Risk Assessment

/ 最終更新日時 : ATSUSHI YOSHIDA Risk Assessment

Happy voyage to Risk management

リスクプロセス管理皿

リスクマネジメントはリスクプロセス管理皿を理解！

Table of Contents（コンテンツ目次）

方針や手順に忠実に従い、危険源発見、チーム・コミュニケーションから状況確認、リスク評価、対応、監視、レビュー、記録・報告まで、まるでベルトコンベアにリスク・ネタを乗せて次々とリスク対策を処理していきます。これがプロセスですね、気づけばリスク処理一皿が完了と思ったら次のリスク皿、そしてまた次の一皿…とやってくる。エンドレスに流れていく様子を見ていると発見されたリスクが回転寿司のようにプロセスを経て優先付けされた対策皿となって出ていく。それは皿の絵ですね。ご覧ください。

リスクマネジメントは経営や意思決定に欠かせない、まるで社内料理に使う隠し調味料のような要素、リスク要素は少ないと思いがちの組織体制や業務プロセスにも発生するリスクの対策にもぜひ投入すべき。

日常業務の戦術、さらには戦略的プロジェクトまで、使えば使うほぼあらゆる場面でスパイスのように効いてきます。

動くのは上司やリーダーです、組織は組織は動きません

動くのは上司やリーダー、上司は目標達成や状況対応には料理のレシピのように複数のリスクマネジメントプロセスをミックスすることがあります。ここで大事なものは全プロセスそれはゆりかごから墓場まで、人の行動や組織や行動のプロセスごとの”くせ””気まぐれ”をしっかり把握し、”曲者”の性質をしっかり味見しながら進めるのがベストです。

リスクマネジメントプロセスは、教科書にはきれいに順番通りに進めればできるシーケンシャルな活動として描かれますが、現場ではまるで迷路に迷い込んだ探検隊のように、行ったり来たり、時には同じ場所をぐるぐる回りながら反復的に進められます。そうですねこれが基本となる3つの処理【順次・分岐・反復】です。

以下はISO31000　箇条6.1〜6.7の解説、具体例、実務上の注意点です。

６．１一般

【解説】

リスクマネジメントプロセスは、組織のあらゆる活動に日常はこっそりとたたずまい、まるで常駐スタッフのように頼れる相棒であり、気まぐれに一度きりで付き合い追われません。むしろ、環境や状況が変わるたびに「また来たよ！」と顔を出し、何度でも同じ笑顔やジョークを繰り返し何となくこれがAIロボットかと思うほど、継続的かつ反復的に繰り返し、あっちこっちでマネジメントプロセスを実施しているこれがこの一般事項です。

【事例】

新製品開発: 企画の段階から、市場の変動や技術的な失敗のリスクを考慮し、意思決定の都度プロセスを回します。

【注意点】

形骸化の防止: 単なるチェックリスト作業にならないよう、実際の意思決定の場（会議など）に組み込みましょう。

６．２　コミュニケーション及び協議

コミュニケーションと協議の真の意義は、まるで全員でリスクという巨大な謎解きゲームに挑むようなものであり、関係者たちが「なぜその決断？」「なんでその活動？」と首をかしげないように、背景や理由をしっかり共有してあうことです。コミュニケーションは、リスクに対する意識を高め、「あ！、これは危ないやつだ」と皆が同じ地図を持つようにする。

一方、協議は「これって本当に正しい道？」と立ち止まったときに、フィードバックや追加情報やヒントを配布する役割を担う。両者をうまくミックスすれば、機密性や完全性、さらにはプライバシー権まで守りながら、「今このタイミングでその話！？」と言われない、事実に基づいた、適切でわかりやすい情報交換ができます。そして、外部・内部問わず関係者とのコミュニケーションと協議は、リスクマネジメントのどのステップでも、ま全ステージ制覇を目指すRPG「Role-Playing Game（ロールプレイングゲーム）」のように行うことです。

目的は、異なる分野の知恵を集め、リスク基準を決め、評価するときに「それもアリだね」と多様な視点を反映させること。さらに、意思決定やリスク監視をスムーズに進めるための情報を提供し、「私たち、同じパーティだよね！」という一体感と当事者意識を、影響を受ける人々の間に築き上げることです。

【解説】

ステークホルダー（事業関係者、一般社員も含みます）に対して、なぜその決定が必要なのか、どんなリスクがあるのかを理解してもらうためのコミュニケーションをすることそれです。単に一方的に伝えるだけでなく、双方向に協議を通じてさまざまな専門家とも意見交換することが重要です。

