リスク
リスク・アプローチの目的は、プロジェクト目標に影響を与える不確実性を特定・評価・コントロールし、プロジェクトを成功に導く能力を改善する。
基本定義
リスクとは、発生するとプロジェクト目標に影響を及ぼす一つまたは一連の不確実なイベント。
- 役割:
- リスク・オーナー: リスクへの対応全体に責任を負うようアサインされた人。
- リスク処置のオーナー(リスク担当者): リスクに対応するために合意された具体的な処置(アクション)を実行する人。
- 二面性:
- 脅威 (Threat): 目標に負(マイナス)のインパクトを与えるもの。
- 機会 (Opportunity): 目標に正(プラス)のインパクトを与えるもの。
- 測定要素:
- 発生確率 (Probability): リスクが起きる可能性。
- インパクト (Impact): 発生した際の影響度。
- 接近度 (Proximity): 発生時期がいつか。
- ベロシティ (Velocity): 発生から影響が出るまでの速さ。
- リスク姿勢:
- リスク影響度 (Exposure): 特定の目標がリスクにさらされている全体的な程度(例: 高/中/低)。
- リスク選好度 (Appetite): 許容できるリスクの量と種類。
- (リスク・カルチャーとバイアス: 意思決定を歪める人間本来の傾向に注意!)
- 楽観バイアス: 物事がうまくいくと過信し、脅威を軽視する。
- 損失回避: 利益を得るより、損をすることを極端に嫌う。
- 集団思考: 集団の和を優先し、異論やリスク指摘を控える。
- 接近度バイアス: 近い将来のリスクを過大評価し、遠い未来を過小評価する。
- リスク許容度 (Tolerance): 目標ごとの具体的な許容しきい値。
- リスク予算 (Budget): リスク対応専用に確保された予算。
リスク管理の手順(ガイダンス)
効果的なリスク・マネジメントの実施は、プロジェクト目標の達成とビジネス正当性の維持に対する確信につながる。チームが個別リスクと全体的なリスク影響度の両方を把握することで、的確な意思決定が可能になる。
-
実践のための主要プロセス
- 特定と把握 目標達成を阻害する可能性のあるリスクを洗い出し、その内容を明確に説明する。
- 評価と優先順位付け 各リスクの影響を評価し、対応すべき優先順位を決定する。
- 全体影響のレビュー 個別リスクだけでなく、プロジェクトのビジネス正当性全体に対する総体的なリスク・インパクトを検討する。
- 計画とアサイン 対応策を立案し、適切な処置を実施できる人物にオーナーシップ(責任)を割り当てる。
- オーナーシップの徹底 すべてのリスクが特定のオーナーに割り当てられ、確実に担当されている状態を維持する。
- 実施とコントロール 策定した対応策を実行し、その状況を継続的にモニタリングおよび管理する。
- コミュニケーション リスクに関する情報を整理し、関連する利害関係者へ適切に共有する。
-
ステップ リスク管理は以下の5つのステップを繰り返し(イテレーティブに)実施する。
ステップ 内容 1. 特定 (Identify) 状況を定義し、原因・イベント・影響の3 要素でリスクを言語化する 2. 評価 (Assess) 定性的・定量的に優先度を付け、全体のリスク影響度を把握する 3. 計画 (Plan) 最適な対応策を選択し、オーナーを割り当てる 4. 実施 (Implement) 計画した処置を実行し、その有効性をモニタリングする 5. 伝達 (Communicate) あらゆる報告書を通じて、継続的に利害関係者へ情報を届ける
計画立案
- 支援技法
各技法は、特定・評価・計画・実施の各ステップで活用される。
