リスクマネジメントその4:リスクマネジメント文脈におけるリスク評価のプロセス

business-risk リスクマネジメント

要約

リスクマネジメント文脈におけるリスク評価について、リスク学文脈との比較の視点から整理します。リスクアセスメントはリスク特定(リスクの洗い出し)、リスク分析(リスクの発生確率や影響度の評価)、リスク評価(リスクの判定と優先順位付け)という3つのプロセスにより成り立っています。

本文:リスクマネジメント文脈におけるリスク評価

リスクマネジメントを勉強するシリーズの四回目です。初回はリスク学の文脈における「リスク管理」とリスクマネジメントの文脈における「リスクマネジメント」の違いについて整理し、二回目はEnterprise Risk Management(ERM)について、そして三回目となる前回はリスクコミュニケーションについてまとめました。

リスクマネジメントその3:リスク学文脈とリスクマネジメント文脈における「リスクコミュニケーション」の違い
リスクマネジメント文脈における(エンタープライズ・)リスクコミュニケーションは、組織内のコミュニケーション、ステークホルダー(組織外)とのリスクコミュニケーション、緊急事態におけるクライシスコミュニケーションを組み合わせたもので、リスク学文脈では取り扱わない組織内コミュニケーションを扱う点がユニークと言えます。

四回目に取り上げる話題はリスク評価です。これまでのシリーズではリスク学文脈とリスクマネジメント文脈での違いに注目してきましたが、今回も同様です。特に両者の文脈では使用する用語がかなり違うことに注意が必要です。

リスク学文脈では「リスク評価」の中に、ハザード(リスク要因)の特定、曝露や毒性の評価(発生確率と影響度の評価)、リスクの判定(リスクキャラクタリゼーション)が含まれます。一方でリスクマネジメント文脈では「リスクアセスメント」の中にリスク特定、リスク分析、リスク評価が含まれます。この辺の違いを理解する必要がありますね。

本記事では、リスクマネジメントの国際規格であるISO31000におけるリスクマネジメントのプロセスをまず紹介し、その中のリスク要因の洗い出しと分析についてさらに詳細を解説していきます。

ISO31000におけるリスクマネジメントのプロセス

ISO31000(その日本語版のJIS Q 31000:2019)では、リスクマネジメントのプロセスとして以下のような図が示されています。

ISO31000process

まずはリスクマネジメントを適用する範囲を決め、リスクアセスメントを行い、その結果に基づきリスク対応を行い、その結果を記録し報告します。また、各プロセスでコミュニケーションやモニタリング・レビューを行います。

これがリスク学文脈では、リスク評価を行い、その結果に基づきリスク管理を行いますので、リスクアセスメントとリスク評価、リスク対応とリスク管理がそれぞれ同じ意味を指しています

適用範囲・状況・基準のプロセスでは、いま組織を取り巻く状況がどのようなもので、それに合わせて組織はどのような方向を目指すのかを決め、さらにそのような方向に向かうにあたりどんなリスクをとり、どんなリスクはとらないのかを決めるということになります。この辺は当ブログのリスクマネジメントシリーズ二回目の記事に詳しいです。

リスクマネジメントその2:リスク学の視点から見たエンタープライズリスクマネジメント(Enterprise Risk Management, ERM)とは?
リスクマネジメントを勉強すると必ず出てくる「Enterprise Risk Management、略してERM、全社型リスクマネジメント」についてまとめました。マイナスの影響だけではなくプラスの影響も含み、個別対応ではなく企業全体の経営戦略と一体化し、経営者から各社員まで全員がリスク管理を担う、という特徴を持つ考え方です。

リスクアセスメントはリスク特定、分析、評価という3つのプロセスにさらに分かれています。これもリスク学文脈の用語と対比させると以下の図のようになります。

risk-assessment

リスク特定では、どのようなリスク要因があるのかを網羅的に洗い出します。ここが実際のところ最も重要なプロセスになるでしょう。何を組織にとってのリスクとみなすかを決めることが重要で、想定外をなくすために網羅的に洗い出すことも重要です。ここで認識されなかったリスクはその後評価も対応も何もなされないからです。この洗い出しの方法はさらに以下で詳述します。

リスク分析では、各リスク要因について発生確率と発生した際の影響度を評価し、いわゆるリスクマップ・リスクマトリックスとして表現します。この方法も以下で詳述します。

リスク評価では、分析した現状のリスクとあるべき姿(なんらかの基準がある場合もある)を比較して、組織にとって重大なリスクであるかどうかを判定していきます。その結果からどのリスク要因から優先的に取り組むべきかという順位付けも行います。

リスク対応ではリスクへの対処の選択肢を複数検討して選定し、実施します。おおまかに以下の4つの方策があります:

  1. リスク回避:リスクの発生源(リスクを生み出す活動や事業)を除去(停止)することでリスクをなくする方法。ただし、リターンを大きく減らしたり、他のリスクを増加させたりする場合には使えない。
  2. リスク低減:発生確率や影響度を小さくする対策。例えば火災のリスクであれば、燃料の近くに燃えやすいものを置かないことで発生確率を低減させ、スプリンクラーや防火壁を設置することで影響度を低減する。
  3. リスク共有(もしくはリスク移転):保険などのファイナンシングを使う方法。火災のリスクでは火災保険に加入することにより、火災による損失を第三者(保険会社)に移転する。
  4. リスク保有:特に何も対処せず、そのリスクを受け入れること。何も考えないのではなく、積極的に受け入れる意思決定をした、ということが重要。

