読み方 : リスクひょうか
リスク評価【risk evaluation】
概要
リスク評価とは、リスクアセスメントの最後に行われる工程で、特定されたリスクがどの程度重大であるかを判断し、あらかじめ定めた基準と比較して対策の優先順位を決定すること。組織内の方針や基準に基づいてリスクに対する備え(をしないことも含め)決定する過程である。
事業の遂行などに伴って将来起こりうる悪い出来事やその確率、損害の程度を「リスク」(risk)という。企業などの組織体、あるいはプロジェクトチームなどの集団が、将来のリスクを予見して備えるために行う活動を「リスクアセスメント」(risk assessment)と呼び、一般的にリスク特定、リスク分析、リスク評価の順番で進める。
リスク評価では、リスク分析の結果に基づいて、挙げられている各リスクを組織が定めたリスクの「受容基準」と照らし合わせる。直ちに対策を講じるべき致命的なリスクなのか、あるいは現状のまま監視を続けるだけで許容できる小さなリスクなのかを明確にする。客観的なランク付けを行うことで、主観や感情に左右されない論理的で説明可能性の高い意思決定が可能となる。
リスク評価は一度実施して終わりではなく、社会情勢の変化や技術の進歩に合わせて定期的に見直す必要がある。新たな脅威が出現したり、従来の対策が通用しなくなったりする場合があるためである。リスクアセスメントの最終段階として、分析結果を行動計画に結びつける重要な工程である。
関連用語
資格試験などの「リスク評価」の出題履歴
▼ ITパスポート試験
【平30秋 問99】 ISMSにおける情報セキュリティリスクアセスメントでは、リスクの特定、分析及び評価を行う。リスクの評価で行うものだけを全て挙げたものはどれか。
【平29秋 問57】 ISMSにおける情報セキュリティリスクの取扱いに関する“リスク及び機会に対処する活動”には、リスク対応、リスク評価、リスク分析が含まれる。
【平26秋 問47】 情報セキュリティのリスクマネジメントにおいて、リスクの重大さを決定するために、算定されたリスクを与えられた基準と比較するプロセスはどれか。
【平25秋 問56】 リスクマネジメントに含まれる四つのプロセスであるリスク対応、リスク特定、リスク評価、リスク分析を実施する順番として、適切なものはどれか。
共有ボタンをタップ