技法 特定 評価 計画 実施 概要 特性要因図 X X X フィッシュボーン図。根本原因の特定に有効 PESTLE / SWOT X 外部・内部環境から脅威と機会を抽出す プロンプト・リスト X 過去の教訓やRBS(リスク分解図)を基にした確認リスト プレモーテム分析 X X X 将来の「失敗」や「成功」から逆算してリスクを特定する スイス・チーズ・モデル X 複数の防護策の「穴」が重なることで発生するリスクを検討する データの使用 X X X X 数値や事実に基づき、リスクの関係性を深く洞察する
1. 特定
リスク・マネジメントの最初のステップであり、状況の定義と具体的なリスクの洗い出しを行う。
- 1.1. 状況と達成目標の定義
リスクを正しく評価するために、プロジェクトの背景情報を収集し、何がリスクにさらされているのか(達成目標)について共通認識を持つ。
- アプローチに影響を与える主な要素
- ユーザーの期待品質、利害関係者のニーズ
- 組織間の関係性、プロジェクトの規模・複雑性
- デリバリー手法(ウォーターフォール、アジャイル、ハイブリッド等)
- 前提条件、外部環境(法規・ガバナンス)、組織の方針・標準
- プログラムの一部であるかどうか
- 情報源 プロジェクト権限委任、プロジェクト要約書、プロジェクト成果物記述書など。
- 留意点 定義された達成目標にインパクトを与えない事象は、リスクとはみなさない。
- アプローチに影響を与える主な要素
- 1.2. 脅威と機会の特定
リスクはプロジェクトの期間中、誰でも提起可能であり、特定されたら即座にリスク登録簿へ記録する。
- リスク・カテゴリーの活用 リスクを分類することで、特定や優先順位付け、最適なオーナーの選定が容易になる。
- リスク許容度 プロジェクト委員会の姿勢(リスク選好度)に基づき、許容できるリスクの範囲をリスク・マネジメント・アプローチに明記する。
- 構成要素
項目 内容 リスク原因 リスクを引き起こすイベントや状況(トリガー)。内部・外部を問わない。 リスク・イベント 不確実性のある領域そのもの。 リスクの影響 発生した場合にプロジェクト目標に及ぼすインパクト。
2. 評価
リスクを多角的に分析・評価し、対応の優先順位を決定するステップである。
-
2.1. リスク分析 リスク分析には、定性的分析と定量的分析の2つのアプローチがある。
- 定性的分析:
- 発生確率とインパクト: リスクが起きる可能性と、目標への影響度を評価する。
- 接近度 (Proximity): リスクがいつ発生するかという時間的距離。
- ベロシティ (Velocity): 発生後、どれほど速く目標に影響を及ぼすか。
- リスク・マトリックス: 傾向を可視化するために使用される。
- 定量的分析:
- モデリング: モンテカルロ分析などを用い、全体的なリスク影響度を数値化する。
- コスト・スケジュール分析: 費用や時間的目標へのインパクトを具体的に算出する。
- 定性的分析:
-
2.2. リスクの優先順位付け 利害関係者が重要度を理解できるよう、以下の項目で評価し、リスク登録簿を最新に保つ。
- 発生確率と目標(時間・コスト等)への具体的インパクト。
- プロジェクト計画やビジネス・ケースへの影響。
- プロジェクト期間中におけるインパクトの変化。
- エスカレーションの要否: 現場で対応可能か、上位組織(プロジェクト委員会等)への報告が必要か。
-
2.4. 複合的なリスク・プロファイルの評価 個別のリスクだけでなく、プロジェクト全体の総体的なリスク影響度を評価する。
- リスク選好度との比較: 全体のインパクトがエスシステムの許容範囲内に収まっているかを確認する。
- 正当性の再評価: リスクのないプロジェクトは存在しない。リスク影響度と許容度を比較することで、対応策に割くべきリソースの最適化を図る。
- コントロール・アクション: 許容度を超える場合は、追加の管理策を策定する。
3. 計画
リスクをどのように管理し、具体的にどう対処するかを定義するステップである。
- 3.1. 適用とコンテキスト(状況への適応)
プロジェクトの状況に応じて、リスク・マネジメント・アプローチを調整する必要がある。
