どうも、マツバラヤスユキ(@yaspontax)です。
リスクマネジメントを制するものが成功をつかむと言っても過言ではありません。
タイトルの通り、リスクマネジメントはリスクの洗い出しと対応計画が大切ということで、脅威(マイナスのリスク)と好機(プラスのリスク)をどのようにリスクマネジメントすべきかについて記載します。
企業の経営をはじめ様々な場所で取り上げられるリスクマネジメントですが、
実はプロジェクトマネジメントの知識体系PMBOKにおいて、知識エリアの1つとされており、
どのようにリスクマネジメントを実施すべきかまとめられておりますので、
紹介させて頂きます。
『リスクマネジメントを制するものが成功をつかむ』と大それたタイトルをつけておりますが、
重大なリスクが発生してからあたふたし、取り返しがつかなくなってしまうといった事態にならないように、
しっかりとリスクマネジメントを実施し、成功をつかみましょう!
目次
リスクマネジメントはいつ日本に入ってきた
リスクマネジメトという言葉が日本に入ってきたのは、2000年に入ってからのようです。
それまで、国内では「危機管理」という言葉で近いことが実施されていたが、
リスクマネジメントが入ってきたことで、「リスクマネジメント」と「危機管理」は別物であり、「リスクマネジメント」を実施していくことが求められることが明確化されました。
分かりやすい記事を以下に引用しておきます。
「リスクマネジメント」が日本語として受け入れられたのは、2001年のことであった。それを象徴するのが、その年の3月20日に、経済産業省が発表したJIS規格「リスクマネジメントシステム構築のための指針」である。それまで、通産省の下で「危機管理システム構築のための指針」という名前で進められたプロジェクトだった。
これによって「リスクマネジメント」と「危機管理」が違うということも明確になった。従来の危機管理では企業は守れないことがはっきりしたからである。
それでは「リスクマネジメント」と「危機管理」とはどう違うのだろうか。
それを理解するには、「Risk(リスク)」と「Crisis(危機)」の違いを知っておく必要がある。
危機というのは、既に発生した事態を指している。これに対して、リスクはいまだ発生していない危険を指す。ここから、「危機管理」と「リクスマネジメント」の違いが見えてくるだろう。
つまり「危機管理」というのは、既に起きた事故や事件に対して、そこから受けるダメージをなるべく減らそうという発想である。だから、大災害や大事故の直後に設置されるのは、「危機管理室」や「危機管理体制」などと呼ばれるわけだ。
これに対して「リスクマネジメント」は、これから起きるかもしれない危険に対して、事前に対応しておこうという行動である。
引用:「リスクマネジメント」と「危機管理」は、ここが違う / SAFETY JAPAN [浦嶋繁樹氏] / 日経BP社
リスクマネジメントとは
リスクを組織的に管理(マネジメント)し、損失などの回避または低減をはかるプロセスのことです。
リスクマネジメントは、主にリスクアセスメントとリスク対応とから成ります。
さらに、リスクアセスメントは、リスク特定、リスク分析、リスク評価から成ります。
リスクマネジメントは、各種の危険による不測の損害を最小の費用で効果的に処理するための経営管理手法です。
また、従来の「危機管理」が発生した危機に対しての対応であるが、
「リスクマネジメント」は未来に目を向けて、もしかすると発生するかもしれない事象に対しての対応である。
身近な例を出すと、
風邪を引いた後に、病院へ行ったり、薬局で風邪薬を購入したりと対応するのは「危機管理」
最近忙しく体力が弱っているから風邪を引くかもしれないなと、栄養ドリンクを飲んだり、いつも以上に睡眠を取ったり、風邪を引いた時の為に風邪薬を買っておくことが「リスクマネジメント」
である。
PMBOKのリスクマネジメント
プロジェクトマネジメントの知識体系ガイドであるPMBOKには、
「リスクとは、それが発生すれば少なくともスコープ、スケジュール、コスト、品質といったプロジェクト目標に影響を与える不確実な事象・状態」とあります。
