防災やBCP対策上の課題が、全社的なリスクの中でどのような位置づけになるかを明確にするためにも、この点は特に重要になる。一方、リスクの分類の方法については、「世界的に確定された標準は存在せず、多くの企業が苦慮されている」と達脇氏は指摘する。そこで、トーマツでは、網羅性を判断するツールとしてリスクインテリジェンスマップを提供している(下記表を参照)。

インテリジェンスマップは、企業を取り巻くリスクを第1階層として①ガバナンス、②戦略と計画、③業務運営と経営インフラ、④コンプライアンス、⑤開示と報告と、大きく5項目に分類し、第2階層として①ガバナンスなら、「コーポレートガバナンス」と「倫理観」、②戦略と計画なら、「企業の責任と持続可能性」「外部要因」「計画」「経営戦略」といった具合に全16項目にカテゴリー分けしている。第3階層ではサブカテゴリーとしてさらに160もの具体的な項目を示し、第4階層で第3階層で挙げたそれぞれの項目の個別リスク例を紹介している。

例えば、BCPにおいて、サプライチェーン1社からの仕入れにすべて依存してしまっているというリスクがあるとすると、第2階層「サプライチェーン」の中の「サプライチェーン計画」に関するリスク。建物の耐震性に問題があれば、第2階層「外部要因」の「災害と壊滅的な損害」に関するリスクとして分類する、といった具合に活用できる。