- 組織的状況: 組織、プログラム、ポートフォリオの方針、標準、ツールなどと整合させる。特に業界固有の安全基準などとの一致が求められる。
- 商業的状況: 関係者の間で利益が異なる場合、複数のリスク登録簿を使い分けることもある。
- デリバリー手法:
- ウォーターフォール: 管理は厳格だが、ユーザーのニーズ変化への対応遅れがリスクとなる。
- アジャイル: 変更への柔軟性は高いが、ベースラインの逸脱リスクもある。
- 持続可能性: 環境や社会への目標達成に対するリスクを評価し、コストを予算に組み込む。
- 規模: プロジェクトの複雑さに見合った手間(手続き)にする。過度な負担を避け、意思決定に役立つ形にする。
- 3.2. リスク・カルチャーとバイアス
意思決定には、人間特有の「意思決定バイアス」が影響することを認識しなければならない。
- 楽観バイアス: 物事がうまくいくと信じ、悪いリスクを軽視する。
- 損失回避: 利益を得るよりも、損失を防ぐことを過度に重視する。
- 集団思考: 反対意見を抑え、グループ内の調和を優先する。
- 接近度バイアス: 遠い将来のリスクより、直近のリスクを過大評価する。
- 3.3. リスク対応策
リスクの種類(脅威・機会)に応じて、以下の対応策を選択する。
対応策オプション 内容 備考 回避 / 活用 原因を取り除き、不確実性をゼロにする 計画変更などで対応。コストがかかる場合もある 減少 / 強化 発生確率やインパクトを下げる(または上げる) 残存リスクを許容できるレベルまで調整する 移転 リスクの一部を第三者(保険や外注先)に渡す すべてのリスクを移転できるわけではない 共有 サプライチェーン全体で負担と利益を分かち合う 協働を促進する手法として有効 受け入れ 処置をとらず、発生した際の全影響を許容する 許容度を超えている場合は選択できない 予備計画 (Contingency) 発生した場合の代替案(プランB)を用意する 主に受け入れとセットで用いられる - 二次的リスク: 対応策を実施した結果、新たに発生するリスク。これも特定・管理が必要。
- 3.4. オーナーシップ
責任の所在を明確にする。
- リスク・オーナー: リスクの監視・管理全体の責任を負う。
- リスク処置のオーナー: 具体的な対応アクションの実行を担当する。リスク・オーナーの指示を受け、連携して動く。
- 3.5. リスク予算
- リスク対応のための専用予算を確保し、他の目的への転用を禁止する。
- 既知のリスクだけでなく、**未知のリスク(特定されていないもの)**への備えも含めるのが望ましい。
- 3.6. エスカレーションと意思決定
リスク対応は、常にプロジェクト・チーム内で行うとは限らない。
- エスカレーションの判断:
- チームの権限外である場合。
- ビジネス正当性に重大な影響がある場合。
- 設定された許容度(コスト・時間等)を超える場合。
- エスカレーションの本質: 早期のエスカレーションは失敗ではなく、適切な処置時間を確保するための「グッド・プラクティス」である。
- エスカレーションの判断:
コントロール
4. 実施
計画したリスク対応策を実際に実行し、その実効性を管理するステップである。
- 4.1. 実施とモニタリング
- 対応策の実行 計画された対応策を着実に実施する。
- 有効性のレビュー 実施した対応策が期待通りの成果を上げているかを確認する。
- 是正処置 対応策が不十分である、または期待した効果が得られない場合は、速やかに是正処置を講じる。
- 4.2. 役割の割り当てと留意点
- 責任の明確化 各リスクに対して、リスク・オーナーとリスク処置のオーナーの責任範囲を特定し、合意を得ることが不可欠である。
- 適材適所の選定 リスク・オーナーには、そのリスクを管理する能力に長けた人物を任命する(※同一人物が両方の役割を兼務する場合もある)。
- 負荷の分散 特定の個人に多くのリスクを割り当てすぎないよう配慮し、適切なモニタリング体制を維持する。
