リスクアセスメント（英: Risk assessment）とは、ISO規格では、リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す^{[1][2][3][4][5]}。

1. リスク特定 (risk identification) - リスクを発見し、認識し、記述するプロセス
2. リスク分析 (risk analysis) - リスクの特質を理解し、リスクレベルを決定するプロセス
3. リスク評価 (risk evaluation) - リスク（とその大きさ）が受容可能か（許容可能か）を決定するためにリスク分析の結果をリスク基準と比較するプロセス

通常は、リスクアセスメントの後で、リスク対応をする。リスク対応の手段には、リスク源の除去、起こりやすさの変更、結果の変更、他者とのリスクの共有、リスクの保有などがある。

用語としての「リスクアセスメント」は規格毎に意味が異なるため、注意が必要である。このページではISO規格を主軸に説明する。特に保険数理学関連の時は要注意である。 また、別の意味の「リスク評価」もリスクアセスメントにリダイレクトしていた(詳細は#用語注意にて説明)。

ISO規格では、リスクアセスメントとは、もともとリスクマネジメントプロセス内のサブプロセスである。安全工学上はリスクとは、人、環境、物に悪い影響をあたえる可能性と大きさ（の積）である。予測されるリスクの可能性と大きさ（予測値）と、許容されるリスクの可能性と大きさ（許容値）を比較し、予想値が許容値を上回った時リスク軽減の施策またはリスク回避の施策をとるという意思決定を行い、実際にその施策をとり、より安全な状態を実現するプロセスをとることになる。このプロセス全体がリスク管理プロセスである。このように、リスクアセスメントは、リスク管理プロセス内の意思決定サブプロセスとなる。

• リスクレベル (level of risk) - 結果とその起こりやすさとの組合せとして表されるリスクの大きさ
• リスク基準 (risk criteria) - リスクの重大性を評価する基準
• リスク対応 (risk treatment) - リスクを修正するプロセス
• 残留リスク (residual risk) - リスク対応の後に残るリスク

リスク特定は、リスクを発見し、認識し、記述するプロセスである。「リスクの原因、現象、それらの発生、およびそれらによる潜在的な結果の特定」が含まれる^[6]。

ISO 31000で、リスク特定はリスク分析とリスク評価の前に行うリスク評価プロセスの最初のステップである^[7]。リスクを「ハザード」として知られている分野では、このステップは「ハザード特定」として知られている^[6](参照:#リスクとハザードの違い)。

リスクを特定するには、次のようなさまざまな方法がある^[8]。

1. 過去のデータまたは理論モデルに基づくチェックリストまたは分類法
2. 文献レビューや履歴データの分析などの証拠に基づく方法
3. HAZOP、FMEA、SWIFTなど、通常の運用からの逸脱の可能性を体系的に検討するチームベースの方法
4. 特定の状況下で何が起こるかを特定するためのテストやモデリングなどの経験的方法
5. シナリオ分析など、将来の可能性について想像思考手法。
6. ブレインストーミング、構造化インタビュー、監査などの専門家を引き出す方法。

場合によっては、リスクの特定処理では、「他の場所で分析および評価されるリスク」を見つけて文書化することに限定される。ただし、多くのリスク識別手法は、管理手段が十分かも考慮され、改善の検討も推奨される。したがって、リスク識別手法は単独でリスク評価手法としても機能できるものも多い。

「リスク」と「ハザード」の用語は両方とも同じ意味に使われることもあるが、リスクアセスメントの観点から見ると異なる用語である。^[9]

• ハザード: 自然災害、停電、劣化などによる危険性又は有害性
• リスク: ハザードが悪影響をもたらす可能性の度合い (※注意:分野などで異なることもある。)

