぶ選択肢です。たとえば、償却の進んだ社有車に破損や盗難保険をかけず、自身の資金範囲で対応するという行為は、リスク保有の一種と言えます。
ちなみに、ISO31000では、この4つを更に細かく分解し、以下のように7つの選択肢を提示しています(【 】内は4つの分類との関係を示します)。
- リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する【リスク回避】
- ある機会を追求するために、そのリスクを取るまたは増加させる《リスク増加》*1
- リスク源を除去する【リスク軽減(低減)】
- 起こり易さを変える【リスク軽減(低減)】
- 結果を変える【リスク軽減(低減)】
- (例えば、契約、保険購入により)そのリスクを共有する【リスク移転】
- 情報に基づいた意思決定によって、そのリスクを保有する【リスク保有】
(出典:ISO31000:2018 6.5.2 リスク対応の選択肢の選定)
*1 《リスク増加》は、ISO31000により導入されたプラスのリスク(いわゆるポジティブリスク)を考慮した概念
リスク対応の勘所
有効なリスク対応を実現するためには、先に挙げた選択肢から、適切な対策を選ぶ必要があります。とるべき対策の選択肢は、リスクの発生可能性や影響度の大きさ、ならびに経営の意思によって変わってきますが、そこには一定の傾向性が見て取れます。たとえば、発生可能性も影響度もいずれも大きいと判断されたリスクについては、そのリスクの大きさを小さくするための努力をするよりも、むしろ、リスク回避をしたほうが望ましいという考え方もあります。また、発生可能性が小さいものの影響度が大きい場合には、BCPなどを用いたリスク軽減が望ましいという考え方もあります。この考え方を整理しますと、発生可能性と影響度により、下図のように表すことができます。
最終的にどれを選択するかは、択一ではなくリスク対応の目的、組織の諸事情を勘案し判断することになりますが、こうした傾向を念頭におきながら、リスク対応の選択肢を検討することが重要です。
【4つのリスク対応概念図】