全社的リスクマネジメント(ERM:Enterprise Risk Management)を運用している企業から受ける質問について、今まで回答してきた内容をまとめました。実務で悩みやすいポイントにフォーカスしていますので、参考にしていただければと思います。
質問 評価基準があっているか?
この質問は非常によく受けます。背景には主に以下のような理由があります。
• 評価基準が曖昧で、評価者によって認識が異なり、評価結果がぶれてしまう
• そもそも評価対象となるリスクの定義が曖昧で、評価の前提が揃っていない
改善策
① リスク値の算定方法の見直し
多くの企業では以下の式でリスク値を算定しています。
リスク値 = 影響度 × 発生頻度
ただし、影響度の定義が曖昧だと、ここで大きなブレが発生します。例えば以下のような基準です。
影響度基準の例
• 5:事業継続が困難となる
• 4:事業に重大な影響を与える
• 3:事業に一定の影響を与える
• 2:軽微な影響がある
• 1:ほとんど影響がない
このような基準の場合、評価者の立場(現場・管理職・経営層)や経験によって解釈が変わり、評価結果が揃わないケースが見受けられます。
② リスクの定義(シナリオ)の精緻化
ではどうすればよいかというと、評価基準の前に「評価対象のリスクそのもの」を揃えることが重要です。
リスクは以下の2つに分解できます。
• 発生要因(原因)
• 顕在化後の影響
これを明確にした「リスクシナリオ」として定義します。
例:
• リスク:個人情報漏えい
• リスクシナリオ:
(発生要因)外部委託先の要員によるデータの不正持ち出し
+
(影響)個人情報漏えいにより主要取引先の信用失墜、取引停止
このように具体化することで、「何を評価しているのか」が揃い、評価のブレを大きく抑えることができます。
③ 定量的な影響度基準の設定
リスクシナリオを前提に、影響度は可能な限り定量的に評価することが望まれます。まずはコストベースの影響度基準から検討することが有効です。
影響度基準案(例)
• 5:損失額 100億円以上
• 4:損失額 50億円以上100億円未満
• 3:損失額 10億円以上50億円未満
• 2:損失額 1億円以上10億円未満
• 1:損失額 1億円未満
※自社の規模に応じてレンジは調整してください。
ここでのポイントは、評価のブレをゼロにすることではなく、ブレの理由を説明可能にすることです。
上記のように定量化されていれば、仮に評価が異なった場合でも、
• 前提とした損失シナリオが違うのか
• 金額見積りの根拠が違うのか
といった形で、リスク管理部門が具体的に確認・調整できる状態になります。
まとめ
評価基準の適切性を高めるためには、
• 曖昧な表現を避けること
• リスクシナリオを明確にすること
• 影響度を可能な限り定量化すること
が重要です。
特に実務では、「評価基準」だけを見直しても改善しないケースが多く、評価対象(リスク定義)とセットで整備することが、ブレを抑えるうえでの本質的な対応となります。
