リスク
PRINCE2 リスク・プラクティスの目的は、プロジェクト目標に影響を与える可能性のある不確実性を特定・評価・コントロールし、プロジェクトが成功する能力を改善すること。
基本定義
リスクとは、発生するとプロジェクト目標に影響を及ぼす一つまたは一連の不確実なイベント。
- 二面性:
- 脅威(Threat): 目標に負(マイナス)のインパクトを与えるもの。
- 機会(Opportunity): 目標に正(プラス)のインパクトを与えるもの。
- 役割:
- リスク・オーナー: リスクへの対応全体に責任を負うようアサインされた人。
- リスク処置のオーナー: リスクに対応するために合意された具体的な処置を実行する人。
- 測定要素:
- 発生確率(Probability): リスクが起きる可能性。
- インパクト(Impact): 発生した際の影響度。
- 接近度(Proximity): 発生時期がいつか。
- ベロシティ(Velocity): 発生から影響が出るまでの速さ。
- リスク姿勢:
- リスク影響度(Exposure): 特定の目標がリスクにさらされている全体的な程度。
- リスク選好度(Appetite): 許容できるリスクの量と種類。
- リスク許容度(Tolerance): 目標ごとの具体的な許容しきい値。
- リスク予算(Budget): リスク対応専用に確保された予算。
リスク管理の5ステップ(ガイダンス)
効果的なリスク・マネジメントの実施は、プロジェクト目標の達成とビジネス正当性の維持に対する確信につながる。
リスクマネジメントの5ステップサイクル
| ステップ | 内容 |
|---|
| 1. 特定(Identify) | 状況を定義し、原因・イベント・影響の3 要素でリスクを言語化する |
| 2. 評価(Assess) | 定性的・定量的に優先度を付け、全体のリスク影響度を把握する |
| 3. 計画(Plan) | 最適な対応策を選択し、オーナーを割り当てる |
| 4. 実施(Implement) | 計画した処置を実行し、その有効性をモニタリングする |
| 5. 伝達(Communicate) | あらゆる報告書を通じて、継続的に利害関係者へ情報を届ける |
1. 特定(Identify)
リスク・マネジメントの最初のステップであり、状況の定義と具体的なリスクの洗い出しを行う。
- 状況と達成目標の定義: リスクを正しく評価するために、プロジェクトの背景情報を収集し、何がリスクにさらされているのかについて共通認識を持つ。
- アプローチに影響を与える主な要素: ユーザーの期待品質・利害関係者のニーズ・組織間の関係性・プロジェクトの規模・複雑性・デリバリー手法・前提条件・外部環境(法規・ガバナンス)・組織の方針・標準・プログラムの一部であるかどうか
- 情報源: プロジェクト権限委任・プロジェクト要約書・プロジェクト成果物記述書
- 留意点: 定義された達成目標にインパクトを与えない事象は、リスクとはみなさない。
- 脅威と機会の特定: リスクはプロジェクトの期間中、誰でも提起可能であり、特定されたら即座にリスク登録簿へ記録する。
- リスクの構成要素:
| 項目 | 内容 |
|---|
| リスク原因 | リスクを引き起こすイベントや状況(トリガー)。内部・外部を問わない |
| リスク・イベント | 不確実性のある領域そのもの |
| リスクの影響 | 発生した場合にプロジェクト目標に及ぼすインパクト |
2. 評価(Assess)
リスクを多角的に分析・評価し、対応の優先順位を決定するステップである。
- 定性的分析: 発生確率・インパクト・接近度・ベロシティを評価する。リスク・マトリックスを用いて傾向を可視化する。
- 定量的分析: モンテ・カルロ分析などのモデリング技法を使用して全体的なリスク影響度を数値化する(定量的リスク・コスト分析・定量的リスク・スケジュール分析)。
- 複合的なリスク・プロファイルの評価: 個別リスクだけでなく、プロジェクト全体の総体的なリスク影響度を評価する。リスク選好度を超える場合は追加の管理策を策定する。
3. 計画(Plan) — リスク対応策
| 対応策オプション | 内容 | 備考 |
|---|
| 回避 / 活用 | 原因を取り除き、不確実性をゼロにする | 計画変更などで対応。コストがかかる場合もある |
| 減少 / 強化 | 発生確率やインパクトを下げる(または上げる) | 残存リスクを許容できるレベルまで調整する |