5. 通達
リスクに関する情報は、プロジェクト内部および外部の利害関係者に対して、継続的に共有・報告されなければならない。
- 報告とコミュニケーション
- 継続的な情報共有 プロジェクトが直面している脅威や機会について、適切なタイミングで伝達する。
- リスク情報の主な伝達手段
以下の公式な報告書を通じてリスク状況を共有する。
- チェックポイント報告書
- ハイライト報告書
- ステージ終了報告書
- 例外報告書
- 課題報告書
- プロジェクト終了報告書
- 多様なコミュニケーション手法 状況に応じて、ダッシュボード、掲示板(電子含む)、情報ラジエーター、ディスカッション・スレッド、打ち合わせなどを活用する。
- 最適化 どの情報を誰に、どの手法で伝えるべきかは、コミュニケーション・マネジメント・アプローチを参照して決定する。
- 留意点
- 動的なリスク管理 プロジェクトのリスク影響度は常に変化する。効果的なコミュニケーションを維持するためには、新たなリスクの特定や既存のリスクの変化を絶えずキャッチアップし、速やかに共有することが重要である。
マネジメント成果物
アウトプット
リスク・マネジメント・アプローチ(プロジェクト立ち上げ文書のー部)
- 目的: プロジェクトでのリスク・マネジメント方法を説明する。適用される特定の手順、技法、標準、責任が含まれる。
- コンテンツ概要
- スコープ: リスク・マネジメント・アプローチのスコープの説明
- リスク・マネジメント手順: プロジェクトのリスク・マネジメント活動の説明(例えば、特定、評価、計画、実施、伝達)(ビジネス標準からの逸脱は、その逸脱の正当性とともにハイライトする)
- リスク許容度ガイダンス: ビジネス・ケースでプロジェクトに対して定義されたリスク許容度レベルに追加のガイダンスを提供する
- リスク・マネジメント活動の時期: 公式なリスク・マネジメント活動を実施する時期(例えば、ステージ終了時)を記述する
- 責任: リスク・マネジメント活動の責任を定義する(これには、リスク・オーナーとリスク処置のオーナーの責任を含める)
- リソース: リスク・マネジメント活動のためのリソース(必要なテスト機器など)
- 支援ツールと技法: リスク・マネジメント活動を支援するツールと技法(使用するシステムとその使用方法、プレモーテムなどの特定の技法)
- 標準: 発生確率、インパクト、接近度、ベロシティの評価に使用される格付けシステムなど、リスク・マネジメントに適用される標準(標準では、リスク登録簿やその他のリスク・レコードの構成と形式も指定する)
リスク登録簿(プロジェクト・ログのー部)
- 目的: プロジェクトに関連して特定されたリスクについて、そのステータスや履歴情報などのレコードを提供する。プロジェクトに関連して特定されたあらゆる脅威と機会に関する情報を収集し、保持するために使用する。
- コンテンツ概要
- リスク識別子: リスクの一意の参照コード
- リスクの記述書: リスクの原因、イベント、影響の概要
- 発生確率: リスク・イベントが発生する可能性の見積もり
- インパクト: リスクの影響の見積もり
- 接近度: リスクがどのくらい早く発生する可能性があるかの見積もり
- ベロシティ: リスクが発生した場合、達成目標にどれだけ早くインパクトを与えるかの見積もり
- リスク対応策: リスクに対応するために選択された処置
- 計画残存発生確率とインパクト: リスク対応策が効果的であるという前提でのリスクの発生確率とインパクト
- リスク・オーナー: リスクの担当者
- リスク処置のオーナー: リスク対応策の担当者
- リスクに関連する日付: ログに記録された日付、最終レビュー日、処置の期日など
- レコード: リスクとその場所に関連付けられている文書のリスト
主要な役割
すべての役割は、アサインされたリスクに対してリスク対応策を実施する(リスク処置のオーナーとして)実行責任があります。
