リスクアセスメント【risk assessment】RA

概要

リスクアセスメントとは、企業などで組織的に取り組む、将来のリスクに備えるための準備活動。一般的にはリスク特定、リスク分析、リスク評価の各工程からなる一連のプロセスとされる。
リスクアセスメントのイメージ画像

事業の遂行などに伴って将来起こりうる悪い出来事やその確率、損害の程度を「リスク」(risk)という。企業などの組織体、あるいはプロジェクトチームなどの集団が、将来のリスクを予見して備えるために行う活動がリスクアセスメントである。

リスクアセスメントでは、まずどのようなリスクが想定されるか洗い出し(リスク特定)、それぞれについてその性質や発生確率、損害の大きさなどを特定・推定し(リスク分析)、一定の基準に基いて各リスクへの対応・行動の必要性の有無や優先順位を判断・決定する(リスク評価)。

リスクアセスメントはリスクが顕在化する前にこれに備えるために行われる行動・活動の総体であり、事業やプロジェクトなどの実施前、計画段階で実施される。企業の通常業務など定常的な活動についてのリスクアセスメントは一定期間ごとに実施されることが多い。

リスクアセスメントを含む、リスクに対する組織的な取り組みの総体を「リスクマネジメント」(risk management)という。最初にリスクアセスメントを行い、事業を遂行する中で実際に遭遇した事象に対してリスク対応を行う。年度末など一定期間ごとに振り返り(レビュー)を行い、対処方針の改善などを行う。これを一つのサイクルとして、事業年度ごとなどの単位で繰り返し実施する。

(2023.3.22更新)

他の用語辞典による「リスクアセスメント」の解説 (外部サイト)

資格試験などの「リスクアセスメント」の出題履歴

▼ ITパスポート試験
令4 問86】 情報セキュリティにおけるリスクアセスメントを、リスク特定、リスク分析、リスク評価の三つのプロセスに分けたとき、リスク分析に関する記述として、最も適切なものはどれか。
令3 問91】 次の作業 a~d のうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。a 脅威やぜい弱性などを使って、リスクレベルを決定する。
令1秋 問56】 次の作業 a~d のうち、リスクマネジメントにおける、リスクアセスメントに含まれるものだけを全て挙げたものはどれか。a リスク特定b リスク分析c リスク評価d リスク対応。
平31春 問1】 リスクアセスメントを三つのプロセスに分けるとすると、リスクの特定、リスクの評価ともう一つはどれか。
平30秋 問21】 X社では、現在開発中である新商品Yの発売が遅れる可能性と、遅れた場合における今後の業績に与える影響の大きさについて、分析と評価を行った。
平30秋 問68】 情報セキュリティにおけるリスクアセスメントの説明として、適切なものはどれか。
平30秋 問99】 ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
平26春 問72】 情報セキュリティのリスクアセスメントにおける、資産価値、脅威、ぜい弱性及びリスクの大きさの関係として、適切なものはどれか。
▼ 基本情報技術者試験
令1修12 問58】 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
平30秋 問58】 JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)に基づいてISMS内部監査を行った結果として判明した状況のうち,監査人が指摘事項として監査報告書に記載すべきものはどれか。
平30修1 問59】 リスクアセスメントに基づいて選定する監査対象として,適切なものはどれか。
平29秋 問43】 リスクアセスメントを構成するプロセスの組合せはどれか。
平28修1 問58】 リスクアセスメントに基づいて選定する監査対象として,適切なものはどれか。
平26秋 問39】 リスクアセスメントに関する記述のうち,適切なものはどれか。
平26修7 問60】 リスクアセスメントに基づいて選定する監査対象として,適切なものはどれか。
平24秋 問58】 リスクアセスメントに基づく監査対象の選定として,適切なものはどれか。