的確なリスク管理のために、リスクに優先順位をつけることを「リスクの評価」といいます。リスクの評価を行うには、まずリスク評価の目的の明確化を行い、次にリスクの評価基準を決定し、最後に具体的な優先順位の決定を行うという手順をとる必要があります。ここでは、これらの手順を説明した上で、決定した優先順位に基づきどのような対応をすればいいかを紹介します。
リスク評価の目的と対応策の種類
リスク評価の目的は、個々のリスクに対する対応策の方向性を確定し、具体的な対応策を決定することです。リスクの対応策の方向性は一般にリスクの低減、リスクの移転、リスクの回避、リスクの受容の4つに分けることができます。リスク評価を行う前に、それぞれの方法を十分に理解しておく必要があります。
リスクの低減とはリスクが実現しないような施策を実施したり、実際にリスクが実現したときに被害が大きくならないような施策を実施することをいいます。リスク移転は、リスクに対して保険を掛ける対応です。リスク回避は、例えば新規事業で失敗するリスクに対して新規事業自体をとりやめるといったリスク環境そのものから撤退する方法です。そしてリスクの受容とは、リスクの発生はやむを得ないものとしてそのリスクを放置することです。
ここで重要なのは、全てのリスクに対策を講じることは不可能であり、優先順位の低いリスクは受容しなければならないということです。リスク評価の大きな目的は、対応するリスクを明確化するとともに、受容するリスクを明確化することでもあるわけです。
リスク評価は被害の大きさと発生頻度で決める
リスクの評価を行うためには評価の基準を決定する必要があります。リスクの評価基準は一般にリスクの大きさとリスクの発生頻度で構成されます。
リスクの大きさは、そのリスクが実現したときの被害の大きさ(金額)か被害の範囲(全社的、事業、部門、個別部署など)、あるいはその両方を基に考えます。たとえば金額を基準にする場合は金額を4つの段階にわけ、それぞれに1~4のレベルづけを行います。リスクの発生頻度は例えばその確率が、月1回程度、年数回程度、数年に1回程度、数十年に1回程度、などに分類します。
さらに、この二つの数値を足し算、もしくは掛け算することで最終的な基準を算出します。例えば、リスクの大きさが3レベルで、頻度が2レベルの場合、足し算法なら3+2で5点、掛け算法であれば3×2で6点です。掛け算の方がより頻度が低いリスクの優先順位を下げることになります。
優先順位の決定は複数人で
考えられるリスクをそれぞれ評価基準にもとづき点数づけします。しかし、すべてのリスクを数値測定するのは困難で、どうしても感覚的に決定する部分が発生します。そのため特定の個人だけでは決定せずに、なるべく複数人が独立して評価し、それらを統合して最終的な決定をしましょう。決定の際は単純に平均するのではなく、議論をおこなうことが必要でしょう。このメンバーには、十分な知識を持っている人が複数ふくまれていることが大切です。
対応策の検討
リスク管理を的確に行うためには、リスク評価を行うだけでなく、その結果に基づき対応策を決定する必要があります。対応策は、リスク評価の点数の高いリスクから検討して、それぞれのリスクを前述の4つの対応策のどの方法で対応するか決定します。さらに、それぞれの具体的な方法につき実施責任者、実施状況の管理方法を決定します。ここまでして初めて的確なリスク管理が可能となるのです。
いかがでしょうか?ポイントはそれぞれのリスクをなるべく数値で評価することです。そうすれば客観的な判断が可能になり、トラブルがあった時にも見直しがしやすいです。リスク管理を考えるときには客観性が保たれているかを常に意識してください。
U-NOTEをフォローしておすすめ記事を購読しよう