必ず発生するもの、すでに発生してしまったものはリスクではなく、これらは問題や課題として対応していくとされており、PMBOKにおいても未来の不確定な事象に対しての対応だということが分かります。
また、PMBOKではリスクは、マイナスに影響する『脅威』のみでなく、プラスに影響する『好機』も対象とされております。
リスクを特定し、評価し、対応計画を立てて、脅威は減らし(無くし)、好機は有効活用していく為の取り組みとなります。
PMBOKではリスクマネジメントを以下の手順で実施すべきとされています。
- リスクマネジメント計画
スコープ・ベースラインから成果物を生み出すための活動に落とし込みます - リスク特定
リスクを洗い出し「リスク登録簿」に記載します - 定性的リスク分析
発生確率と影響より、リスク管理の優先度を決めます - 定量的リスク分析
リスク顕在化時の影響を金額など数値化します - リスク対応計画
それぞれのリスクに対して、「回避」「転嫁」「軽減」「受容」の戦略で対応策を立てます - リスクコントロール
リスク事象が発生していないか、新たなリスクが発生していないか監視し、変化があった場合は対応策を検討します
引用:PMBOK®ガイド 第5版紹介シリーズ 第9回 リスク・マネジメント|トピックス|一般社団法人 PMI日本支部
PMとして実施すべきリスクマネジメントとは
PMI JAPAN CHAPTERのサイトにPMIとして実施すべきリスクマネジメントの概略が分かりやすく記載されていましたので、ご紹介します。
PMBOKの詳細の理解が必要な箇所もありますが、
数日後、数ヶ月後の未来を具体的に想像することで気が付けるリスク(既知の未来)を洗い出し、評価し、対応計画を立て、実施していく様子がより具体的にイメージできるかと思います。
あなたは、新システム開発プロジェクトで要件定義フェーズが終了したあとの、設計、開発・実装、テスト・フェーズのプランニングから担当することになりました。
要件定義フェーズはコンサルティング会社が行っており、一見、要件定義書は完成しているようです。ただ、過去の経験では、この会社が要件定義を行ったプロジェクトには、要件の不備から問題を抱えたプロジェクトが多々ありました。
PMに任命されたあなたは、リスク・マネジメントの観点からどのような対応をとればいいのか、考えてみましょう。まず、どのようなリスクがあるか考えます。
リスクを考えるときには、プロジェクト・メンバーだけでなく部門や会社の有識者を入れて、プロジェクトを進めていくときのプロセスをイメージし、契約、環境、リソース、技術、外部、マネジメントの観点で、気をつけなくてはいけないことは何か、もし、こうなったらどうなるだろう、と進めていきます。その際に、PMBOK®ガイド 第5版対応 テンプレート集のリスク・チェックシートを参考にしてください。たとえば、スコープの記述が曖昧であるとか、成果物の受け入れ基準が明確でないケースがあります。このままプロジェクトを進めると、要件が雪だるま式に増え続け、当初予定していたコストやスケジュールで終わらなくなる可能性があります。また、無理矢理計画していたスケジュールで終わらせようとするために、品質の劣化を招く可能性があります。
このリスクの対応策は、要件定義書の見直しを行い、スコープを明確にすること、成果物の受け入れ基準を明確にすることです。そのためにはWBSに見直しのためのワークを作成し、コストとスケジュールを確保することで、リスクの軽減を図ります。ただし、他のプロジェクトやプログラムの関係で、十分な見直し時間がとれないケースも多々あります。そのときは、リスクが顕在化したときのために、コンティンジェンシー予備費を計上します。
また、要件として新しい技術を使用することもあるでしょう。そのときは、その新しい技術は、プロジェクトにとって本当に必要な技術なのか考えましょう。他に使用できる安定した技術があればそちらに変更することで、リスクを回避することができます。
しかし、どうしても必要な技術であれば採用せざるを得ません。そのときは、その技術に精通したベンダーに該当部分の作業を委託することで、そのベンダーにリスクを転嫁できます。
