プロジェクト管理におけるリスクマネジメント
2019/08/23
プロジェクトマネージメント
プロジェクトには様々なリスクが付き物です。すべてのリスクを予測し、万全に対応することは不可能ですし、すべてのリスクをゼロにすることもまた不可能です。しかしながら、リスクがあることを考慮せずにプロジェクトを進めてしまうと、ビジネスとして失敗を招くことになるかもしれません。プロジェクト管理者がプロジェクトにおけるリスクをどのように想定し、対処するか。これを指してリスクマネジメントと呼び、プロジェクト管理では大変重要なポイントとなります。
世界的に利用されているプロジェクト管理のガイド「PMBOK(ピンボック)」には10のマネジメント領域と5つのプロセスが定義されています。10のマネジメント領域は以下のように定められており、リスクマネジメントはこのうちの1個の領域として重く位置付けられています。
1. 統合マネジメント
2. スコープマネジメント
3. スケジュールマネジメント
4. コストマネジメント
5. 品質マネジメント
6. 資源マネジメント
7. コミュニケーションマネジメント
8. リスクマネジメント
9. 調達マネジメント
10. ステークホルダーマネジメント
今回はPMBOKガイドに定められているリスクマネジメントについて解説していきます。
プロジェクト管理におけるリスクマネジメントとは
PMBOKガイドでは、プロジェクト管理におけるリスクマネジメントを以下のように定義しています。
「プロジェクトに関するリスクマネジメントの計画、特定、分析、対応の計画、対応策の実行、およびリスクの監視を遂行するプロセス」
そして、プロジェクトが抱えるリスクは概ね以下の2種類に分けられます。
個別リスク
発生が不確実な事象、または状態のことです。発生した場合、1つ以上のプロジェクト目標にプラスあるいはマイナスの影響を及ぼします。
全体リスク
プロジェクト全体に及ぼす不確実性の影響のこと。個別リスクを含む不確実性のすべての要因から発生し、ステークホルダーはプロジェクト成果へのプラスとマイナス、両方のバラツキに影響される。
上述した分類から察することができますが、プロジェクトにおけるリスクとはすなわちプロジェクトに関する事象の不確実性を意味します。プロジェクト管理者がどれほど綿密な計画を練ったとしても、計画にそぐわない事象は発生します。また、計画の時点では想定できない事象もまたリスクのひとつです。プロジェクト管理者がリスクマネジメントへあたる際、リスクとなる不確実性を排除するのではなく、コントロールすることが重要です。
プロジェクト管理におけるリスクマネジメントの目標は、プロジェクトに対してプラスとなる事象の生起確率と影響度を増大させ、逆にマイナスとなる事象の生起確率と影響を減少させることです。
忘れがちですが、リスクとなりうる1つの事象にはプラスの面とマイナスの面があります。例えば原価削減のため材料の仕入れ先を変更する、という事象を例に挙げてみましょう。仕入れ先の変更により原材料価格が安くなることはプラスの要素ですが、原材料の品質が以前より劣る可能性はマイナスの要素と言えるでしょう。ある事象がプロジェクトに対する脅威と捉えるならば、マイナスであると判断して対策を講じます。一方、リスクを好機として捉えるならばプラスになるよう対策を講じます。
リスクマネジメントの7つのプロセス
PMBOKガイドではプロジェクト管理におけるリスクマネジメントのプロセスを7種類に分類しています。
それぞれのプロセスにはインプット、ツールと技法、アウトプットという3つの段階があります。インプットはプロセスを実行するに先立って必要な文書や情報、ツールと技法はプロセスを実行する具体的な手段、アウトプットはプロセスの実行によって得られた新たな文書や情報のことです。
ここではそれぞれのプロセスについて、概要を紹介します。
計画プロセス群
1. リスクマネジメントの計画
計画はリスクマネジメントの第一歩です。リスクに関するプロセスをどのように進めるか定義し、リスクを洗い出すための分析ツールを決め、リスクマネジメント計画書を作成します。プロジェクトが構想された時点で開始され、プロジェクトの想起に終結させるべきプロセスですが、プロジェクトは常に状況が変化するため、プロジェクト全体の後半部分において見直す必要があります。
