リスク

リスクは、組織の営業成績や評判だけでなく、環境、安全、社会的成果にも影響を及ぼします。したがって、リスクを効果的に管理することは企業にとって不確実性に満ちた環境でもパフォーマンスを達成する手助けとなります。

リスク管理とは、(ISO 31000では目的に対する不確かさの影響として定義されている)リスクを識別し、評価し、優先順位を付けることで、不幸な事象の発生確率や影響を最小化、管理、監視、制御する、あるいは好機の実現を最大化することを目的としたものです。脅威は、財政的な不確実さ、法的責任、管理上の問題、事故、自然現象や災害あるいは不確実で予測不能な原因による事象から発生します。

プロジェクトリスク管理は、プロジェクトの計画段階からプロジェクトが完了し、運営に移行するまでの継続的なプロセスです。

リスク管理の主要なステップは、次の通りです。

image2.png

リスクの識別

リスクの識別とは、プロジェクトに好ましいあるいは好ましくない影響を与えるすべての潜在的なリスクの識別とリストアップのプロセスです。

注記

Sciformaでは、好ましくない影響をリスクとします。

リスクとは?

リスクとは、発生すると目的の達成に影響を与える不確かな事象あるいは一連の事象をさします。

リスクは、内部リスク(組織内で発生する事象によるリスク)と外部リスク(組織外で発生する事象によるリスク)の両方の影響で発生します。

  • 内部リスクは、次のような要因(影響を受ける可能性がある内因性変数)の結果です。

    • 人的要因(人材管理、ストライキ)

    • 技術的要因(最先端技術)

    • 物理的要因(機械の故障、火災、盗難)

    • 経営要因(資金調達手段、コストカット、広告)

  • 外部リスクは、次のような要因(制御できない外因性変数)の結果です。

    • 経済的要因(マーケットリスク、価格競争)

    • 自然要因(洪水、地震)

    • 政治的要因(政府の要請や法規の順守)

識別段階では、これまでのプロジェクトの経験を踏まえ、プロジェクトマネージャはリスクのリストを編集する必要があります。すべてのリスク項目を分析し、優先順位をつけ、監視できるよう、識別されたリスクの最初のリストからリスク登録あるいはログを維持する必要があります。

登録する典型的なリスク情報は、次の通りです。

  • リスクのタイプ

  • 説明

  • コストインパクト

  • 発生確率

  • リスクレベル

  • 可能な対応

  • アクションのオーナー

すべてのリスクを識別したら、リスク軽減策を作成します。

リスク軽減策には、各責任者により識別されたリスクの対応を含める必要があります。合意したリスクに対する対応、責任部署、質的・量的分析の結果、予算および対応期間を明確に定義することが必要です。

リスクの分析と優先順位付け

リスクの分析では、識別されたリスクのそれぞれについて起こりやすさとインパクトを決定し、そのすべてに優先順位を付けます。

分析は、2ステップのアプローチです。

  1. 質的分析 – 各リスクの重要度、発生確率(起こりやすさ)および期間、コスト、品質へのインパクトを決めます。

  2. 量的分析 –期間とコストへのインパクトを金額、日数で評価し、プロジェクトに対するリスクの結果(ペナルティ)を予想します。

これらの値を使ってリスクのランク付けを行い、リスクレベルをベースにリスクを比較し、明示する重要度/発生確率マトリックスでの各リスクのポジションを決定します。

リスクのレベルは、起こりやすさと潜在的な重要度の積です。

このマトリックスには、多くの目的があります。

  1. 意思決定者にすべてのリスクの分かりやすいビジョンを提供すること

  2. リスクの良質なレーティングを提供すること

  3. リスクの発生を防ぎ、インパクトを軽減させるアクションプランの作成に貢献すること

Matrix_-_Dashboards_full_screen_view.png

関連する色は、次の通りです。

発生確率 x 重要度

リスクレベル

Green.png

1、2、3

最小

Light_Green.png

4、6

Yellow.png

5、8、9

Orange.png

10、12、16

Red.png

15、20、25

最大

:リスクの発生確率が“可能”で重要度が“影響小”なら、リスクレベルは 3 (発生確率) x 2 (重要度) = 6 となります。リスクレベルは“低” (image1.png) と判断され、マトリックスにもそのように表示されます。

リスクの軽減

この段階では、プロジェクトマネージャは最高位にランクされたリスクを評価し、特定のリスクコントロールを使ってリスクを軽減する計画を立てます。こういったリスク軽減戦略の目的は、災害や損害が発生する前に既知あるいは認識済みのリスクによる不利な影響を、全面的には排除できないにせよ、弱化あるいは減少させることです。

