新型コロナウイルスやサイバー攻撃など、想定外のリスクが顕在化してきている中で、大手企業・中小企業を問わずリスクアセスメント・リスクマネジメントに取り組むことは必須です。しかし、それらの基本的な違いや現在求められることについて皆さんはご存じでしょうか。

本記事では、リスクアセスメント・リスクマネジメントの基本について解説したのち、DXとそれらの関わりについて紹介します。

リスクアセスメント・リスクマネジメントの基本的な考え方

リスクアセスメントはISOにおいて「リスク特定」「リスク分析」「リスク評価」の三つのプロセスを網羅したものと定義されています。
それぞれの違いは、以下の通りです。

• リスク特定：事業活動や職場に潜むリスクを洗い出す
• リスク分析：リスク特定で洗い出したリスクの影響の大きさや発生確率を求める
• リスク評価：リスク分析で定めたリスクの大小を基準に対応の優先順位付けをする

リスクマネジメントはリスク対応プロセスの策定からリスクアセスメント、リスク発生時の対応まで包括する概念で、市場環境の変化、災害、気候変動、感染症、サイバー攻撃などあらゆるリスクに対処する活動すべてを指します。

リスクマネジメントにおけるリスクは「不確実性」を意味し、必ずしも企業にとってマイナスに働くものばかりではありません。例えば市場環境の変化により特定の商品への需要が急激に増加することはプラスのリスク（ポジティブ・リスク）といえるでしょう。

リスクマネジメントでは、プロジェクト構想の時点からプラスのリスク、マイナスのリスク（ネガティブ・リスク）の双方についてリスクアセスメントを実施し、前者の場合は「活用」「共有」「強化」「受容」、後者の場合は「軽減」「回避」「転嫁」「受容」といった戦略で対処することが推奨されます。

製造業の場合、設備・重機や製品を起因とした事故を防ぐためのリスクアセスメント・リスクマネジメントについては特に重視されるところです。

DXによるリスクアセスメント・リスクマネジメント

DXの中でも、リスクアセスメント・リスクマネジメントに深く関わるのはデータ活用の領域です。
リスク特定ではFTA（Fault Tree Analysis：フォルトツリー解析）やETA（Event Tree Analysis：イベントツリー解析）、FMEA (Failure Mode and Effects Analysis：故障モードと影響の解析)といったフレームワークやシートを用いて実施する手法が支配的でした。

しかし、グローバル化やインターネットの普及により新たなリスクが発生する現代においてリスクマネジメントはより複雑化し、より広い視点からリスクを捉えるERM（Enterprise Risk Management：統合型リスク管理）に取り組むことが求められています。

そこで、過去・現在・未来のそれぞれでリスクアセスメントやリスクマネジメントにデータ活用を取り入れることに注目が集まり始めています。

膨大なインシデントやヒヤリハットのデータを参照し、再発防止策を講じることが必要な事例を抽出したり、一定の規則に従ってリスクの重み付けを行ったりと、リスクアセスメントで機能するシステムが「過去」に当てはまります。

また、IoTによりリアルタイムの機器の稼働状況や人の動きを認識できることは当然「現在」のリスクマネジメントに資することになります。災害時に投稿されるSNS上の投稿内容を分析して、サプライチェーンの分断や機器の状況についてほぼリアルタイムで速報するサービスなども現れ始めてきています。

さらに、予測という「未来」の部分にもAIによるリスクマネジメントは進出しようとしています。過去の膨大なデータから導き出したパターンをリアルタイムで取得した現在のデータと照らし合わせることで、次に起こりうるリスクを予測し、自動でアラートするというわけです。

リスクマネジメントを担う専任部署がなく、経営者や総務が一手に担っている企業も特に中小規模の場合は少なくないでしょう。そのような場合に選びうる手段としても、リスクアセスメント・リスクマネジメントのDXは有効と考えられます。

DXによって生じるリスクに対処するには

IoTやデータ活用という新たな領域を取り入れることは、良きにつけ悪しきにつけ、企業にリスクをもたらすことでもあります。
DXにより生じる可能性のあるリスクをデジタルリスクといい、以下のようなケースが例として挙げられます。

• サイバー攻撃による情報漏洩や操業停止
• シャドーITや社内端末の持ち出しなどの不適切なIT利用
• SNSなどへの問題のある投稿を起因としたブランド棄損
• 本質とずれたデジタル化による競争力低下

デジタルリスクマネジメントの方法も、ほかのリスクの場合と変わりません。まずは基本方針を策定し、リスクアセスメントを実施。優先順位に従って、着実に対処することが肝要です。ITソリューション自体にリスクマネジメント機能が付随している場合もありますが、そもそも導入時にデジタルリスクマネジメントの手順・ルールと責任者を定めているかどうかが企業ごとのリスク耐性を大きく左右するようです。

人員などリスクマネジメントのリソースが不足しているという企業の声も多く聞かれますが、たとえ兼任だとしてもデジタルリスクマネジメントの担当者を設けることはリスクマネジメントの観点で効果的でしょう。

リスクマネジメントで重要な「蓄積された知見とデータの掛け合わせ」

企業を取り巻く環境の複雑化により重要性を増すリスクアセスメント・リスクマネジメントについて解説してまいりました。

組み立て、プロセスなどのタイプや業種など企業それぞれの事情によって、リスクの形は異なります。企業の内部に蓄積されたリスクマネジメントの知見と最新のデータを掛け合わせて、最適な体制を構築することが実際には重要になってくるでしょう。