正しい対応策をとるためには、リスクを明確にし、リスクの発生頻度、発生したときの影響度を分析して優先度の高いものから対応策を検討し、計画しておく必要があります。これらのリスク・マネジメントを、正しい時期・正しい方法で行わなかった場合、プロジェクトの進行に伴って面白いようにリスクが顕在化し、都度、対応策を検討しスケジュールの変更、要員計画の変更、プロジェクト・オーナーへの説明に追われ、本来実施すべきプロジェクトマネジメント活動が手薄になり、新たなリスクの顕在化や問題の発生となりかねません。
プロジェクトの計画段階で、リスクの特定、分析、対応計画の策定を終えた後は、リスク・コントロールとして、定期的にリスクの見直しを行い、リスクの再査定や新たなリスクの有無を確認し、変更があれば、対応策の検討・策定を行います。
事前にどのようなリスクが発生するか、発生したらどのような影響があるのか、そのときどのように対応すればいいか、ということを検討しておけば、いざというときに慌てなくて済みますね。
備えあれば憂いなしです。
リスク対応戦略 PMBOK®ガイド 第5版対応 テンプレート集、11131RiskManagementPlanV5R1.doc より
(注: テンプレート集は支部会員専用ページでダウンロードいただける資料です)
引用:PMBOK®ガイド 第5版紹介シリーズ 第9回 リスク・マネジメント|トピックス|一般社団法人 PMI日本支部
流れはなんとなく分かったけど、実際、どうやればいいの?という方の為に、
これから、「リスク特定」と「リスク対応計画」について、より詳細にご説明いたします。
リスク特定について
リスクを洗い出し、見定め、特性をリスク登録簿として文書化する作業を行います。
すべてのプロジェクト関係者がリスク特定に参加することが望ましいです。
※リスク特定は繰り返し実行するプロセスとなります。
用意するもの(インプット)
・リスクマネジメントの予算
・リスクマネジメントのスケジュール
・プロジェクトのタスク(アクティビティ)のコスト見積り
・プロジェクトのタスク(アクティビティ)の所要期間見積り
・プロジェクトのスコープ
・ステークホルダー情報
・プロジェクトのコスト計画
・プロジェクトのスケジュール計画
・プロジェクト進捗状況資料
・社内の他プロジェクトでのリスク関連情報
・社内外で公開されているチェックリストなどノウハウ
手法(ツールと技法)
・各種文書のレビュー
・ブレーンストーミングやデルファイ法を用いた情報収集
・チェックリストを用いた分析
・プロジェクトの前提条件の分析
・特性要因図やフローチャートなど図解を用いた分析
・SWOT分析
・専門家への相談
ゴール(アウトプット)
以下のようにプロジェクトにおけるリスクを洗い出し、リスク登録簿として管理する。
※一度作成したら完了ではなく、随時、更新を行っていく。
引用:https://labs.opentone.co.jp/?p=3591
リスク対応計画について
リスク登録簿を元に定性的・定量的リスク分析を行い、リスクの発生確率、影響度、重要度を評価した後に、リスク対応計画を実施します。
リスク特定のみで満足するのではなく、
しっかりと対応計画まで立てることが大事になります。
用意するもの(インプット)
・リスク登録簿
・リスク対応への方針(予算、スケジュール)
手法(ツールと技法)
・脅威(マイナスのリスク)に対する戦略
・好機(プラスのリスク)に対する戦略
・専門家の判断
ゴール(アウトプット)
以下のようにリスク登録簿へ対応戦略と具体的な対応策、担当者を明記する。
※一度作成したら完了ではなく、随時、更新を行っていく。
引用:https://www.kensetsu-plaza.com/kiji/post/3951
最後に
冒頭にも記載しましたが、リスクマネジメントとは、既知の未来を予想し、発生し得る脅威や好機に対して、対応計画をを立ててマネジメントするものです。
発生してから対応方法を考えていては、時間もコストも必要以上にかかってしまいます。
事前にリスクを洗い出し、対応計画を立てることが非常に重要となります。
企業の経営においても、プロジェクトマネジメントにおいても、リスクマネジメントを制することで、成功確率を少しでも上げられるのではないでしょうか?