(1) リスクとは
リスクの定義は、リスクの大きさ(リスク度)をどうやって計算するかでイメージがわくと思います。あるリスクは、「発生可能性」という不確かさに、「影響度」という質量的な要素を加味します。リスクの大きさは「発生可能性×影響度」で計算されるのです。
ここで、「不確かさ」について考えますと、不確かさによってもたらされるのはマイナスだけでなく、プラスのものもあります。リスクと言う言葉を聞くと、マイナスのイメージを浮かべる人が多いと思いますが、最近の考え方は、不確かさであること自体に論点を置きますので、プラスもマイナスもリスクとしてとらえることになります。たとえば、会社の業績が大きく上昇するか下落するか、それは不確かさなのでリスクとしてとらえるべきです。株価の乱高下もイメージしてください。
(2) リスク度とは
上記しましたが、リスクの大きさをリスク度といって、「発生可能性×影響度」で計算されます。一般的には、3×3のマトリックスでイメージするのがわかりやすいです。
発生可能性を高中低の3段階、影響度も高中低の3段階にして、それぞれを組み合わせます。
※ 各判断は、一般的なものです。違う考え方でも問題ありません。
たとえば、入力ミスによって誤発注をしてしまうリスクという事象では、新人が多い部門では発生可能性は比較的高いので、「中」と判断します。しかし、その部署では、他の事業と比較的小規模な事業であるため、金額的影響度は全体数字においては高くないので、「中」と判断します。したがって、この誤発注リスクのリスク度は「中」と決めるわけです。判断する人の考え方によりぶれるので、組織としての考え方や水準はできるだけ統一する努力が必要です。また、個々の事象について十分検討することが重要です。ヒューマンエラーでの誤発注から、システムエラーによる恒常的な問題の場合は、リスク度は上がるに違いありません。
そして、このリスク度について、対策を導入していない状態のリスクの大きさを「固有リスク」と言うことを覚えておいてください。
(3) コントロールの強さ
コントロールとは統制手段という意味、すなわち「対策」です。
固有リスクを認識して何も対策をしないことは、無為無策のそしりを得ることになるので、一般的には何らかの対策、歯止め、防止手段を施して、リスクが現実に発生する可能性を減らしていきます。これがリスク低減策としてのコントロールです。
そして、コントロールの強さを判断するわけですが、1つのリスクに対し、1個のコントロールというわけではありません。いろんな防止策があるわけで、強いコントロールや弱いコントロールなどいろいろです。これらコントロール全体を評価してその強さを判断します。そして、固有リスクからコントロールの強さを引いたのが残存リスク度です。
リスクマネジメントは、このコントロールと残存リスクが受容可能な範囲まで縮減されているかを経営者が各リスクカテゴリごとに管理することを言います。
最後走りましたが、続きは次回。
(4) まとめ
リスクにはマイナス要素だけでなくプラス要素もあります。
リスク度=不確からしさ(発生可能性)× 影響額
固有リスク―コントロールの強さ=残存リスク度
