リスクマネジメント

リスク管理関連は広範囲の分野が対象で、規格も複数存在する(参考 #規格の種類)。このため、「リスクマネジメント」の用語は複数の規格で設定され定義も異なる。さらに、出典の英語版Wikipediaでも各規格の内容の混同した可能性がある。

2021年9月時点で、Wikipedia記事(他用語ページを含む)でも保険数理士会規格とISO規格の用語が混在する。他ページでも保険数理士会規格関連のページからISO規格へのリンクもあり混在もある。このページではISO(特にISO 31000)規格を主軸に説明するが、一部混在がある。

(出典:英語版wikipedia en:Risk management)

リスクマネジメントは広範囲の分野に関わりがあり、分野ごとに内容や定義や目的が異なる場合がある。 例えば、リスクマネジメントは、下記のように複数の機関により作られた。

1. ISO/JIS/IEC
2. プロジェクトマネジメント協会( the Project Management Institute; PMI)、
3. アメリカ国立標準技術研究所( the National Institute of Standards and Technology; NIST)、
4. アクチュアリー会( actuarial societies , 保険数理士会 )

など^[3][4] 。同じ用語でも意味が異なることがあり、注意が必要である。

近年、リスクマネジメントは経営上で脚光を浴びており、「コンプライアンスからリスクマネジメントの時代へ」とも言われている。背景には、次の要因があった。

• 2006年の会社法の施行により、株式会社では「損失の危険の管理に関する体制」を整備する必要ができた。
• 2008年度から日本版SOX法が施行され、財務においてリスク管理体制の整備が求められている。

どの会社でも、意思決定を行う際は、当然、リスクマネジメントを暗黙的に行っていたと思われるが、近年、リスクマネジメントに対する意識の高まりを受け、明示的に行われるようになった。民間企業では、例えば、環境リスクに特化したり、不正リスクに特化したりして、様々な種類のリスク因子を使って、より高度なリスクマネジメントを行うところが増えてきた。また、これに伴い、従来の危機管理部門を発展させ、リスクマネジメントに特化した専門部署を置くところも多くなってきた。

1995年に日本で発生した阪神・淡路大震災の教訓を元に、1996年8月に標準情報（テクニカルレポート）危機管理システム（TRZ0001-1996。1998年にTRQ0001に改版）が公表され^[5]、それを基礎として2001年にリスクマネジメントシステム構築のための指針（JIS Q 2001:2001）が制定された^[6]。同規格は世界初のリスクマネジメント規格として、危機管理（クライシスマネジメント）とリスク管理（リスクマネジメント）を包括していた^[7]。2009年に日本、オーストラリア及びニュージーランドの主導でリスクマネジメントに主眼を絞ったISO31000:2009が開発され、翌2010年にISO31000を邦訳したJIS Q 31000:2010が制定された。その際にJIS Q 2001は廃止されたが、危機管理部分はJIS Q 31000付属書JB（参考）緊急時対応への事前の備えとして継承された。2018年にはISO31000:2018（JIS Q 31000:2019）に改訂された。リスクマネジメントプロセスのうち、リスクアセスメントにおいて用いられる技法について、IEC/ISO 31010:2009（JIS Q 31010:2012）が定められている。これらの規格を本項では「ISO規格」という。

以降はISO規格での「リスクマネージメント」について説明する^[8]。 ISOではリスクマネジメントの利用に分野の制限はない。 ISOのリスクマネジメント項目では、ガイドラインとして紹介し、ISO認証の対象（マネジメントシステム）となっていない。 ISOのリスクマネジメントでは、リスクによる損失を低下させるための分析手段(30種以上)、手順などを紹介している^[9]。

(出典:英語版wikipedia en:risk management,en:ISO 31000, ISO 31000)

リスクマネジメントのプロセスは次のようにガイダンスしている。^[8]

1. コミュニケーション及び協議
2. 適用範囲，状況及び基準
3. リスクアセスメント (リスク特定、リスク分析、リスク評価)
4. リスク対応
5. モニタリング及びレビュー
6. 記録作成及び報告

リスクマネージメント全過程で行うことで、全関係者がリスク、決定の根拠，行動理由が理解させることである。 ここでの協議は，フィードバックや情報の入手を含む。

リスクマネジメント作業を効率的に進めるために、適用範囲，状況及把握などを行う。

簡潔に言うと、ここですることは

1. 適用範囲の決定 - リスクマネジメント活動の適用範囲を定める
2. 外部及び内部の状況把握
3. リスク基準の決定

リスクアセスメントでは、下記のプロセスから成る。

1. リスク特定
2. リスク分析
3. リスク評価 - 各リスクに対してリスクの度合いを評価

リスクに対して、どのような対応をするか選択し実施する。

ISOでの例示は下記の7項目。なお、「リスク回避」「リスク除去」などの用語はISOで定義していない。(参照:#リスク対応)

• 「リスクを生じさせる活動を開始又は継続しないと決定することによってリスクを回避する。」

「リスク除去」と呼ばれる。(参照:#リスク対応)