【事例】

工場増設、建設: 社員、関係者、近隣住民に安全対策について説明し、騒音や渋滞などの懸念をリスク評価に反映します。

【注意点】

一方通行にならない: 説明（片方向）と協議（双方向）のバランスが大切です。反対意見も排除せず、リスクの早期発見に役立てます。（お互い双方向のコミュニケーション）

６．３　適用範囲，状況及び基準

一般

適用範囲、状況、そして基準を確定することの意義は、まるでオーダーメイドのスーツを仕立てるように、リスクマネジメントプロセスを組織にピッタリ合わせることです。これにより、効果的なリスクアセスメントと、的確かつタイムリーなリスク対応が可能になります。適用範囲、状況および基準の設定は、プロセスの領域をしっかり線引きし、外部と内部の状況をじっくり観察する、いわば双眼鏡と虫眼鏡、天体望遠鏡を同時に使うような作業を含んでいます。

適用範囲の決定

組織は、リスクマネジメント活動の適用範囲をちゃんと決めることが必要です。なぜなら、このプロセスは戦略立案から日々の業務、プログラム、プロジェクト、果ては「よくわからないが重要そうな活動」まで、あちこちに顔を出すからです。だからこそ、どこを対象にするのか、その目的は何か、そしてそれが組織全体の目的とちゃんと仲良くできるかをはっきりさせる必要があります。

取組み方を考えるときは、目的や必要な意思決定、プロセスでの対策とその結末、時間や場所、入れるものと外すもの、使うべきリスクアセスメントの手法、必要な資源や責任、記録の残し方、他のプロジェクトや活動との関係、そして外部と内部の状況…と、まるで「全部入りラーメン」のように検討事項が盛りだくさんにします、きっとそう感じます。この外部と内部の状況とは、組織が目標を立てて達成しようとする際に取り巻く環境のことです。

リスクマネジメントプロセスの状況は、組織が活動する外部と内部の環境をきちんと理解することが必要で、適用する活動ごとの独自の環境もちゃんと反映すべきです。

状況を理解する上で大事なのは、リスクマネジメントが組織の目的や活動に沿って実施されていること、そして組織、人そのものがリスクの発生源になることもあるという現実があります。また、このプロセスの意義や範囲は、組織全体の目的と密接に関係しています。組織は価値の創出と保護ができる要因を考慮して、外部・内部のしっかりした状況を確立することです。

リスク基準の決定

組織は、まるで料理のネタを選ぶ板前のように、目的に合わせて「これは取ってもいいリスク」「これは絶対NGなリスク」のサイズと種類をきっちり決めること。さらに、リスクがどれくらいヤバいかを真面目に評価し、意思決定プロセスを後押しするための基準を設定すること。このリスク基準は、リスクマネジメントの枠組みにぴったりフィットさせ、検討中の活動に特有の意味や範囲に合わせる必要があります。もちろん、この基準は組織の価値観、目的、資源をしっかり反映し、リスクマネジメント方針や宣言と一致して「朝令暮改」、「二転三転」、「朝改暮変（ちょうかいぼへん）」があってコロコロと変わってはいけません。
そして最後に、基準を決めるときには、組織の義務やステークホルダーのご意見もしっかり聞きい反映しておくこと。

リスク基準は，リスクアセスメントプロセスの開始時に確定されているべきですが，リスク基準は動的であるため，継続的にレビューを行い，必要に応じて修正することです。

リスク基準を設定するに当たっては，次の事項を考慮すること、

結末及び目的（有形及び無形の両方）に影響を与える不確かさの特質及び種類
結果（好ましい結果及び好ましくない結果の両方）及び起こりやすさをどのように定め，また，測定するか。

時間に関連する要素

測定法の一貫性

リスクレベルをどのように決定するか。

複数のリスクの組合せ及び順序をどのように考慮に入れるか。

組織の能力

【解説】

リスク評価する対象や範囲、ビジネスの環境、許容できる不確かさの基準をはっきりさせる段階です。

【事例】

海外進出: 対象をアジア地域に絞り、現地の法規制を考慮。利益率5％未満を「許容できないリスク」と定義します。
海外撤退: 対象をアジア地域に絞り、現地の法規制を考慮。利益率5％未満を「許容できないリスク」と定義します。

【注意点】

基準の動的更新: リスク基準は固定せず、社会情勢や経営資源の変化に合わせて定期的に見直しましょう。（朝令暮改ではない）

６．４　リスクアセスメント

一般

リスクアセスメントとは、「リスクの特定」「リスク分析」「リスク評価」という三兄弟が手を組んで大冒険に出かける、プロセス全体の物語である。彼らはステークホルダーという賢者たちの知恵と意見を借りながら、体系的に海路、道を進み、何度も同じ道を反復、繰り返しをしては新しい発見をし、仲間と協力しながら進行するのが理想的。時には追加調査という寄り道で情報を拾い集め、常に「これぞベスト！」と言える情報だけを持ち帰ることが必要です。

