リスク評価の概要とポイント

リスク評価の概要とポイント

リスクの評価においては、潜在的な事象が目的の達成に与える影響の度合いを、発生可能性と影響度で評価します。発生する事象とその事象が組織の目的に与える影響の範囲は、外部および内部要因に左右され、企業が設定した目的や選択した戦略、組織の規模、業務の複雑さ、企業に適用される規制などにより異なります。それらを加味して各企業のリスクは評価されます。

リスク評価の手法は、一般的には定性的手法と定量的手法を組み合わせて実施します。定量的なリスク評価手法には、複数の企業間において共通の測定基準を用いたベンチマーキングにより結果を比較・分析する手法があり、業界全体の潜在的事象の発生可能性や影響度の評価に活用される場合もあります。金融機関や技術的な品質管理の分野では、確率モデルを活用し、過去のデータや将来の仮説を反映したシミュレーションによってリスクを評価する手法を採用する場合もあります。確率モデルを採用せずに、過去のデータやシミュレーション結果のデータなどに基づいて、ストレステストやシナリオ分析などで、事象の影響度の推定をする手法を採用する場合もあります。

定性的なリスク評価手法は、リスク自体が定量化に適さない場合、定量的評価に活用できる十分に信頼できるデータがない場合、データの収集や分析が費用対効果に見合わない場合に選択します。定性的な手法を利用して、発生可能性や影響度についての共通認識を確認して評価する手法には、インタビューやRCSAワークショップがあげられます。RCSAの1 つであるリスク評価ワークショップでは、関係者のリスクに対する発生可能性および影響度の認識を把握できます。リスク評価ワークショップでは、図表 のようなリスクの発生可能性および影響度の評価を可視化するリスクマップ(リスクマトリックス、リスクプロファイルとも呼ぶ)が活用されます。企業は、すべての事業単位で共通の評価手法を使用する必要はなく、リスク評価に必要とするデータの精緻さや、各事業単位の業務や特性にあわせて評価手法を選択する必要があります。例えば、ある企業では、業務プロセスのリスクは、事業部門ごとに質問書形式のRCSAを活用し、新規事業など、まだ業務の成熟度が低く、より指導を必要とする事業部署ではRCSAワークショップを実施しています。より IT リテラシーが高い国や企業の事業部門では、リスク指標のデータ分析により継続的にリスク評価 をアップデートする手法が一部採用されています。異なる手法が用いられ ても、事業単位のリスクがカテゴリーごとに集計され、グループ化され、企業全体のリスク評価として一貫性を確保できるのであれば、全社的なリスク評価の目的を十分達成できるでしょう。

図表  全社的リスクマップ(リスクプロファイル)

全社的リスクプロファイル

『リスク・コントロール・セルフ・アセスメント~組織を強くするリスクマネジメントと内部統制浸透の推進ツール』(同文舘出版:プロティビティLLC 谷口靖美・牧正人著)より抜粋   

同書詳細はこちら

 

Ready to work with us?