ストラテジ系

リスクマネジメントの基本 — リスクを「見える化」する

導入

「何か問題が起きたらどうしよう」と不安を感じながら仕事を進めるより、あらかじめリスクを洗い出して備えておく方が安心です。組織がリスクを計画的に管理する手法を「リスクマネジメント」と呼び、現代のビジネスには欠かせない考え方として広く知られています。

なぜ重要か

リスクマネジメントはITパスポート試験のストラテジ系・マネジメント系いずれでも出題される横断的なテーマです。特に「4つのリスク対応策(回避・低減・移転・受容)を具体的な事例に当てはめる」問題は安定して出題されており、正確に区別できるかどうかが得点を左右します。実務においても、システム開発プロジェクトの失敗リスクや情報セキュリティインシデントへの備えとして、リスクマネジメントの考え方は企業規模を問わず直接役立ちます。この単元をマスターすることで、試験問題で「これはどの対応策か」をすばやく判断できるようになります。

くわしく知ろう

リスクマネジメントとは、組織が目標を達成する上で妨げとなる可能性のある事象(リスク)を体系的に扱う管理活動全般を指します。単に「悪いことが起きないよう祈る」のではなく、リスクを客観的に把握して優先度をつけ、具体的な対策を講じていく点が特徴です。

プロセスはおおむね4段階で構成されています。まず「リスクの識別」では、業務上発生しうるリスクをできる限り列挙します。次に「リスクの分析」で、各リスクの発生確率と影響度(損害の大きさ)を評価します。続く「リスクの評価」では分析結果をもとに優先度を決め、対応が必要なリスクを選別します。最後に「リスクへの対応」として具体的な戦略を選択します。

リスクへの対応策は4種類に整理されています。「回避」はリスクの原因そのものを取り除く方法で、危険な事業から撤退することがその例です。「低減」はリスクの発生確率や影響度を小さくする方法で、バックアップの取得やセキュリティ強化がこれにあたります。「移転(転嫁)」はリスクによる損失を第三者に負担させる方法で、保険への加入が典型例です。「受容(保有)」は、コスト対効果の観点から対策を講じずリスクをそのまま受け入れる方法を指します。

この4つの対応策は互いに排他的ではなく、同じリスクに対して組み合わせて適用することもあります。たとえばサイバー攻撃リスクに対して、セキュリティ対策の強化(低減)と同時にサイバー保険への加入(移転)を並行して実施するケースが実務ではよく見られます。対応策の選択にあたっては、「対策コスト」と「リスクが現実化した場合の損失額」を比較することが判断の基本となります。

具体例で理解する

たとえば、システム障害によるデータ消失リスクに対して、バックアップを定期実施するのは「低減」、クラウドサービス会社と補償契約を結ぶのは「移転」に相当します。一方、損失が軽微で対策コストが高すぎる場合は「受容」を選ぶこともあります。

試験での出題パターン

【パターン1:4段階プロセスの順序を問う問題】

「リスクマネジメントのプロセスを正しい順序に並べたものはどれか」という形式で、識別→分析→評価→対応の順番を選ばせます。「分析」と「評価」の順序を入れ替えた選択肢が誤答として設定されることが多く、「まず洗い出し(識別)、次に程度を測り(分析)、そして優先度をつけ(評価)、最後に手を打つ(対応)」という流れを確認しておきましょう。

【パターン2:対応策の種類を問う問題】

「火災保険に加入してリスクによる損失を保険会社に負担させる」などの具体的な場面から、回避・低減・移転・受容の4種類を区別させます。「移転」は損失の負担が自組織から外部に移る点、「受容」はあえて何も対策を取らない点が判断のポイントです。選択肢に「保険」「外部委託」という言葉が含まれていれば移転を疑うとよいでしょう。

【パターン3:リスクの大きさの計算概念を問う問題】

リスクは「悪いことが起きる確率」だけでなく「発生確率×影響度」で評価される点を押さえておくと、リスクの優先順位を判断する設問に対応しやすくなります。発生確率が低くても影響度が極めて大きいリスクは、優先度が高いと判断されることがあります。

よくある間違い・紛らわしいポイント

【回避と低減の違い】

リスクの「回避」はリスクの原因そのものを取り除く、つまりそのリスクが発生する活動自体をやめることを意味します。「低減」はリスクを完全に消すのではなく、発生する確率や被害の大きさを小さくすることを指します。たとえば危険物を扱う事業から完全撤退するのが回避、危険物の取り扱い手順を強化して事故率を下げるのが低減です。「原因ごと消す」か「程度を小さくする」かで区別できます。

【移転と受容の違い】

リスクの「移転」は保険や外部委託によって損失の負担を第三者に移すことで、リスク自体が消えるわけではありません。「受容」はリスクに対して意図的に何も対策を取らないことで、コストや重要度の観点から「対策しないことが合理的」と判断した場合に選ばれます。受容は「忘れていた」「面倒だった」ではなく、意思決定の結果として選ぶものです。この違いを区別する問題がよく出題されます。

【リスク分析とリスク評価の違い】

リスクの「分析」は発生確率や影響度を数値・定性的に見積もる作業です。「評価」はその分析結果をもとに優先順位をつけ、対応すべきリスクを選別する判断作業です。両者は別の工程であり、試験では「分析の前に評価を行う(誤り)」という順序を問う選択肢が設定されることがあります。

まとめ・試験ポイント

  • リスクマネジメントの4段階=識別→分析→評価→対応
  • 回避=リスクの原因を除去(事業撤退など)
  • 低減=発生確率や影響度を下げる(バックアップ、セキュリティ強化)
  • 移転=損失を第三者へ(保険加入が代表例)
  • 受容=対策せずリスクを許容する(コスト対効果での意思決定)
  • 試験では「4つの対応策を具体的な場面に当てはめる」問題がよく出る

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する