「リスク」とは何か?(2)

前回は「リスク」の語源を元に「リスクとは何か?」を考えてみました。

「リスク」とは何か?(1)

今回はこのような「リスク」の考え方の背景を理解した上で、ISOマネジメントシステムの世界では「リスク」をどのように捉えているかを考えてみたいと思います。

ISOにはISO31000「リスクマネジメント」という規格があり、その中で「リスク」を「目標に対する不確かさの影響」と定義しています。この定義から分かるのは、①「リスク」とはあくまで「目標」(ISO9001の定義では「期待する結果」となっていますが)との対比で初めて論じることができるものであり、また②「不確かさ」という「原因」に対する「結果」の概念だということです。

つまり①は、まず自分が期待する結果(それが明確な目標として設定されたものであろうとなかろうと)というものがあることが前提であり、そこから逸脱する可能性に関するものがリスクであると言えるでしょう。そして②は、将来に関して起こるか起こらないか分からない不確かな状況が生み出す「結果」がリスクである、ということを意味します(その意味では、例えば「今外で雨が降っている」とき、傘をささずに外に出ることは「リスク」ではありませんが(濡れるのは確実ですから)、「明日雨が降りそうだ」という場合は、降るか降らないかは不確かなことですから、傘を持って出かけないと濡れる「リスク」がある、ということになります)。

そして更に議論を呼んでいるのが、「リスク」には「プラスのリスク」と「マイナスのリスク」がある、というISOの定義にある注釈です。「リスク」と聞くと普通は何か良からぬことをイメージしますが、「リスク」が「不確かさの影響」だとすると、その影響は必ずしもマイナスなものだけでなくプラスのものもありうる、という理屈です。イメージで言えば、当初想定していなかったラッキーなことが起こって予想よりもうまく行くかもしれない、ということでしょう。このこと自体は分かりますが、分かりにくいのはそのようなプラスのリスクまでも本当に管理する必要があるのか、予想以上にうまく行ったのであれば「良かったね」でいいじゃないか、という感覚があるからだと思います。

しかしここでもう少し考えてみると、悪いことが起こる可能性を考えて、それに対処することでその影響を最小限に抑える(又は少なくとも致命的にならないようにする)ということと同じように、良いことがこる可能性を考えて、それを最大限に活用する(又は少なくとも完全に逸することのないようにする)ことまで事前に考えられれば、確かに計画は更に盤石なものになります。言ってみれば、ISOのリスクの定義は、このようなある種の「強かさ」までも包含した概念と言えるのだろうと思います。

しかしそうは言いつつも、ISO31000の規格を見ても明らかなように、そして先に見たように「リスク」の語源が「勇気を持って試みる」という意味であることからも、やはり「リスクマネジメント」の要諦は依然として「マイナスのリスク」にどのように対処するかにある、ということが言えるのではないでしょうか。今後この分野における議論や研究が進むにつれ「プラスのリスク」への対応がよりクローズアップされるようになるかもしれませんが、今のところの私たちの対応としては、「リスク」にはプラスとマイナスがある、という定義は一応理解した上で、あくまで実践としては、まずは「マイナスのリスク」が最悪の事態を引き起こさないような対応を考える、ということになるのだと思います。(HM)