リスクへの対応策にはさまざまなオプションがあります。

  1. リスク回避 – すべてのリスクを完全に排除することはほとんど不可能ですので、リスク回避戦略はできる限り多くの脅威を避け、損害事象の破壊的な結果やコスト発生を回避することになります。例えば、プロジェクトマネージャはプロジェクト計画を変更することで対応できます。

  2. リスク共有 – 時には、リスクの結果をプロジェクトの参加参加者や事業部門間で共有、転送、配分することがあります。また、ビジネスパートナーなどの第三者とリスクを共有することもあります。リスク共有は通常、契約上の合意として実行されます。

  3. リスク減少 – リスクが企業のプロセスにもたらす影響を減少あるいは軽減できる場合があります。プロジェクト全体の計画やプロセスを調整したり、スコープを縮小することなどがこれに当たります。

  4. リスク受容 – 時によっては、業務上の観点からリスクを冒す価値があると判断し、リスクを維持したまま、その結果に対応しようと決定することもあります。プロジェクトの予測収益が潜在的なリスクのコストを上回る場合に、一定レベルのリスクを許容することはよく見受けられます。

つまりリスク軽減戦略とは、事前に先を見越したアクションを取ることです。リスク軽減は、「備えあれば患いなし」や「転ばぬ先の杖」といったことわざを実行することです。

リスク対応策の実行

リスクの暴露を軽減するためにリスク軽減策を実行したとしても、リスクは常に発生する恐れがあります。したがってプロジェクトマネージャはリスク対応策を定めておき、発生したリスクに対応する必要があります。リスク対応策はクッションの役割を果たし、望ましくない事象によるショックを吸収します。対応策は、充分なトリガーあるいは警告の兆候が判明し、リスクが不可避である場合に実行されます。

リスク軽減策と対応策の主な違い

リスク軽減策

リスク対応策

リスクの発生前に実行する予防措置です。

発生したリスクから回復するために実行する措置です。

軽減策はプランAと考えられます。

対応策はプランBです。

軽減策は予防的です。

対応策は反応的です。

アクションは、リスクが発生したかどうかや、リスクの重要度には関係なく、識別されたリスクに対して前もって計画されます。

アクションは前もって計画されますが、特定の警告サインを監視し、警告サインが出たらアクションを実行します。

識別されたリスクの影響の発生確率を下げます。

発生確率や影響は変りませんが、影響の制御に役立ちます。

リスクの監視と制御

リスク管理の最終段階は、監視と制御です。この段階では、潜在的なリスク追跡体制のセットアップとリスク計画の実装の監督、リスク管理プロセスの効果の評価を行います。プロジェクトのライフサイクル全体にわたって監視と制御を行い、リスク管理プロセス全体の改善に役立てます。リスクは常に進化し、変遷することを忘れないでください。したがって積極的なリスク管理には、レビューが欠かせません。

リスクの監視と制御の目的は、次の通りです。

  • リスク計画を間違いなく実行し、リスク減少効果を評価すること

  • 識別されたリスクを追跡すること

  • 対応策の発動条件を監視すること

  • 残存リスクを監視し、プロジェクト実行中の新たなリスクを識別すること

  • 組織のプロセス資産を更新すること

リスク監視は、次の点を明確にするために行います。

  • リスク対応が計画通りに実装されているか

  • リスク対応策の効果は期待通りか、新しい対応が必要か

  • プロジェクトの想定は、相変わらず有効か

  • リスクへの暴露は当初と変わりないか(傾向分析による)

  • リスクのトリガーが発生したか

  • 正しいポリシーとプロシージャが守られているか

  • 識別していなかった新しいリスクが発生していないか

他のSciformaオブジェクトとの関係

リスクが持つことができる関係は、次の通りです。

Risk_Relationships.png

Transformed_into.png

変換

リスクのワークフローステータスが"クローズ"になった時にこの関係が発生します。リスクが別のオブジェクトになりますので、その変遷を追跡することができます。

リスクは、課題(1-1)、タスク(1-1)に変換できます。

Attached_to.png

添付

リスクを別のオブジェクトに添付し、相互に共有する要素の一部あるいはすべてを関連付けることができます。このコネクションは、自由に作成、削除することができます。

リスクには、添付(1-N)を添付することができます。

LoopGrey

重複添付

リスクがワークフローの"重複"ステータスに達すると、この関係が発生します。重複になったリスクは、別のリスクと親子関係を持つことができます。

コネクトする際、リスクを別のリスク(N-N)に添付することができます。