リスク・アセスメントの第一歩として

リスクの把握

最初に行うのは、どのようなリスクが存在するかを洗い出すことである。企業のリスクは、企業の内外を問わず様々な要因により発生するが、これらを漏れなく洗い出し把握する必要がある。以下のようなリスク分類を切り口に、様々な観点からリスクを洗い出す。

•戦略リスク（組織の戦略的意思決定に伴う不確実性）
•外部環境リスク（組織の外部環境に起因するリスク。災害、為替変動等）
•内部環境リスク（組織の内部環境に起因するリスク。ガバナンス、コミュニケーション等）
•業務リスク（業務プロセスに起因するリスク。情報漏洩、作業事故等）

また、事業にはそれぞれその事業特有のリスクが存在するため、複数事業領域がある場合は各事業領域ごとにリスクを把握する必要がある。一方、災害や人事労務関連のリスク等、全社共通のものもあるため、これらすべてを合わせて、企業全体のリスクを把握することになる。

具体的な方法としては、リスク・アセスメント担当者が経営層や事業担当者からインタビュー、セッション、調査票等により情報を収集し整理していく、といったものが一般的である。

リスクの評価

次に、洗い出したリスクについて、各々の大きさを評価する。最終的に各リスクをリスクマップ上にプロットし俯瞰するために、そのリスクが発生した場合の影響の大きさと、発生可能性の２つの軸で評価する。両軸とも３～５段階のレベルに分け、あらかじめレベルの判定基準を決めておくことが大切である。

影響度については、金額換算できるものは極力金額換算するが、リスクの性質上それが難しい場合もある。従って、レベルの判定基準には金額以外の基準も併用することになる。例えば、人命、社会への影響、評判等、価値が高いが金額換算ができないものがこれにあたる。

発生可能性のレベルは、「年に数回」等の頻度で表す場合が多いのだが、日々何万という商品を取引する小売業と、数年単位のプラント建設業では事業のサイクルが異なるため、事業固有リスクの発生頻度も異なる。従って、事業の性質をある程度考慮しつつレベルの判定基準を作成することで、最小レベルや最大レベルにリスクが集中することを防ぐことができる。

こうして定めた判定基準に則り、個々のリスクを評価していく。過去に発生したことのあるリスクに関しては、実績データを参考に影響度・発生可能性を決めることができる。一方、発生したことの無いもの、発生可能性の非常に小さいものについては何らかの前提を設けて試算することになる。例えば地震の損害と一口に言っても千差万別だが、「関東大震災レベルの地震が首都圏において発生し･･･」といったケース設定をすることで損害額算定の前提を決めるわけである。

こうして評価したリスクを、図のようなリスクマップ上にプロットすることにより、一目で全体像を把握することが可能になる。マップの右上にプロットされたものほど大きなリスク、左下に行くほど小さなリスクである。このマップを見ながら、リスク対策の優先順位や方針を決めていく。