リスク特定

リスク特定の真の意義は、組織の目的達成を手助けするか、もしくは全力で足を引っ張るかもしれないリスク（リスクには向きの違う二つの性格を持っています）たちを、まるで探偵が逃げ足の速い容疑者を追い詰めるように発見し、「ほら見つけたぞ」と認識し、さらに事細かにインタビューし記述することです。そして、このリスク探しゲームでは、現況にぴったり合った最新かつ正確な情報が、まるで宝島の地図のように重要なのです。組織は、一つ以上の目的に影響するかもしれない“あやふやな存在”を暴くため、あらゆる手法を駆使できます。リーダーとチームの”気”次第です。考慮すべきは、有形・無形のリスク源や原因・事象、脅威・機会、脆弱性と能力、外部・内部の状況変化、新たに出現するリスクの兆候、資産や資源の性質と価値、結果とその目的への影響、知識の限界や情報の信頼性、時間に関する要素、さらには関係者の先入観や前提、信条まで。さらに、リスク源が組織の管理下にあるか否かなどお構いなしに、まずリスクは特定されるべきであり、しかもその結末は、有形・無形を問わず、まるで映画のマルチエンディングのように複数パターン存在するかもしれない。

リスク分析

リスク分析の意義は、必要に応じてリスクレベルを考慮し評価しつつ、リスクの正体とクセを目で見てわかるように目で見る管理とすることです。リスク分析の舞台裏には、不確かさやリスク源、結果、発生確率、事象、シナリオ、管理策とその効き目についての細か〜い詮索が含まれ、一つの事象が、まるでドラマの主人公のように複数の原因と結果を抱え込み、いくつもの目的に波紋を広げることもあります。

リスク分析は、その意義や情報の入手可能性・信頼性、そして財布の中身（資源）次第で、ざっくりバージョンから超細密バージョンまで選択できます。手法もまた、状況や目的に応じて、定性的、定量的、あるいはそのミックスと、まるでカフェのメニューのようにバリエーション豊富です。

検討すべき要素としては、事象の発生確率と結果、結果の性質と大きさ、複雑さと絡み具合、時間との駆け引きや変動性、既存の管理策の効き目、そして機微性と秘密度合いなど、まるで探偵が事件を解き明かすようなワクワク感満載で進められます。

リスク分析は、人々の意見の食い違いや先入観、リスクの見え方や判断力に振り回されます。さらに情報の質、こっそり加えられた前提やちゃっかり除外された前提、手法の限界、そして実行方法まで、まるでお祭りの出店のように要素が盛りだくさん。これらをきちんと吟味し、紙（報告書）にまとめて、意思決定者にプレゼントするのが理想です。

とびきり不確かな出来事だなと思うとき、事態を数値化することがむずかしいく、しかもそれが大問題を引き起こす可能性を感覚で受け止めるから、そしてそれはチームの頭が痛くなる課題に早変わり。そんな時は、いくつかの手法をミックスして、知恵を出し合い知恵を絞りだすために一呼吸ミーティングをするのが定番です。

リスク分析をしていると、リスク評価や対応の必要性、対応方法、さらにベストな戦略を決めるためのネタを提供してくれます。結果は、選択肢を見極めるための洞察力を授け、その選択肢には、いろんな種類とレベルのリスクがしっかりギフトとして付いてきます。

リスク評価

リスク評価の目的は、意思決定を後押しすることであり、それはまるで「どこに追加の消火器を置くべきか」を探す消防士のように、リスク分析の結果を基準と見比べる作業を含みます。その結果、対応策をさらに吟味して追加調査をするか、「現状維持でいこう！」と腕を組むか、はたまた目標を見直すかといった判断が生まれます。意思決定では、あらゆる状況やステークホルダーの本音と建前を考慮しつつ、結果を組織の適切なレベルで記録・共有・検証することが必要です。

【解説】

リスクの特定、性質や影響の分析、基準に照らして対応が必要かどうか判断するプロセスです。

【事例】

情報セキュリティ:

特定: 従業員によるUSB持ち出しで情報漏えいを発見
分析: 発生頻度は低いが、損害賠償やブランド失墜が大きい
評価: 基準以上のリスクなので追加対策が必要と判断

【注意点】

認知のバイアス（偏向、偏見】: 担当者の先入観や過去の成功体験で分析が偏らないよう、複数人で社規定のリスク基準を使い多角的に検討しましょう。

６．５　リスク対応

リスク対応の意義とは、危険という名の気まぐれな訪問者に対し、どのドアを開けて迎え入れるか、もしくはガッチリ施錠して追い返すかを決めることです。

プロセスは「作戦会議→実行→効果測定→残留リスクの許容判断→必要なら追加作戦」という、終わらぬリスクの鬼ごっこ。最適な選択には、得られるご褒美と、払うコストや労力、時には心労とのバランス感覚が必須です。