簡単に言うと、ハザードがなければリスクも無い。ただし、ISOの用語の定義変更があり同じ意味の時もある^[10]。

リスク分析とは、リスクの理解を深めることである。ISOは、それを「リスクの性質を理解し、リスクのレベルを決定するプロセス」と定義した^[7]。

ISO 31000リスク評価プロセスでは、リスク分析はリスクの特定の後、リスク評価の前に実施する。ただし、これらの区別は常に守られているわけではない。

リスク分析には以下が含まれる場合がある： ^[8]

• リスクの原因、原因、推進要因の特定
• 既存のコントロールの有効性の調査
• 起こりうる結果とその可能性の分析
• リスク間の相互作用と依存関係の理解
• リスクの尺度の決定
• 結果の検証と妥当性確認
• 不確実性と感度(変動)の分析

リスク分析では、以前のイベントの確率と結果に関するデータを使用することがよくある。そのようなイベントがほとんどない場合、またはまだ運用されておらず、したがって以前の経験がないシステムでは、次のような分析方法を使用して確率と結果を推定する。

類似システムのデータ (リスクのいくつかの側面で類似していると推定される場合)

• モンテカルロシミュレーション、定量的リスク評価ソフトウェアなどの理論モデル
• ベイジアンネットワーク、フォルトツリー解析、イベントツリー分析などの論理モデル
• 絶対確率判定、デルファイ法などの専門家による判定

リスク評価では、リスクの推定レベルをリスク基準と比較して、リスクの重大性を判断し、リスク処理アクションについて決定を下す^[8]。

ほとんどの活動では、さらにコントロールや他の処理オプションを追加することでリスクを減らすことができるが、通常、これはコストや不便さを増大させる。活動を中止せずにリスクを完全に排除することはめったに不可能である。価値ある利益を確保するためにリスクを高めることが望ましい場合もある。「リスク基準」は、これらの問題に関する決定を導くことを目的とする^[11]。

基準の種類は次のとおり^[8]。

• 目的を追求するために受け入れ可能なリスクのレベルを定義する基準。

「リスクアペタイト」とも呼ばれ、リスク/報酬分析(リスク・リターン分析)により評価される^[12]。

• 費用便益比など、さらなる管理が必要かを決定する基準。
• 多基準意思決定分析など、さまざまなリスク管理オプションを決定する基準。

リスク基準の最も単純な構成は、「許容可能なリスク」と「処置が必要なリスク」を分ける単一のレベルである。これは魅力的に単純な結果をもたらすが、リスクの推定と基準の定義の両方に伴う不確実性を反映していない。

具体的には、リスク分析により明確化されたリスク因子に基づき、

1. リスク因子により組織の財務基盤にどのような悪影響を及ぼしうるかの評価
2. それにより、どのリスク因子を優先的に対処していくかの優先順位決定
3. リスク対処のコストパフォーマンスを、上述の財務基盤への影響度も絡めて分析評価し、再検討

と言った手順を取る。

上記2番目のリスク因子の優先順位を決定する際には、リスクマップが作成されるのが一般的である。

リスクアセスメント(risk assessment)は、「リスク評価」と訳されることが多い。しかし、risk evaluationをリスク評価と訳している場合もあり注意が必要である。本来、assessmentとevaluationとの間には、若干の相違点がある。evaluationは評価する行為そのものであるのに対して、assessmentは評価した結果に基づいて考察を加え、判断することまで含める概念である。例えば、環境アセスメントは、その代表的な使い方である。risk assessment, risk evaluation, risk characterization, risk managementなどの訳語に調整(Harmonization)が必要である。これらの用語についてはUNEP/ILO/FAO/WHO/ILO/UNIDO/UNITAR/OECDによる整理事例がある^[13]。

なお、2021年9月時点で、「リスク評価」は「リスクアセスメント」へリダイレクトしている。

^[14]