| 移転 | リスクの一部を第三者(保険や外注先)に渡す | すべてのリスクを移転できるわけではない |
| 共有 | サプライチェーン全体で負担と利益を分かち合う | 協働を促進する手法として有効 |
| 受け入れ | 処置をとらず、発生した際の全影響を許容する | 許容度を超えている場合は選択できない |
| 予備計画(Contingency) | 発生した場合の代替案(プランB)を用意する | 主に受け入れとセットで用いられる |
- 二次的リスク: 対応策を実施した結果、新たに発生するリスク。これも特定・管理が必要。
- エスカレーション: リスクが許容度内の場合、プロジェクト・マネージャーが決定できる。それ以外はプロジェクト委員会または上位へエスカレーションする。早期のエスカレーションはグッド・プラクティスである。
4. 実施(Implement)
- 対応策の実行: 計画された対応策を着実に実施する。
- 有効性のレビュー: 実施した対応策が期待通りの成果を上げているかを確認する。
- 是正処置: 対応策が不十分な場合は、速やかに是正処置を講じる。
- 役割の割り当て: 各リスクに対して、リスク・オーナーとリスク処置のオーナーの責任範囲を特定し合意することが不可欠である。特定の個人に多くのリスクを割り当てすぎないよう配慮する。
5. 伝達(Communicate)
- 継続的な情報共有: プロジェクトが直面している脅威や機会について、適切なタイミングで伝達する。
- 主な伝達手段: チェックポイント報告書・ハイライト報告書・ステージ終了報告書・例外報告書・課題報告書・プロジェクト終了報告書
- 多様なコミュニケーション手法: ダッシュボード・掲示板(電子含む)・情報ラジエーター・ディスカッション・スレッド・打ち合わせなどを活用する。
- 動的なリスク管理: プロジェクトのリスク影響度は常に変化するため、新たなリスクの特定や既存のリスクの変化を継続的にキャッチアップし速やかに共有することが重要。
支援技法
| 技法 | 適用ステップ | 概要 |
|---|
| 特性要因図(フィッシュボーン図) | 特定・計画・実施 | 根本原因の特定に有効 |
| PESTLE / SWOT 分析 | 特定 | 外部・内部環境から脅威と機会を抽出する |
| プロンプト・リスト | 特定 | 過去の教訓や RBS(リスク分解図)を基にした確認リスト |
| プレモーテム分析 | 特定・評価・計画 | 将来の「失敗」や「成功」から逆算してリスクを特定する |
| スイス・チーズ・モデル | 計画・実施 | 複数の防護策の「穴」が重なることで発生するリスクを検討する |
| データの使用 | 特定・評価・計画・実施 | 数値や事実に基づき、リスクの関係性を深く洞察する |
リスク・カルチャーとバイアス
- 楽観バイアス: 物事がうまくいくと過信し、脅威を軽視する。
- 損失回避: 利益を得るより、損をすることを極端に嫌う。
- 集団思考: 集団の和を優先し、異論やリスク指摘を控える。
- 接近度バイアス: 近い将来のリスクを過大評価し、遠い未来を過小評価する。
プラクティスの適用
組織的な状況
- 組織標準との整合: 一元的に定義されたリスク・マネジメント方針・標準・ツール・コンピテンシー・フレームワークと整合させる。
- プログラムとの連携: プロジェクトがプログラムの一部である場合、リスク・マネジメント・アプローチはプロジェクト・レベルで管理されるリスクの種類を特定し、プログラムへのエスカレーションの判断基準を示す。
商業的な状況
- 複数のリスク登録簿: 一部のプロジェクト・リスクは一方の関係者に特有のものであり、リスク登録簿を他方の関係者に公開しない正当な理由が存在する場合もある。
デリバリー手法
- ウォーターフォール: 管理は厳格だが、ユーザーのニーズ変化への対応遅れがリスクとなる。
- アジャイル: 変更への柔軟性は高いが、合意済みのベースラインの変更がコントロールされなくなる可能性がある。
プラクティスを支援するマネジメント成果物
リスク・マネジメント・アプローチ(プロジェクト立ち上げ文書の一部)
- 目的: プロジェクトでのリスク・マネジメント方法を説明する。適用される特定の手順・技法・標準・責任が含まれる。
- コンテンツ概要:
- スコープ: リスク・マネジメント・アプローチのスコープの説明
- リスク・マネジメント手順: 特定・評価・計画・実施・伝達の説明(ビジネス標準からの逸脱は正当性とともにハイライトする)
