発生確率・影響度マトリックスとは何か?PMBOKのリスク分析の手法を解説
図1:発生確率・影響度マトリックス
ここからはリスクの定性的分析をする過程での発生確率・影響度マトリックスの作り方を見ていきます。
最終的には図1のような発生確率・影響度マトリックスが完成するようにしていきます。
発生確率・影響度マトリックスを使ったリスクの定性的分析の手順をまとめると、以下のような流れになります。
リスクの洗い出し
発生確率・影響度マトリックスを作成する際は、まずリスクを洗い出していきます。
すでに作成していたリスク登録簿を確認したり、改めて会議で議論したりして、プロジェクトのリスクを洗い出していきます。
リスクの発生確率と影響度の定義
発生確率と影響度を5段階に分ける
プロジェクトのリスクが洗い出せたら、次にリスクの発生確率と影響度の定義をしていきます。
とくに決められたものではありませんが、多くの場合、 発生確率・影響度ともに各5段階 に分けていきます。
例えば図1では発生確率を90%、70%、50%、30%、10%の5段階に区切っていきます。
影響度についても図1では極めて低い、低、中、高、極めて高い、の5段階に分けていきます。
しかし、影響度というのは一般的な指標はなく、その指標を定義していく必要があります。
例えば下の表1のように、「スケジュールが当初の予定より5%~10%の延長を引き起こすならば、影響度中とする」など、影響度の指標を定義していきます。
| 極めて低い (0.05) | 低い (0.1) | 中 (0.2) | 高い (0.4) | 極めて高い (0.8) | |
|---|---|---|---|---|---|
| コスト | コスト増 1%未満 | コスト増 1%~10% | コスト増 10%~20% | コスト増 20%~40% | コスト増 40%以上 |
| スケジュール | 期間延長 1%未満 | 期間延長 1%~5% | 期間延長 5%~10% | 期間延長 10%~20% | 期間延長 20%以上 |
| 品質 | 軽微な品質劣化 | 限定した用途にのみ影響 | 品質低下にスポンサーの承認が必要 | 品質低下をスポンサーが許容しない | プロジェクトの最終成果物は実用に耐えない |
過去の状況や専門家の意見などから定義していく
この リスクの発生確率と影響度の定義が、発生確率・影響度マトリックスを作成する中でもっとも重要な手順 かもしれません。
なぜならリスクの発生確率や影響度はプロジェクトで共通した指標はなく、プロジェクトごとにリスクの発生確率や影響度を定義していかなければならないからです。
先ほどの影響度の定義でみたように、何をもって「影響度が高い」とみるかはなかなかプロジェクト・マネジャーだけでは判断できないところです。
こうした時は組織のプロセス資産(以下、OPA)を使い、過去のリスクの発生状況がノウハウとして蓄積されていないか確認したり、専門家の意見を聞いて発生確率や影響度の定義をしていきます。
発生確率・影響度マトリックスの作成
リスクの発生確率と影響度の定義が終われば、発生確率・影響度マトリックスを作成していきます。
図1のように表組を作成していきますが、縦には発生確率を、横には影響度をとり、その交差する部分にはリスク・スコアと呼ばれる数値をとっていきます [2] 図1では小数点第3位を四捨五入しています 。
リスク・スコアは以下の計算式で算出されます。
リスクの発生確率と影響度の査定
発生確率・影響度マトリックスが完成したら、リスクの発生確率と影響度の査定を行っていきます。
例えば「プロジェクト・メンバーの離脱」というリスクは5段階の発生確率・影響度の中でどこに属しているのかを査定します。
こうした場合もOPAから過去の状況を確認したり、会議や専門家と相談しながら発生確率と影響度を査定していきます。
そして下の表2のように、各リスクとそのリスク・スコアをまとめて一覧化していきます。
| リスク | 発生確率 | 影響度 | リスク・スコア |
|---|---|---|---|
| メンバーの力量・スキル不足 | 中 | 極めて高い | 0.40 |
| 事故・病気によるメンバーの離脱 | 低 | 極めて高い | 0.24 |
| 他のプロジェクトで作成している資料Aの遅延 | 高 | 低 | 0.07 |
リスクに優先順位をつけて対応する
発生確率・影響度マトリックスを作成し、リスクの定性的分析を行ったら、資料にその分析結果をまとめるだけでなく、実際に対策を講じていきます。
大切なのは、すべてのリスクに対して同じように扱うのではなく、リスク・スコアの数値に応じて優先順位を決めて対応することです。
例えばリスク・スコアが0.20より大きい場合は、緊急度の高いリスクとして扱い、リスク対策のための会議を開いたり、改めて専門家に対策を相談していきます。
