リスク分析について
リスクとは
リスク(Risk)とは
リスクとは、現在は顕在化していないが、発生すればプロジェクトの目標に影響を与える不確実な事象のことです。
プロジェクトマネジメント分野におけるリスクとは、マイナス要因やネガティブな可能性だけでなく、計画より実態が外れる事象全般のことを指します。
例えば、プロジェクトにとってプラスに外れる可能性があることを「プラスのリスク」といいます。
脅威と好機
脅威とは、プロジェクトにマイナスの影響を及ぼすネガティブリスクを引き起こす要因のことです。
リスクとは損害の可能性であり、脅威はその損害を発生させる要因を意味しています。
好機とは、プロジェクトにプラスの影響を及ぼすポジティブリスクを引き起こす要因のことです。
「好機のリスク」や「投機的リスク」とも呼ばれます。
リスク・トリガー(Risk Trigger)
リスク・トリガーとは、リスクの兆候であり、リスクが発生しそうなことを示す事象または条件のことです。
トリガーとなる事象を見つけ出し、監視したり対策することもリスク対応の一つです。
リスクアセスメント(Risk Assessment)とリスクマネジメントの関係
リスクマネジメントは、PMBOKで定義されている用語であり、プロジェクト計画段階における「リスクの特定」、「リスク分析」、「リスク対応計画」、プロジェクト管理段階における「リスクコントロール」までを含むリスク全般への対応プロセスを意味します。
これに対して、リスクアセスメントはISO規格であり、「リスク特定」、「リスク分析」、「リスク評価」までのプロセスを指し、リスクアセスメントの後でリスク対応を実施ことでリスク全般への対応とします。
つまり、リスクアセスメントとは、リスクマネジメントのプロセスの一部を指している関係です。
ただし、リスクアセスメントという用語は規格毎に意味が異なるため、注意が必要です。
例えば厚生労働省では、リスクアセスメントは特定・見積もり・優先度の設定、措置の決定・結果の記録という一連の手法を指します。
JIS Q 31010:2012(リスクマネジメント−リスクアセスメント技法)ではISOと同じく、特定・分析・評価のプロセスを対象としています。
リスクの特定
リスクブレークダウンストラクチャ(RBS: Risk Breakdown Structure)
RBSとは、リスク源を階層的に表示して、リスクの洗い出しを行う手法です。
リスクとなる要素を分解し、構造化することによって、漏れなくリスク項目を抽出することができます。
なお、RBSは、WBS(Work Breakdown Structure)やOBS(Organization Breakdown Structure)と表記方法も作成方法も同じです。
リスクを特定する手法
| 手法 | 説明 |
|---|---|
| ブレーンストーミング |
組織内の事業や業務に精通したメンバーを招集して懸念されるリスクなどを洗い出す手法です。 さらに、ノミナル・グループ技法なども取り入れることで、リスク特定の網羅率を高めることができます。 |
| リスクチェックリスト |
過去の経験や類似プロジェクトを参考にして事前にチェックシートを用意して、状況が該当するかチェックする手法です。 一般的なリスクを特定するためのテンプレートとして活用することができます。 |
| アンケート(インタビュー) |
組織内の関連部門などにアンケートを実施し、その結果からリスクの洗い出しを行う手法です。 包括的なリスクの洗い出しに有効な手法です。 |
| デルファイ法(Delphi method) |
デルファイ法とは、複数の専門家に対して匿名性のあるアンケート調査を複数回に渡って行うことで、意見を集約させていく分析手法です。 専門家からの知見を集約することで、真に対応すべきリスクを明らかにできます。 |
| SWOT分析 |
SWOT分析とは、Strength(強み)、Weakness(弱み)、Opportunity(機会)、Threat(脅威)の4要素から分析を行う手法です。 元々は経営戦略の手法ですが、リスク特定においても有効な手法です。 |
リスク登録簿(リスク一覧表、リスク管理表、Risk register)
リスク登録簿とは、特定したリスクの一覧表のことです。
特定したリスクについて、リスク事象、原因、発生確率、影響度、優先度(スコア)などを一覧形式で記述します。
リスク登録簿は、記入された内容をもとに、対処すべきリスクの優先順位や対応方法を検討するために用います。
そのため、登録簿には既に発生したことを記入するのではなく、これから発生する可能性がある事項を記入する点が特徴です。
(必ず確定事項を記入できるわけではないので、概算や推定を許容します。)
なお、特に決まったフォーマットはないため、Excelやスプレッドシートを用いて登録簿とするケースが多いです。
リスクの定性的分析
リスクの定性的分析とは
リスクの定性的分析とは、特定したリスクの候補に対して、リスクの発生確率と影響度、特性や性質などを分析・査定することです。
分析結果から、リスク対応計画の優先順位を設定して、リスク登録簿を更新します。
なお、定性的分析とは、ものごとの性質や特性など、量や数では測りがたい内容を分析することです。
定性的分析による結果は、主観的な要素が強く、一般化が難しいため取り扱いに注意が必要です。
発生確率・影響度マトリックス(Risk probability and impact matrix)
発生確率・影響度マトリックスとは、リスクの発生確率とリスクが発生した場合の影響度を視覚化した図表です。
リスクの発生確率と影響度の度合いをそれぞれ「高/中/低」などの定性的な単位、もしくは「0.1~0.9」という尺度で表し、それらの組合せで表現されるマトリクス上に各リスクを分類してリスクレベルを判定します。
