第8回(2002.09.05) 
リスクマネジメント
 

リスクのセミナー紹介


◆リスクマネジメントとは
 プロジェクトにおけるリスクのマネジメントとは何か?それは、プロジェクトの目的の達成が不可能にならないように、さまざまなリスクを管理することであるといえよう。
 リスクマネジメントの目的は、純粋リスクを排除、軽減、制御することと、投機的リスクから生じる恩恵を増大し、損失を回避することである。
 リスクマネジメントの対象は、スコープ、コスト、スケジュール、品質、組織、コミュニケーションなど、およそプロジェクトで問題になる要素すべてである。それぞれに対してリスクマネジメントでは、
(1)リスク要因の特定
(2)リスクの定量的分析
(3)リスク評価
(4)リスク戦略の立案
というステップでマネジメントを行っていく。


図:リスクマネジメントフロー


◆リスクの特定
 リスクマネジメントの中で最も難しいのは、リスクの特定(分析)である。リスクの特定の方法には決定的な方法はない。まず、ブレーンストーミング法と呼ばれる方法のようにプロジェクトメンバー全員で意見を出し合う方法、デルファイ法と呼ばれる方法のように何人もの専門家が独立して予測を行い、それを相互参照して再び予測を行い、意見が収束させていくといった方法がある。これらの方法は経験を集約することによりリスクを特定しようという方法である。これに対して定量的に考えていく方法もある。よく使われるのは、ある変数(例えば作業量)が変化すると、他(例えばコスト)にどのような影響を与えるかを分析するセンシティビティ分析である。また、センシティビティに確率を加えた確率分析といった方法もある。さらに、乱数を使った発生確率のシミュレーションを行うモンテカルロ法、ツリーで確率伝播を計算していくデシジョンツリーなどの方法もある。さらに、リスクは主観性のあるものだとして、リスクに対する意思決定者の態度を考慮してリスクを分析するユーティリティ理論といった方法もある。
 リスク戦略とは戦略ノートNo.11で説明したようなものを指している。

◆リスクアセスメント
 リスク要因の特定から、リスク評価までをリスクアセスメントと呼ぶ。リスクアセスメントをもう少し細かく見ていくと、図:アセスメントのようになる。

図:リスクアセスメント

 ここで注意しなくてはならないことはこの方法では定量的なリスク(ペルリ)の評価を行っているところである。発生確率の推定は過去のデータに基づいて行うことになる。しかし、その推定は単にどの程度の確率で起こったかでは不十分である。もし、ハザードが異なれば同じペルリの発生確率は変わってくるということに注意しなくてはならない。つまり、定量的な評価をするのはよいが、定性的な要因に変化があれば発生確率が変わってくることを配慮しなければ不正確になる。例えば、要因がダウンするというペルリの発生確率を考えた場合、突貫工事並みの作業状況と、1日8時間落ち着いて仕事をしている状況では当然変わってくるだろう。

◆リスクスコアリング
 さて、ここで確率と影響額で結果を表現というステップがある。これについて説明しておこう。
 最も単純な方法は期待値を求める方法である。つまり、
  期待値=ペルリの発生確率×ペルリの影響額
として、期待値を求める。この期待値の大きさによってリスクの重要性を判断することになる。プロジェクトマネジメントの中での期待値法でほぼことは足りるだろう
 もう少し複雑な方法でリスクスコアリングという方法もある。一般的なリスクマネジメントでは最もよく用いられる方法である。基本的な考え方は期待値法と同じであるが、3変数でリスクの重要さを表現する。被害程度と(C)、ハザードにさらされる頻度(E)、そしてハザードがペルリに結びつく確率(P)の3つの変数を使い、重要性をリスクスコア(R)として
  R=C×E×P
として表現する。各変数はランクで表現する。例えば5ランクだと以下のように設定する。
(1)影響
 1=無視できる影響 2=わずかな影響 3=かなりの影響 4=甚大な影響
 5=致命的な影響

(2)ハザードにさらされる頻度
 1=プロジェクト中に1度程度 2=プロジェクト中に2〜3度
 3=ワークパッケージで1度程度 4=ワークパッケージで2〜3度
 5=アクティビティで1度程度

(3)確率
 1=10プロジェクトで1度くらい 2=5プロジェクトで1度くらい
 3=1プロジェクトで1度くらい 4=1フェーズで
 5=1フェーズで2〜3回

 これで、スコアリングをして、評価基準を作って結果を評価する。例えば、Rが75(5**3)なら最優先課題で計画変更をする。27(3**3)から64(4**3)なら予備費を確保し、その計画で実施。27未満は予備費を取らないといった風に考えればよい。

◆評価
 評価にあたってはポートフォリオ化をする方法が一般的である。最も有名なポートフォリオはスティーブン・フィンクが考案した方法である。
 フィンクの方法は図:フィンクの方法のようにリスクの危険衝撃度(影響度)と危険発生確率とのポートフォリオで、グリーン・ゾーンは安全、レッド・ゾーンは危険であることを示している。そして、発生確率が低くて影響度の高い領域を要注意領域であるとし、逆に発生頻度は高いが影響度の低い領域をグリーンはグレイゾーンということでケースバイケースであると考えている。プロジェクトの性格によっても異なるが、仕様が変わるといったスコープ変更のリスクはイエローゾーンのリスクであることが多い。
 フィンクの方法そのものは独自の質問により危険衝撃度の算出方法を行うものであるが、ポートフォリオとして考えれば、影響度と発生確率のマトリクスを作れば、このような4つのプレーンに分かれることは一般的であり、通常、リスク評価をするときには、フィンクの提案したポートフォリオを書いてみることが多い。

スティーブン・フィンク:「クライシス・マネジメント」を参考に作成

 フィンクの方法そのものは独自の質問により危険衝撃度の算出方法を行うものであるが、ポートフォリオとして考えれば、影響度と発生確率のマトリクスを作れば、このような4つのプレーンに分かれることは一般的であり、通常、リスク評価をするときには、フィンクの提案したポートフォリオを書いてみることが多い。
 最後に実際にそれぞれのゾーンでどのような対応が必要なのかを考えておこう。まず、計画時点でレッドゾーンのリスクが存在する場合であるが、計画修正をし、そのリスクを回避する、あるいは緩和する必要がある。もしできないとすれば、プロジェクトの実施そのものを見直すべきである。イエローゾーンにある場合であるが、これは天災地変の類であるので、一定の考慮をすべきであるが、計画の変更の必要はなく、実施の際に適切な対処ができるようにしておく。プロジェクトの重要性が高い場合にはコンテンジェンシープランを作っておく必要もある。グレイゾーンにあるリスクは、例えば、ある人の作業が遅くてチームとして納期が遅れてしまうリスクのようなものである。グレーゾーンのリスクはプロジェクトの作業方法の改善で回避するのが望ましい。グレーゾーンのリスクはこの例のように計画に依存するリスクというよりは、特に人的要素に依存するリスクがであることが多い。グリーンゾーンは基本的は何もしなくてよい。ただし、リスクの存在はしっかりと認識しておく必要がある。

参考文献:
石井至「図解リスクのしくみ」、東洋経済新報社
スポンサードリンク
読者からのコメント

■本稿に対するご意見,ご感想をお聞かせください.■

は必須入力です
コメント
自由にご記入ください

■氏名またはハンドル名
■会社名または職業
■年齢

  
このコンテンツは「プロジェクトマネージャー養成マガジン」としてメルマガで配信されています.メルマガの登録はこちらからできます.