• 「ある機会を追求するために，リスクを取る又は増加させる。

目的のために、あえてリスクを増加させたりすること

つまり、利益や利便性のために、あえてリスクを増加させることである。

なお、安全を考慮すべきで、安全の低下を推奨するものではない。

例えば、(1)新事業の開始、(2)ハイリスク・ハイリターンへの事業転換

• 「リスク源を除去する。」

「リスク回避」と呼ばれる方法。(参照:#リスク対応)

例えば、ヒューマンエラーに対して、システムで実施するように変えること。

• 「起こりやすさを変える。」

例えば、地震の発生しにくい場所に移動する。

• 「結果を変える。 」

リスクの結果を変える。

　 例えば、火災対策でスプリンクラーをつける。延焼はなくなるが、水害は発生する。

• 「（例えば，契約，保険購入によって）リスクを共有する。」

「リスク共有」と呼ばれる方法。(参照:#リスク対応)

• 「情報に基づいた意思決定によって，リスクを保有する。」

「リスク保有」と呼ばれる方法。(参照:#リスク対応)

リスクマネジメント全行程で適用され、管理、監視、分析し、記録、フィードバックする。

リスクマネジメントでの結果の記録と報告。関連する組織全体に対しての改善活動と結果報告により情報共有をする。

• ISO 31000 (2009, 2018)
  • JIS Q 31000 (2010, 2019) リスクマネジメント−指針
• IEC/ISO 31010 (2009)
  • JIS Q 31010 (2012) リスクマネジメント−リスクアセスメント技法
• ISO/IEC/IEEE 16085 (2006, 2021)
  • JIS X 0162 (2008) システム及びソフトウェア技術−ライフサイクルプロセス−リスク管理
• ISO/IEC 27005 (2008, 2011, 2018, 2022)
  • JIS Q 27005 情報技術－セキュリティ技術－情報セキュリティリスクマネジメント

• 仁木一彦著『図解ひとめでわかるリスクマネジメント』東洋経済新報社 (2009/08) ISBN 4492092811

(出典:英語版wikipedia en:Risk management#Potential risk treatments)

この項目は2018年以前のISO規格（ISO 31000:2009, JIS Q 31000:2010）と思われ、2018年以降のISO規格（ISO 31000:2018, JIS Q 31000:2019）とは異なる。

リスク対応(risk treatment)は、リスクマネージメントのプロセスのうちの１つである。リスク特定されリスク評価後の処理として、リスクに対応するプロセスである。 リスク対応の種類には、リスクの回避、低減、共有、保有 の4分類のうちの1つ以上に当てはまる ^[10]。

リスクのある活動を実施しない

例)廃業、事業売却、該当製品の製造停止、該当部品/該当方法を利用しない

リスクの発生率を下げたり、リスクによる影響を下げること

例えば、火災に対してスプリンクラーを設置する対策をした場合でも、リスクを完全に排除することはできず、「初期の火災による損失」と「消火時の水による損害」が発生する。

例)スプリンクラー設置、作業マニュアル、チェックリスト

リスクを他者に移転・他者と分割すること。下記の2つに大別できる。

• リスク転嫁

リスクを他の事業者などに移転すること

例)火災保険

• リスク分散

リスクを他の事業者などと分配すること

例)アウトソーシング

リスクを受け入れること

例)戦争/天変地異による被害(保険対象外)、保険補償額を超える損害

金融関連などの分野では、保険数理士会規格で定義の用語を用いることがある。 ISO規格と異なる事があるため、別項目とした。

• リスクアセスメント(actuarial risk assessment, ARA, risk assessment )

指定期間中に特定の人が危害の行動をする数学的なリスクの評価 ^[11]

• リスク共有

リスクが顕在化した場合の損失補償を準備すること。保険が掛けられる場合には、有効な対策の一つとなる。この場合、リスクを保険会社に転嫁（または移転）するともいう。金融派生商品のオプションの購入も1つの方法。

• リスク分散

リスクのある物を複数組み合わせることで大数の法則によりリスクを軽減させる手法。保険会社はこれを基盤にしてリスクを引き受けている。投資の場合は分散投資と呼ばれる。

情報セキュリティなどの分野では、NIST規格に基づくリスクマネジメントフレームワーク（Risk Management Framework:RMF）を使用することがある。

• “連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド (NIST SP 800-37 rev.1)”. 2023年2月26日閲覧。
• “Risk Management Framework for Information Systems and Organizations (NIST SP 800-37 rev.2)”. 2023年2月26日閲覧。
• “リスクアセスメントの実施の手引き (NIST SP 800-30 rev.1)”. 2023年2月26日閲覧。
• “連邦政府情報システムと組織におけるセキュリティとプライバシーのコントロールの評価 (NIST SP 800-53A rev.5)”. 2023年2月26日閲覧。

• 危機管理
• リスクアセスメント（リスク特定・リスク分析・リスク評価）
• 本質安全
• 機能安全
• 事業継続マネジメント
• 情報ガバナンス
• サプライチェーン
• トレッドウェイ委員会支援組織委員会
• 保険数理
• リスク回避
• 天候デリバティブ
• 分散投資
• オプション取引
• リスク・コミュニケーション