【マネジメントシリーズ】リスクマネジメント
はじめに
マネジメントシリーズと題しましたが、マネージャーだけではなく、セルフマネジメントを行う多くの社会人エンジニアの方に読んで欲しいです!
今回のテーマはリスクマネジメントで、プロジェクトマネジメント的な分野の話です。
石橋を叩いて渡る?虎穴に入らずんば虎子を得ず?
章題の2つのことわざはいずれもリスクについて言及したものです。
- 石橋を叩いて渡る:リスクがあるならリスクは徹底的になくそう
- 虎穴に入らずんば虎子を得ず:リスクがあっても挑戦しなければ成果もない
もしかすると2つのことわざは対照的に感じられるかもしれません。しかし、リスクをマネジメントしているという点では同じです。
リスクはマネジメントされなければなりません。楽観的だからリスクに目をつむる、悲観的だからリスクに怯えて行動しない、ではなくて、リスクを適切に管理することで仕事の成否を運ではなく、あなたの管理下に取り戻しましょう。
と、その前に
リスクは何らかのアクションを行う(プロジェクトやタスクを遂行する)うえで発生します。なのでまずは、正常系とも言える最も楽観的な計画を考えましょう。
リスクマネジメントはこの後です。
計画を立てるということはゴールを定義することでもあります。是非別の記事「QCD」も参考にしてください。
リスクマネジメントの各ステップ
ではリスクマネジメントの各工程を見て行きましょう
リスクの特定・分析・評価
まずはリスクを洗い出す必要があります(特定)。
次にそのリスクが顕現する(リスクによって被害が出る)確率と、顕現した場合に被る損害について洗い出します(分析)。
最後に分析した損害の発生確率と大きさからリスク自体の危険度を評価します(評価)。
発生確率や損害の大きさは具体的に数値として出すのは難しいので簡略化したものでも大丈夫です。
例えば発生確率 高・中・低、損害の大きさ 大・中・小に分けてマトリックス表を作ります。これをリスクマトリックスと呼んだりします。
リスクマトリックスで検索するといくつかサンプルが見つかるので参考にしてみるのも良いでしょう。(asanaの例)
対策の策定
ここまででリスクの評価が終わりました。次に各リスクに対してどのように対処していくかを決めていくことになります。
対処と言いましたが、必ずしもリスクが顕現しないように発生確率を下げたり、顕現しても損害が大きくならないようにするということではありません。何もせずにリスクをあえて残すという選択肢もあります。しかしこれはリスクマネジメントしたうえでの積極的な放置であって、管理されていない状況とは決して違うことに注意してください。
このようにリスク対策にはいくつかの種類があり、一般的に次の種類があります。
- リスク低減:こちらは一番わかりやすくリスクの発生確率を下げたり損害を抑えたりといった対抗策をとることです。発生確率・損害を完全にゼロには出来るとは限らず、合理的な範囲で対策することになります。
- リスク移転:対価を払ってリスクを外部組織に受け持ってもらうことです。例えば保険なんかはわかりやすいです。クラウドサービスも同様で、自社でインフラや開発体制を維持することには様々なリスクがあるのでクラウドサービスを利用することでクラウドベンダーにリスクを移転しています。
- リスク回避:リスク回避とはリスクが発生しないようにそもそものアクションを取らない、ということです。アクションがなければ成果もないですが、期待値がマイナスなのであればこういった選択もあり得ます。
- リスク保有:これはリスクに対して何も行わない、ということです。リスクの発生確率が小さかったり、損害を十分に受容出来る場合はリスクに対して何も行わないことになります。リスク低減対策の結果としてリスク保有になることもよくあります。
対策の実施
さて、各リスクに対して対策が決定したら対策を実施します。
対策を実施するのはリスク低減・リスク移転に対してのみなので、この対象となったリスクに対してのみ行います。
実際的な対策について個別具体的になるので割愛します。
一例として、プロジェクト納期がN月までだと完了しないリスクがあるので、納期を予め延長する・要員を増やす・機能を削るなどが対策となります。
モニタリング
分析・評価、対策実施したリスクもずっと同じ状態ではありません。時間によって変化しますし、時間と共に明確になることでより正確な評価が出来ることもあります。
その前提でリスクはモニタリングし続けましょう。
最後にまとめ
最後にまとめとなりますが、要点としては以下です。
- リスクはマネジメントされなければなりません
- リスクのマネジメントは特定・分析・評価、対策策定と実施、モニタリングでなされます
- リスク対策は低減・移転・回避・保有の4パターンに分けられます
個人タスクでもチーム・組織としてのタスクでもリスクは潜んでいます。
まずはリスクは管理されるべきという意識づけと、どういったものがリスクとなるかの言語化から始めてみてはいかがでしょうか?
是非他のシリーズも読んでくださいね。
Discussion