- リスク許容度ガイダンス: ビジネス・ケースで定義されたリスク許容度レベルへの追加ガイダンス
- 責任: リスク・オーナーとリスク処置のオーナーの責任を含む
- 標準: 発生確率・インパクト・接近度・ベロシティの評価に使用される格付けシステム
リスク登録簿(プロジェクト・ログの一部)
- 目的: プロジェクトに関連して特定されたリスクについて、そのステータスや履歴情報などのレコードを提供する。
- コンテンツ概要:
- リスク識別子: リスクの一意の参照コード
- リスクの記述書: リスクの原因・イベント・影響の概要
- 発生確率: リスク・イベントが発生する可能性の見積もり
- インパクト: リスクの影響の見積もり
- リスク対応策: リスクに対応するために選択された処置
- リスク・オーナー: リスクの担当者
- リスク処置のオーナー: リスク対応策の担当者
主要な役割と責任
| 役割 | 主要な責任 |
|---|
| ビジネス・レイヤー | リスク・マネジメント方針・標準・フレームワークを提供する。プロジェクトのリスク選好度を定義する。プロジェクト・レベルのリスク許容度とリスク予算を設定する |
| プロジェクト・エグゼクティブ | リスク・マネジメント・アプローチを承認する。ステージ・レベルのリスク許容度とリスク予算を設定する。ビジネス正当性の継続を重視してエスカレーションされたリスクに対する意思決定を行う |
| シニア・ユーザー | ユーザーへのリスクが特定・評価・コントロールされていることを確保する。予想ベネフィットを守ることを重視してエスカレーションされたリスクに対する意思決定を行う |
| シニア・サプライヤー | サプライヤーの側面に関連するリスクが特定・評価・コントロールされていることを確保する。リスク・マネジメント・アプローチに合意する |
| プロジェクト・マネージャー | リスク・マネジメント・アプローチを策定し維持する。リスク登録簿でリスクを確立し維持する。プロジェクトのリスクが特定・評価・コントロールされていることを確保する |
| チーム・マネージャー | ワーク・パッケージ記述書で合意されたリスク・マネジメント手順を実施する。リスクの特定・評価・コントロールに貢献する |
| プロジェクト保証 | リスク・マネジメント・アプローチについてプロジェクト・マネージャーに助言する。リスクが適切に管理されていることをプロジェクト委員会に保証する |
| プロジェクト支援 | リスク・コントロールでの事務管理支援を提供する。リスク登録簿を作成し管理する |
原則との主要な関係
| 原則 | 達成方法 | 結果 |
|---|
| ビジネス正当性の継続の確保 | 特定されたリスクがビジネス・ケース、ひいてはビジネス正当性に重大なインパクトを与えるかどうかを評価する | 投資に価値があり、受け入れ可能なリスク・レベルであるという確信が高まる |
| 例外によるマネジメント | リスクの担当とリスク対応策の実施に最適な人に権限を与える。許容度を超えると予測されるリスクをエスカレーションする | プロジェクトが直面している脅威と機会が適切なレベルで管理されているという確信が生まれる |
| 成果物重視 | スペシャリスト成果物とマネジメント成果物の定義・開発・提供に関連するリスクについて理解する | プロジェクトにおける成果物の開発に関連する脅威と機会についての理解が明確になる |
| プロジェクトに合わせたテーラリング | リスク・マネジメント・アプローチと関連手順がプロジェクトの種類・サイズ・複雑性に適していることを確保する | 関連する組織標準に整合する脅威と機会のマネジメントが明確に定義される |
他フレームワーク補足
| 概念 | PRINCE2 | PMBOK | PgMP |
|---|
| リスク管理プロセスの構造 | 5ステップ(特定・評価・計画・実施・伝達) | 6プロセス(計画・特定・定性的分析・定量的分析・対応計画・モニタリング・コントロール) | (今後追記) |
| リスク文書 | リスク・マネジメント・アプローチ・リスク登録簿 | リスク・マネジメント計画書・リスク登録簿 | (今後追記) |
| リスク対応策の種類 | 回避・軽減・移転・共有・受け入れ・予備計画 | 回避・軽減・移転・受け入れ(脅威)・活用・強化・共有(機会) | (今後追記) |
気に入ったならばコメントを残してくださいね~