なお、リスクマネジメントを計画する際、WBS(Work Breakdown Structure)に似たRBS(Risk Breakdown Structure)を作成することもあります。RBSとは事前に想定しうるリスクのカテゴリを区分したものです。次のプロセスでリスクを探索するために、あるいは特定されたリスクを分類する際に有用です。
2. リスクの特定
個別リスクと全体リスク、両方の洗い出しを行います。基本的に、リスクの洗い出しには関係者が全員参加することが求められます。これにより「リスク登録簿」というリスクのリストを作成します。個別のリスクを記述する際は書式を統一し、各リスクが曖昧さを残さず明確に理解されることが必要です。
また、個別リスクには責任者であるリスクオーナーを指名します。リスクオーナーはプロジェクト管理者とは限りません。また、プロジェクトが進行するにつれて新たな個別リスクが発生するため、リスクの特定はプロジェクトが進行している最中は反復して行われます。
リスクを特定する際、計画において策定したRBSと共に、SWOT分析を用いることもあります。SWOT分析とは強み(Strength)、弱み(Weakness)、好機(Opportunity)、脅威(Threats)の観点からプロジェクトを検討し、それぞれのケースに分けて対応策を講じる手段です。
3. リスクの定性的分析
洗い出したリスク項目の発生確率や影響度を分析し、緊急度を加味して対応のための優先順位を付けます。優先順位はプロジェクトチームとステークホルダーによる主観的なリスク認識に基づくため「定性的分析」と呼ばれます。主観による偏りを排除するために、プロジェクト管理者は主要なステークホルダーがリスクへどのような態度を取るのか特定し、マネジメントする必要があります。
4. リスクの定量的分析
個別のリスクとプロジェクト目標全体における不確実性要因が複合した場合の影響を数量的に分析します。具体的にはシミュレーションなどにより、プロジェクト全体に及ぶリスクの影響度を数値化します。定量的分析には高度な技術を要するため、分析を専門家に依頼するか、あるいは実施しないということもありえます。
例えば大規模なプロジェクトにおいて損失が発生するとその額が大きくなるため、定量的分析を行った方が良いでしょう。逆に小規模なプロジェクトであれば実施するコストとリソースを捻出できない場合がほとんどでしょう。
5. リスク対応の計画
プロジェクトの全体リスクと個別リスクへ対処するために、選択肢を策定の上、戦略を選択し、対応処置に対する合意を形成します。具体的には、必要に応じてリソースを配分し、その内容をプロジェクト文書とプロジェクトマネジメント計画書へ記載します。例えば、優先順位の高いリスクに対しては相応の対策が必要になりますから、リソースを多く割く必要があります。
実行プロセス群
6. リスク対応策の実行
実行のプロセスでは、リスク対応の計画によって合意が得られた内容を実行します。よくある問題は、リスクマネジメントの「計画プロセス群」においてリスクの洗い出しや対応の計画を練ったにもかかわらず、リスク対応策が実行されない、ということがあります。簡単に言うと「計画しただけで実行しなかった」ということです。リスクの特定プロセスにおいて指名されたリスクオーナーが対応策の実行に必要な工数を掛けた場合のみ、リスクマネジメントが適切に機能していると言えます。
また、リスク対応策はタイムリーに実施される必要があります。成すべき時に事を起こさないでいることは、リスク対応策が実行されていないに等しい状態です。
監視・コントロールプロセス群
7. リスクの監視
対応したリスクや受容したリスクを追跡します。また、新たなリスクを分析して対応したり、もう発生しないと判断できるリスクを終結して報告書を作成したりします。個別リスクはどのように扱われたのか、全体リスクのレベルがどのように変化したのか、現在のリスクマネジメント手法は効果的か否か、リスクマネジメントの方針と手順は守られているか、コストやスケジュールに猶予があるか否か、といった様々な観点から、プロジェクト管理者はリスクマネジメントの効果を判断します。
