リスク管理プロセス

1.リスク特定
・リスクを財務リスクや保険リスクに限らず、戦略リスク、風評リスクやその他のリスクも考慮した上で、潜在リスクを特定し、カテゴリー化し、追跡するプロセス。
・社内の多くの人員の関与によりリスクを特定するボトムアップ、主要リスクカテゴリーを上級経営陣が特定するトップダウン、あるいはその組み合わせがあり得る。
・洗い出されたリスクは、明確化されたリスク分類法によりカテゴリー分けされ、発生確率や影響といったリスク評価等の情報と共に、リスク記録簿に記録される。

2.リスクアセスメント
・リスクの蓋然性の評価やリスク発生時の影響の評価等を通じて、特定されたリスクの評価、プロファイリングを行うプロセス。
・固有リスクと残余リスクの両方を評価し、コントロールの有効性と信頼性の程度に対する知見を形成できるようにする。
・リスクアセスメント、リスクプロプロファイルは、『詳細なリスクの説明』、『リスクによってもたらされる結果』、『適切な分類』、『蓋然性・影響度を考慮した固有リスクの評価』、『軽減戦略の有効性の評価』、『軽減後の残余リスクの評価』、『残存リスク抑制に必要なアクションの説明』等を含む。

3.リスク計測
・企業の意思決定や、資本管理とパフォーマンス計測を含む諸プロセスの支援に活用するため、リスクの定量情報を提供するプロセス。
・リスク計測に用いる技術は、対象となるリスクの性質、規模および複雑性によって決まることが多く、リスク計測に費やす努力の程度がリスクの大きさに見合うかについても考慮すべき。
・計測に使用するリスク尺度は、分析の目的、利害関係者、データとモデリングの制約等の基準を元に選択する。
・リスクモデルでは、モデルの目的を踏まえて、リスクの規模、広がり、不確実性に応じてモデルを選定する。洗練度やリスク種類等によっても適切なモデルの種類は異なる。
・データの収集とガバナンスの適切性や、モデルガバナンスについても考慮が必要。
4.リスク対応
・取締役会のリスクへの対応は、そのリスクアペタイト、リスク許容度、リスクリミットに反映される。また、軽減・移転（共有）を選択する場合、それ自体がモニタリングを必要とする新たなリスクを生むことが多い。
・リスク対応の意思決定に際しては、当該リスクに係るリスク・リターンプロファイルや企業全体のリスク・リターンプロファイルへ与える影響を考慮する必要がある。
・リスク対応は、以下の４つのカテゴリーに分類されることが多い。
（１）回避
・リスクに対するエクスポージャーを減らす、新規開発は行わない等の行動
・ただし、リスクを完全に回避することは難しい。
（２）受容
・リスクを現在の形で受け入れるもの
・リスクをモニタリングし、適切な技術的準備金と資本が確保されていることを確認する。
（３）軽減
・リスクの発生の可能性を減らすか、あるいは、リスクの影響を軽減させるか、がある。
・ただし、この対応に伴うリスクの変化が異なるリスクを生み出す恐れがある点に注意が必要。
（４）移転
・保険や再保険等を利用してリスクを第三者に移転するもの。
・カウンターパーティリスクの配慮が必要。

5. リスクモニタリング
・リスクモニタリングには、企業が用いるすべてのリスク尺度のモニタリングが含まれる。
・モニタリングは、十分な情報が与えられたうえで意思決定が行われ、アクションが取れるような頻度で行われるべき。
・モニタリングすべき事項には、「リスク評価のアウトプット（結果）」、「リスクコントロールの自己評価」、「リスクリミット、許容度、アペタイトの遵守」、「外部環境」、「主要リスク指標（KRI）」、「リスク管理のアクションプラン」等がある。

6.リスク報告
・リスク管理情報は、タイムリーに、包括的に、整合的に、正確に、監査可能な形で、フォワードルッキングに、報告される必要がある。
・また、情報に関して保証すること、社内外の報告対象者のニーズに対し個別に配慮をすること、適切な情報開示への配慮をすること、にも留意が必要である。