リスクの定義 — 不確実性とエクスポージャー

ISO 31000 はリスクを「目的に対する不確実性の影響」と定める。危険そのものではなく、目的との距離で測る。ここが、経営の語彙と審査の語彙がずれる最初の地点になる。本稿は、リスク・危険源・エクスポージャーという三語を切り分け、以降の全回で使う共通の物差しを置く。

01リスクは「悪いこと」ではない ── ISO 31000 の定義

日常語では、リスクは危険や損失とほぼ同義に使われます。だが ISO 31000:2018 は、リスクを「目的に対する不確実性の影響」と定義しました（3.1）。影響は、下振れだけでなく上振れにも開いています。目的より悪くなる方向も、良くなる方向も、ともに「影響」です。

この定義を取り違えると、上振れの管理が抜け落ちます。リスクを損失予防の話に閉じてしまえば、機会を逃すこと自体が見えなくなる。経営は、損失予防と機会獲得を同じ枠で見ています。攻めの判断と守りの判断は別物ではなく、同じ不確実性の表と裏として扱われている。これが、後の回で「なぜ企業はリスクを取るのか」を語る前提になります。

02危険源とリスクは違う ── 晒されがなければ被害は出ない

もう一つ、混ざりやすい区別があります。危険源（hazard）とリスクは別の概念です。崖は危険源ですが、崖に近づかない人にとって、その崖はリスクになりません。被害は、危険源に晒されること、すなわちエクスポージャーがあって初めて生じます。

だから影響度の大きさは、危険源そのものより、晒され量で決まります。同じ価格変動でも、保有しているポジションが大きいほど損益の振れは大きい。リスクを測るとは、危険源の有無を数えることではなく、自社がどれだけ晒されているかを測ることです。

03リスク ＝ 発生可能性 × 影響度

実務では、リスクを発生可能性（どれくらい起こりやすいか）と影響度（起きたらどれくらい効くか）の積で、まず粗く捉えます。厳密な確率計算の前に、この二軸で当たりをつける。影響度の側は、前節のとおりエクスポージャーで決まります。

ここで効くのが、リスクは「事象」ではなく「状態」だという見方です。事故が起きたかどうかの二値で語ると、起きるまでリスクはゼロに見えてしまう。だが実際には、晒されている限りリスクは常に在ります。発生可能性 × 影響度、影響度はエクスポージャーで決まる ── この分解が、以降の全回で使う共通言語になります。

04経営の「リスクを取る」という語法

定義をそろえると、経営が言う「リスクを取る」の意味がはっきりします。それは無謀に危険へ飛び込むことではありません。不確実性を引き受けて、目的に近づく行為です。上振れの可能性を取りに行くために、下振れの可能性も同時に抱える。取らなければ得られないものがあるから、意図して取る。

そして、どこまで取るかを誰が決めるかは、別の論点になります。リスクテイクの量を承認するのは現場ではなく取締役会です。監督と執行を分けるその構造は、取締役会は経営しない ── 監督と執行の分離で扱います。本稿で押さえるのは、その手前にある「リスクとは何か」の一語です。

05資材審査の現場へ ── 確率分布として読む

この定義は、資材審査の実務とどうつながるのか。審査員が向き合う「経営の言うリスク」は、損失予防の話ではありません。目的達成の確率分布の話です。攻めた情報提供は、上振れを取りに行く判断の現れであり、その裏には下振れの可能性が同居しています。

だから、資材の逸脱を「起こるか起こらないか」という二値で語る限り、経営の意思決定の理屈とは噛み合いません。問うべきは、どれだけ晒され、どれだけの影響が分布として開いているか。リスクを状態として、分布として読む。その語彙を共有することが、経営と審査が同じ机で話すための最初の条件になります。