リスクとは

　リスクとは、組織目標の達成を阻害する要因をいいます。具体的には、天災・盗難・市場競争の激化・為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障、不具合・会計処理の誤謬、不正行為の発生・個人情報及び高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられます。
　ここでのリスクは、組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響を、すなわち利益をもたらす可能性は、ここにいうリスクには含みません。

実施基準による評価の流れ

　リスクの評価と対応の実務は、個々の組織が置かれた環境や事業の特性等によって異なり、一律に示すことはできませんが、リスクの評価の流れの例を示すと以下の様になります。

①識別

　組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるかを特定します。リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在することから、各段階において適切に識別することが重要となります。

②分類

　リスクを適切に分析及び評価するためには、識別したリスクを『全社的なリスク』か『業務プロセスのリスク』、『過去に生じたリスク』か『未経験のリスク』か等の観点から分類することが重要となります。

分類の詳細は[リスクの分類]

③分析

　識別・分類したリスクについて、当該リスクが生じる可能性及びリスクがもたらす影響の大きさを分析し、当該リスクの重要性を見積もります。

④分析

　分析により見積もったリスクの重要性に照らして、対応策を講じるべきリスクかどうかを評価します。

⑤対応

　識別・分類したリスクのすべてに対応策を講じるのではなく、重要性があるものについて対応策を講じます。
　リスクへの対応には、リスクの回避・低減・移転・受容またはその組み合わせ等があります。

対応の詳細は[リスクへの対応]