リスクはプロジェクトが存続している間は常に発現し続けます。したがって、上述したリスクマネジメントのプロセスは繰り返し実行することになります。プロジェクト管理者はリスクマネジメントが機能しているかどうか定期的にチェックする必要があり、チェックの頻度はプロジェクトマネジメント計画書へ記載されるべき情報です。
事象リスクと非事象リスク
近年ではリスクを分類する際、まず事象リスクと非事象リスクに分けるという考え方が採用されています。
事象リスクとは、あるイベントによって発生するリスクのことです。例えば「主要な納入者がプロジェクトの期間中に廃業してしまった」、「設計が完了した後に顧客からの要求が変更された」といった事態が挙げられます。プロジェクト管理者が変更になる、という事態も考えられるでしょう。
非事象リスクはさらに、変動リスクと曖昧さリスクの二つに分けられます。変動リスクとは、計画された事象、活動、決定における不確実性に由来するリスクです。事前の対応として、確率分布によるバラツキの範囲でモンテカルロ法(乱数を用いた試行を繰り返すことにより近似解を求める手法)を利用し、起こりうる結果の拡大を抑えることができます。
曖昧さリスクとは、将来起こるかもしれない、という不確実性に由来するリスクです。例えばステークホルダーの知識や技術が不完全だった場合、プロジェクトの目的達成能力に影響を及ぼす場合があります。その場合は知識や技術の習得にコストをかける必要があり、これも事前に予備費として計上しておくべきでしょう。
突発リスクへの対応
すべてのリスクを事前に予測することはできません。発現した後でなければ認識できないリスクを「未知の未知」と呼びます。これに対応するなら、先述した曖昧さリスクは「既知の未知」と言えるでしょう。
未知の未知に対しては具体的な対応策を講じておくこともできないため、突発リスクへの対応はプロジェクトの回復力にかかっています。回復力はレジリエンスとも呼ばれます。例えば自然災害を予見することは困難ですが、自然災害が発生した場合にプロジェクトが回復力を備え、自然災害のダメージから復帰できる状態であればリスクへ対応できていると言えます。
統合的リスクマネジメント
近年では組織全体にまたがる統合的なリスクマネジメントの必要性も高まっています。個々のプロジェクト管理者が対応するリスクには、多くの場合共通点が存在します。そのようなリスクへの対処は、より上位のポートフォリオ、プログラム、プロジェクト間の整合性・一貫性などによって効率的かつ効果的なリスクマネジメントを実施することができます。
プロジェクト管理におけるリスクマネジメントのまとめ
冒頭に述べたように、プロジェクトには必ずリスクが伴います。そしてリスクとはプロジェクトにおける不確実性のことです。リスクマネジメントとは、すべてのリスクをゼロにするべく試みることではありません。幾つかの絶対に発生してはいけないリスクについてはゼロにするべく計画を立てることはできますが、すべてのリスクをゼロにすることはコスト面からも実務面からも現実的ではないのです。
また、事前にせよ事後にせよ、リスクへの対処にはコストが必要となります。コストをかけるということは投資するということですから、リスクへの対処事態がリスクになりかねません。これを二次リスクと呼びますが、この影響も必ず許容できる範囲に収めなければいけません。従ってリスクには優先順位を付け、順位の高いリスクへ重点を置いて対処する必要があります。時には軽微なリスクであれば受け容れる、という判断も必要となるでしょう。
更に注意しておきたいこととして、リスクマネジメントは専門家や肩書きといった特性に左右されやすいという特徴があります。
本来は広範な視野をもって平等に意見を集めるべきところ、専門家の強い意見や肩書きによって「思い込み」という偏りが生まれがちです。そうなるとリスクへの適切な対応が困難になるため、プロジェクト管理者はできるだけ全員が参加でき、公平なコミュニケーションができる場を形成する役割をも担うことになります。
不確実性の強いリスクについて、計画を通し、適切にコントロールすることでマイナスの影響を最小限に留め、プラスの影響を最大限に得られるように調整することがリスクマネジメントの目的になることを常に念頭に置いておきましょう。
