前回②では、リスクの特定について、従来まったく述べられていない独自の考え方(既に実践済)を書いた。
リスクのリスト作りは骨の折れる作業であるだけに、手段が目的化しがちである。やりとりさせていただいている米国のリスクコンサルタントも、”enterprise list management”になりがちと言っている。
今回は、その次のステップ、如何に特定したリスクを評価するかについて述べる。
何を評価するかと言えば、最終的に各リスクにどれだけの経営資源を配分すべきかの根拠となるものがアウトプットとなるようリスクの頻度とインパクト、それに必要な対応を立案するに必要な情報を得るのである。
どういう尺度で評価するかというと、単純にインパクトの金額×頻度=期待損失ということではなく(それでよい場合もあるが)、あくまで経営目的に対する影響と、対応の困難さ(予測の難しさを含む)、それに評価の精度を上げる上で不足している情報、の3点セットで評価する。
事象によってはたとえば地震のように頻度推定も、予測も困難(ほとんど不可能)というものもあるからだ。
また、自社が情報を持っていない故の不確実性もある。
リスクマネジメントとはビジネスインテリジェンス強化でもあるため、「何を知る必要があるか」を把握することが直接アクションにつながる。事業計画策定のためのマーケットリサーチがその例である。