選択肢は意外と自由で、「やらない」から「もっとやっちゃう」、リスク源を撤去、確率を変える、結果をひっくり返す、契約や保険で分け合う、あるいは腹をくくって抱え込む…とまるでビュッフェ状態。ただし、どれも万能ではなく、状況や相手によって好みも違います。組織は目的や基準、資源を考慮しつつ、ステークホルダの価値観やコミュニケーション方法も吟味すべきです。

どんなに綿密に計画しても、現実はサプライズ好き。予期せぬ結果を防ぎ、リスク対応策が元気に働き続けるには、モニタリングとレビューを欠かさないこと。中には新たなリスクを呼び込んでしまうリスク策もあり、そんな時は継続的な見張り番が必要です。最後に、残留リスクはしっかり記録・監視・レビューし、必要なら追加対応。管理者たるもの、リスクの後味まで責任を持つのが筋なのです。

リスク対応計画の準備及び実施

リスク対応計画の使命は、関係者全員が「何をどうやるか」をしっかり理解し、計画通りに進んでいるかを監視できるようにすること。まるで作戦シナリオのように、選んだ対応策の実行詳細手順を明記すること。対応計画は、しかるべきステークホルダーたちと真剣…時には腹を割った相談をしつつ、組織の経営計画やプロセスに腹落ちさせる必要があります。その計画には、①得られる嬉しい成果込みの対応策の選定②誰が承認して誰が実行するかの責任分担③提案された活動内容④予期せぬトラブルに備える資源⑤パフォーマンスを測る物差し⑥制約条件⑦必要な報告や監視方法⑧そして活動が開始から完了までにかかる時間とゴール時期――これらが盛り込まれ、まるで壮大なロードマップのようになるのです。

【解説】

評価したリスクには、回避・追及・除去・変更・共有・保有など具体的なアクションを選んで実施します。

【事例】

サプライチェーンリスク:

共有: 損害保険へ加入
変更: 調達先を複数に分散し欠品リスクを軽減
回避: 紛争地域との取引停止

【注意点】

二次リスクの発生: 対策実施で新たなリスク（システム複雑化による誤操作など）が起きていないか確認します。

６．６　モニタリング及びレビュー

モニタリング及びレビューの意義は、プロセスの設計、実施、そして結末の質と効果をしっかり保証し、ついでに改善までしてしまうという、まるでプロセスの専属ボディーガード兼コーチのような役割を果たすことです。責任分担をきっちり決めた上で、リスクマネジメントプロセスとその結末を、7days 24hours 休みなく見張り、時々は定期健診するようなモニタリングとレビューを、計画の中に組み込む必要があります。

このモニタリングとレビューは、プロセスのあらゆる段階で行い、計画の立案から情報の収集・分析、結果の記録作成、さらには「ここ直してね！」といったフィードバック提供まで含みます。

そしてこのモニタリングとレビューの成果は、組織のパフォーマンスマネジメントや測定、報告活動の全体に、まるで隠し味のスパイスというよりは漢方薬のようにしっかり混ぜ込むことが必要なのです。

【解説】

すべての段階で実施します。計画通り進んでいるか、対策の効果や状況の変化を継続的にチェックします。

【事例】

定期点検: 四半期ごとに経営会議でリスク対応計画の進捗を報告し、効果の薄い施策は中止・変更します。

【注意点】

責任の明確化: 「誰がいつチェックするか」をはっきりさせて、放置されないようにします。

６．７　記録作成及び報告

適切な仕組みを駆使して、リスクマネジメントプロセスとその結末をしっかり文書化し、さらにPDCA報告でぐるぐる回すことが、システムを元気に動かす秘訣です。記録作成と報告の目的は、「あのとき何やってたんだっけ？」と頭をひねり反省することでなくチームで「やったね感」を出すこと。素晴らしいPDCAの結果、時には軽微なミスを「あの失敗、今見れば笑えるな！」と会議室で共有できるようになっていることです。

組織全体にリスクマネジメント活動及び結末を伝達する。

意思決定のための情報を提供する。

リスクマネジメント活動を改善する。

リスクマネジメント活動の責任及びアカウンタビリティをもつ人々を含めたステークホルダとのやり取りを支援・補助する。

文書化された情報の作成・保持・取扱いを決めるときは、その情報が何に使われるか、どれほどデリケートか、そして外部や内部の状況をちゃんと考慮すること。もちろん「これだけ考えればOK」なんてことはなく、ほかにも気にすべきことは山ほどあります。

そして報告は、組織のガバナンスを支える縁の下の力持ち的存在。ステークホルダーとの会話をレベルアップさせ、トップマネジメントや管理者、チームも「よし、これで責任を果たせる！」と思えるように後押しするのが理想的です。報告時に考えるべき要素は次の通り…と言いたいところだが、もちろんこれで全部じゃありません。