モニタリングとレビューでは、プロセスが適正に実施されているか、リスク対応の効果はどれくらいか、継続的な改善がなされているかというチェックを行います。

コミュニケーションについては前回の記事に詳しく書きましたので、そちらをご覧ください。

これで一連のプロセスの説明が終わりました。次からリスクの洗い出しと分析についてさらに詳しく書きます。

リスクマネジメントにおけるリスクの洗い出し

リスクは認識できなければ管理できません。できるだけ網羅して「想定外」をなくすことが重要です。リスクの洗い出しの手法としては以下の7つに分類できます。状況に合わせてこれらの方法から選択します:

  1. チェックリスト方式:社内規定や業務マニュアルなどの文書から、どこで作業ミスが発生しやすいかを把握する方法
  2. アンケート方式:各業務の担当者にリスク要因についてのアンケート調査をする方法。
  3. ブレインストーミング方式:複数の担当者が自由に意見を出し合いリスク要因をリストアップする方法
  4. インタビュー方式:業務担当者にインタビュー形式でリスクについて聞き取る方法
  5. イベントツリー方式:ある事象と関係するリスクを考えて、リスクの連鎖を洗い出す方法
  6. インシデント方式:ヒヤリハットとも呼ばれるが、事故・事件などに発展しそうな状況を報告してもらい、その要因を分析する方法
  7. シミュレーション方式:自然災害などの際にどのような状況が起こるかを机上訓練してリスクを洗い出す方法

アンケートやインタビュー、ブレインストーミングなど複数の方式に共通することとして、「適切な人材を巻き込めているか」がポイントになってきます。また、事前にある程度リスクの種類の分類や各種ガイドラインに従った洗い出し、守りたいもの(情報資産など)の抽出、これから起こりうる内外の環境の変化の整理などをしておくと洗い出しがやりやすくなります。

リスクの洗い出しの際の注意点は以下の4つの「あ」を排除することです:

  1. ありえない:リスクの洗い出しの際はありえないと思うような発生確率のことでもまずは洗い出しておきます。
  2. あってはならない:理想を追求しすぎると「こんなことはあってはならないのでそんな状況に備えることは許されない」となってしまいます。東日本大震災の前に原発事故を想定したリスク評価ができない状況はまさにこのことが原因でした。
  3. あたりまえ:「常識」とされる内容は個人によって大きく異なるため、「空気読め」で終わらせずにきちんと文書化することが必要です。
  4. あいまい:リスクをあいまいなまま認識するとリスクの特定ができなくなります。

リスクマネジメントにおけるリスク分析

リスク分析のプロセスでは、洗い出した各リスク要因について影響度と発生確率を評価して、リスクマップあるいはリスクマトリックスとして表現することが一般的です。これは化審法や製品安全の分野でも使われる表現方法ですので、リスク学文脈と同じです。

riskmap

組織のリスクマネジメントでは必ずしも発生確率や影響度を定量化してリスクマップを作成できるとは限らないため、3×3の定性的な分類を行うリスクマトリックスで十分な場合が多いです。

実際の企業が作成しているリスクマトリックスを見てみましょう。金融庁が示している有価証券報告書の優良事例として示されているものです。以下のサイトの「4.「事業等のリスク」の開示例」にあります。

企業情報の開示に関する情報(記述情報の充実)

p8に記載がある以下のSOMPOホールディングスのリスクマップはその線引きの定義も書かれていてさすが保険会社!という感じですね。

SOMPO_riskmap

なぜに金融庁がリスク?と思われるかもしれませんが、2006年に成立した金融商品取引法にて、投資家が正しい投資判断ができるようにという目的の下、財務報告に関する内部統制(リスクマネジメントの一部をなすもの)の報告書を作成して監査を受けることが必要になっています(J-SOXなどとも呼ばれています)。さらに、有価証券報告書の記述情報の充実として、事業リスクに関する記載が求められています(2021年8月31日この一文修正)。

ちなみにこれを国というレベルでやっていくのがナショナルリスクアセスメントで、特に英国では盛んに行われていて定期的に報告書が出ています。

[Withdrawn] National Risk Register 2020
The National Risk Register 2020 outlines the key malicious and non-malicious risks that could affect the UK in the next two years, and provi...

さらに地球レベルでやるのがグローバルリスクになります。世界経済フォーラム(通称ダボス会議)がリスクの洗い出しと評価を行った結果を毎年報告しています。

The Global Risks Report 2021
The 16th edition of the World Economic Forum’s Global Risks Report analyses the risks from societal fractures—manifested through persistent ...

まとめ:リスクマネジメント文脈におけるリスク評価

リスクマネジメント文脈におけるリスク評価はリスク学文脈と似てはいますが使用する用語が違う点に注意が必要です。リスクアセスメントの中にリスク特定(リスクの洗い出し)、リスク分析(リスクの発生確率や影響度の評価)、リスク評価(リスクの判定と優先順位付け)という3つのプロセスが入っています。リスクの洗い出しは網羅性が重要で、リスク分析ではリスクマトリックスの手法を使うことが特徴的です。

次回でリスクマネジメントシリーズは終わりになります。リスクマネジメント文脈におけるコンプライアンスとELSI(Ethical, Legal and Social Issues)の関係について書きます。

リスクマネジメントその5:リスクマネジメント文脈におけるコンプライアンスとリスク学文脈におけるELSIの関係
リスクマネジメントにおけるコンプライアンスは単純に「法律を守ること」ではありません。リスク学で扱うELSI(Ethical, Legal and Social Issues)でいうLだけでなくELSすべてを含んでいると考えるべきです。つまり、法律が出来上がった目的や社会的背景、倫理規範にそぐわない行動をしない、という意味です。

補足:記事を書くのに参考にした書籍など

https://www.amazon.co.jp/dp/4274221385
https://www.amazon.co.jp/dp/4990746627
https://www.amazon.co.jp/dp/4542402819

コメント

タイトルとURLをコピーしました