| 役割 | 責任 |
|---|---|
| ビジネス・レイヤー | ビジネス・レイヤーの責任 |
| プロジェクト・エグゼクティブ | プロジェクト・エグゼクティブの責任 |
| シニア・ユーザー | シニア・ユーザーの責任 |
| シニア・サプライヤー | シニア・サプライヤーの責任 |
| プロジェクト・マネージャー | プロジェクト・マネージャーの責任 |
| チーム・マネージャー | チーム・マネージャーの責任 |
| プロジェクト保証 | プロジェクト保証の責任 |
| プロジェクト支援 | プロジェクト支援の責任 |
ビジネス・レイヤーの責任
- ビジネス・レイヤーのリスク・マネジメント方針、リスク・マネジメント標準、リスク・マネジメント・フレームワーク(または同様の文書)を提供する
- プロジェクトのリスク選好度を定義する
- プロジェクト・レベルのリスク許容度とリスク予算を設定する
プロジェクトエグゼクティブの責任
- リスク・マネジメント・アプローチを承認し、プロジェクト目標とビジネスのリスク選好度に適していることを確認するリスクのインパクトの規模、接近度、ベロシティを設定する
- ステージ・レベルのリスク許容度とリスク予算を設定する
- ビジネス・ケースと関連付けられたリスクが特定、評価、コントロールされていることを確保する
- 持続可能性リスクが特定、評価、コントロールされていることを確保する
- 特にビジネス正当性の継続を重視して、エスカレーションされたリスクに対する意思決定を行う
- 必要に応じてリスクをビジネスにエスカレーションする
シニアユーザーの責任
- ユーザーへのリスクが特定、評価、コントロールされていることを確保する(ベネフィット、運用面での使用、保守へのインパクトなど)
- リスク・マネジメント・アプローチに合意する
- 特に予想ベネフィットを守ることを重視して、エスカレーションされたリスクに対する意思決定を行う
シニアサプライヤーの責任
- サプライヤーの側面に関連するリスクが特定、評価、コントロールされていることを確保する(成果物のデリバリーなど)
- リスク・マネジメント・アプローチに合意する
- 特にソリューション全体の完全性を守ることを重視して、エスカレーションされたリスクに対する意思決定を行う
プロジェクトマネージャーの責任
- 利害関係者と協議し、リスク・マネジメント・アプローチを策定し、維持する
- ワーク・パッケージ記述書で合意されたリスク・マネジメント手順をチーム・マネージャーが実施していることを確保する
- リスク登録簿でリスクを確立し維持する
- プロジェクトの期間を通して、プロジェクト・リスクが特定、評価、コントロールされていることを確保する
チームマネージャーの責任
- ワーク・パッケージ記述書で合意されたリスク・マネジメント手順を実施する
- リスクの特定、評価、コントロールに貢献する
プロジェクト保証の責任
- リスク・マネジメント・アプローチについて、プロジェクト・マネージャーに助言する
- リスク・マネジメント・アプローチがビジネスの方針に準拠していることをプロジェクト委員会に確認する
- 求められた場合に、特定のリスクに提案されているリスク対応策をレビューすることで、プロジェクト委員会とプロジェクト・マネージャーを支援する
- リスク・マネジメントのプラクティスをレビューして、リスクが適切に管理されていることをプロジェクト委員会に保証し、リスクがプロジェクトのリスク・マネジメント・アプローチに沿って実施されていることを確認する
プロジェクト支援の責任
- リスク・コントロールでの事務管理支援を提供する
- リスク登録簿を作成し、管理する
- プロジェクトのリスク・マネジメント手順の適用についてプロジェクト・マネジメント・チームを支援する
If you enjoyed this, leave a comment~