• ブレーンストーミング
• 構造化又は半構造化インタビュー（英語版） (Structured or semi-structured interviews)
• デルファイ法
• チェックリスト
• 予備的ハザード分析（PHA, Preliminary Hazard Analysis）
• HAZOPスタディーズ
• ハザード分析及び必須管理点（HACCP）
• 環境リスクアセスメント (Toxicity assessment)
• 構造化“Whatif”技法（SWIFT）
• シナリオ分析（英語版）（Scenario analysis）
• 事業影響度分析（英語版）（Business impact analysis, BIA）
• 根本原因分析（RCA）
• 故障モード・影響解析（FMEA）
• 故障の木解析（FTA)
• 事象の木解析 (Event tree analysis, ETA)
• 原因・結果分析（CCA)
• 原因影響分析 (参考: 特性要因図（フィッシュボーン・チャート）)
• 防護層解析（Layer of protection analysis,LOPA,Barrier analysis）
• 決定木解析
• 人間信頼性アセスメント（Human reliability assesment,HRA）
• ちょう（蝶）ネクタイ分析 (Bow tie analysis)
• 信頼性重視保全（英語版）（RCM）
• スニーク解析（Sneak analysis, SA）及びスニーク回路解析（Sneak circuit analysis, SCA）
• マルコフ解析 (Markov analysis)(参考:マルコフ連鎖)
• モンテカルロシミュレーション
• ベイズ統計及びベイズネット ([Bayesian statistics] and [Bayes nets])
• FN曲線 (FN curve)
• リスク指標 (Risk index)
• リスクマトリックス (Risk matrix)
• 費用／便益分析（Cost/benefit analysis, CBA）
• 多基準意思決定分析（英語版）（MCDA）(参考:「AHP法」を含む)

上記の[ISO記載]と重複する事項もある。

分類はISO31010を基本とし、ISO31010にない手法は★をつけ推定で分類した。

洗い出し

• チェックリスト
• 予備的ハザード分析

支援

• ブレーンストーミング
• デルファイ法
• What-If分析 (What-if analysis)
• 人間信頼性アセスメント
• Why–because analysis（英語版） - ★
• なぜなぜ分析 (Five Whys) - ★
• AHP法 (Analytic Hierarchy Process, 階層分析法) - ★

シナリオ分析

• シナリオ分析
• 根本原因解析
• 環境リスクアセスメント
• 環境影響度分析
• 故障の木解析
• イベントツリー分析
• 原因・結果分析
• 原因影響分析

機能分析

• FMEA
• 信頼性重視保全
• スニーク回路分析
• HAZOP
• HACCP
• FMECA（英語版）(Failure mode, effects, and criticality analysis、故障モード影響致命度解析) - ★
• STAMP/STPA - ★

管理アセスメント

• 防護層解析(LOPA)
• 蝶ネクタイ分析

統計手法

• マルコフ解析
• モンテカルロシミュレーション
• ベイズ統計

コンテキスト解析

• 4M/5M/8M/4M-4E/4M-5E/4M-3H - ★
• 3H - 4Mなどと共に用いて危険性のある所を検出する - ★
• SHELLモデル - ★
• AcciMapアプローチ（英語版） - ★
• バリエーションツリー分析（Variation Tree Analysis） - ★

• 機密インシデント報告システム（英語版）
• CIRAS (運輸) -イギリス運輸報告システム
• ASRS（英語版） -アメリカの航空安全報告システム https://asrs.arc.nasa.gov/
• CHIRP (Confidential Human Factors Incident Reporting Programme / Confidential Hazardous Incident Reporting Programme) イギリスの航空業界の報告システム
• CROSS (建築) (Confidential Reporting on Structural Safety) -アメリカ土木/建築業界の報告システム
• 日本医療安全調査機構 https://www.medsafe.or.jp/ ※機密性などは不明。

• IDHEAS（Integrated Human Event Analysis System、NUREG-2199）
• SAPHIRE（英語版）（実践的な統合信頼性評価のためのシステム分析プログラム）

• リスク分析
• リスクマネジメント
• リスク・コミュニケーション
• 安全
• 危険予知訓練