リスク管理マトリックス、リスクマネジメントマトリックスとも呼ばれます。
リスクの定量的分析
リスクの定量的分析とは
リスクの定量的分析とは、特定したリスクがプロジェクト目標全体に与える影響を数量的に分析することです。
プロジェクトの個別の特定した個別リスクと、プロジェクト目標全体における他の不確実性要因が複合した影響を数量的に分析することで、リスクの等級付けを設定します。
言い換えれば、定量的分析はそのコストや被害額などを算定し、リスクに対して数値による等級付けを設定するプロセスです。
感度分析(Sensitivity analysis)
感度分析とは、ある要素が変動したとき、連動して動く別の要素がどのように変化するかを見る分析手法です。
分析対象の要素以外の値をベースラインに固定した上で、分析対象の要素の値を変化させたときに、リスクがどのように変動するのかを観察します。
これにより、どのリスクがプロジェクト目標にもっとも影響を与える可能性があるかを明らかにします。
感度分析の結果を可視化したものが「トルネード図」となります。
(トルネード図という名称は、見た目の通りに、竜巻のような形のグラフとなるためです)
トルネードの幅が大きいものはリスクの影響度が大きいので、重点的に対応していく必要があります。
期待金額価値分析(EMV分析:Expected Monetary Values)
期待金額価値分析(EMV分析)とは、不確実性を好機と脅威に分け、好機を正の数値、脅威を負の数値で表す手法です。
将来の不確実なシナリオに対して、得られる価値と確率の想定値から現在選択すべき方針を統計的に判断します。
期待金額(期待値) = リスク発生時の影響金額 × リスク事象の発生確率
デシジョンツリー分析(Decision tree analysis)
デシジョンツリー分析は、複数の選択肢がある中で、期待金額価値(EMV)を比較しながら最良の選択をするための意思決定手法です。
意思決定の各段階の選択肢を樹木構造の図で示し、最適な結果を得るための経路を分析します。
下図において、ツールAのEMVは36万円( ((200 - 120) × 0.60) + ((90 - 120) × 0.40) )です。
ツールBのEMVも36万円( ((120 - 60) × 0.60) + ((60 - 60) × 0.40) )なので、両案の期待値がちょうど釣り合っている状態です。
例えば、ツールAの効果額が200万よりも大きくなった場合には、ツールAのほうが期待値が高くなります。
リスク対応計画
リスク登録簿の更新
リスク対応計画では、リスク発生時の対応戦略をリスク登録簿に追記していきます。
リスク・トリガーが確認された場合の具体的な処対応置やコンティジェンシー計画についても記載します。
脅威(マイナスのリスク)への対応戦略
| 分類 | 説明 |
|---|---|
| リスク移転(転嫁) |
移転とは、リスクの影響を分散すること、または第三者に移転することです。 (例)大規模な災害によるシステムの長時間停止に備えて、保険契約に加入する。 |
| リスク回避 |
回避とは、リスクの原因を除去することです。 (例)水害を避けるために安全な高台にコンピュータセンターを移設する。 |
| リスク低減(軽減) |
低減とは、損失の発生率を低下させることです。 (例)データセンタを関東と関西の2か所に設置して、緊急時に代替システムを稼働させる体制。 (例)ノートPCの紛失に備えて、指紋認証の機能とPC内に保存するデータの暗号化ソフトを取り入れる。 |
| リスク保有(受容) |
保有とは、リスクの発生する可能性や被害が小さいため、対策をしないことです。 (例)リスクが顕在化しても、その影響が小さいと想定されるので、損害の負担を受容する。 |
| エスカレーション |
エスカレーションとは、現場だけでは対応不可能であると判断した場合に、上位の管理者に対応を仰ぐことです。 プロジェクトの上位担当者だけでなく、場合によってはスポンサーやオーナーへの協力を求めることもあります。 |
好機(プラスのリスク)への対応戦略
| 分類 | 説明 |
|---|---|
| リスク活用 |
活用とは、好機が確実に到来するように不確実性を取り除いたり、好機による利益をより大きく捉えようと行動を起こす戦略です。 (例)プロジェクトの完成が確実になるように最も優秀な人材を割り当てる。 |
| リスク強化 |
強化とは、リスク要因を特定し、それを強化することによって発生確率を高める戦略です。 (例) アクティビティを予定よりも早く終了させるために、計画よりも多くの資源を投入する。 |
| リスク共有 |
共有とは、好機を第三者にも移転して、ベネフィットの一部を共有すること。 (例)生産性の高い開発ツールや方法論を他プロジェクトに展開する。 |
| リスク保有(受容) |
好機においても、保有(受容)という戦略は採用されます。 この場合の受容とは、好機が実現したときに積極的な利用はしないが、その利益の享受を受け入れるという姿勢です。 |
| エスカレーション |
エスカレーションとは、現場だけでは対応不可能であると判断した場合に、上位の管理者に対応を仰ぐことです。 プロジェクトの上位担当者だけでなく、場合によってはスポンサーやオーナーへの協力を求めることもあります。 |
関連ページ
- プロジェクトマネジメント
- プロジェクトスコープ記述書の作成
- WBS(Work Breakdown Structure)の作成
- プロジェクト資源マネジメントの計画
- スケジュールの作成
- コスト見積もり
- リスク分析
- 品質マネジメント計画
- プロジェクトマネジメント計画書の作成