こうした対策内容を最終的にリスク報告書にまとめ、承認を得るまでがリスクの定性的分析と言えるでしょう。
リスクマネジメントのプロセスを紹介!損失を防ぐための考え方とは
そもそも「リスクマネジメント」とは何でしょうか。
リスクマネジメントを一言でいえば、企業経営において損失を生じうるリスクを把握し、その影響を事前に回避もしくは事後に最小化する対策を講じる一連の管理プロセスのことです。しかし、リスクマネジメントが「リスクヘッジ」や「危機管理」とどこが違うのかと言われると、答えるのはなかなか難しいのではないでしょうか。そこで、リスクマネジメントとは何かをよりはっきりさせるために、これらの違いを考えてみましょう。
リスクヘッジとの違い
リスクヘッジと言えば、株式投資のポートフォリオ管理が代表的です。株式投資のポートフォリオ管理とは、投資の損益が特定銘柄の株価の上下に依存しないよう、さまざまな種類の株式に分散投資をする方法です。つまり、予想されるリスクを許容範囲に収まるよう「低減」させる、リスクマネジメントのひとつと言えるでしょう。
しかし、「低減」させる以外にもリスクをマネジメントする方法は存在します。そもそもリターンに見合わないリスクは「回避」すべきですし、コントロール可能なリスクであれば目標達成のために敢えて「許容」することも重要なリスクマネジメントです。したがって、リスクマネジメントとは経営全体から見てリスクにどのように対処するかを判断する、より大きな概念と捉えることができます。
危機管理との違い
危機管理は英語ではクライシスマネジメントと呼ばれます。クライシスとは既に起きてしまった損失であり、そうした損失を事後的に極小化するのがクライシスマネジメントです。
例えば、SNSでの炎上に対処したり、リコールなどで謝罪を行ったりする状況があります。
一方で、リスクとは将来起きうると予測される損失であり、そうした損失に事前に対応するのがリスクマネジメントです。したがって、リスクマネジメントは損失が起こる前に行う能動的な概念と捉えることができます。
以上のことから、将来発生するリスクに対して、経営としてどのように対処するかについて意思決定を行うことにこそ、リスクマネジメントの本質があることが分かります。
■リスクマネジメントプロセスの順序
では、リスクマネジメントは具体的にどのように行われるのでしょうか。順序としては、「①リスクを発見する」⇒「②リスクを分析する」⇒「③リスクを評価する」⇒「④リスクに対処する」の4つのステップで実施します。それでは、それぞれのステップについて詳しく見ていきましょう。
①リスクを発見(特定)する
はじめにリスクを目に見える形で棚卸します。具体的には、とにかくリスクをたくさん挙げることを目標に、関係者が想定するリスクをブレーンストーミングなどで抽出し、リスク管理シートにリストアップしていきます。この作業はリスク管理部門だけに頼るのではなく、さまざまな部門を参加させて行うと、網羅的にリスクを洗い出すことができます。
リスクにはさまざまな種類があるため注意が必要です。通常業務の中で想起されやすい経済リスク(為替変動など)、財務リスク(株価下落など)、労務リスク(リストラなど)のほかにも、事故・災害リスク(火災など)、訴訟リスク(PL法訴訟など)、政治リスク(制度改正など)、社会リスク(機密漏えいなど)についても多面的に洗い出しましょう。
このステップで重要なのは、まず起きないだろうと無意識に放置されているリスクや、できれば考えたくもないリスクも含めて、すべての想定されるリスクを洗い出すことです。日本では、一般的にリスクを強調することを「後ろ向き」や「大げさ」と感じて躊躇する傾向があります。しかし、リスクはそうした感情とは関係なく現実に存在します。本当は気づいていたのに気付かないふりをしていたでは手遅れになってしまいます。
②リスクを分析する
次に棚卸したリスクの重大さを明らかにします。具体的には、リスクが顕在化した際の「影響の大きさ」と「発生確率」をひとつひとつ特定し、両方を掛け合わせた結果を物差しに、それぞれのリスクがどのくらい重大なものかを比較できるようにします。
「影響の大きさ」や「発生確率」は可能な限り定量化を行います。例えば、不良品によるリコール発生の場合、過去の事例や他社の事例から「影響の大きさ」を推測し、不良品が発生する統計的頻度から「発生確率」を推計できるかもしれません。その際、商品回収による直接的な影響だけでなく、リコール対応による人件費の流出や販売の機会損失など間接的な影響も含めて考えるのがポイントです。
一方で、現実には「影響の大きさ」や「発生確率」を定量的に把握するのが難しい場合も少なくありません。例えば、先のリコール発生の場合、人命に関わる事故の発生や企業としての信頼喪失を金額に換算することはできません。リスク分析においては、こうした定性的な側面も含めて、関係者との議論の中でリスク同士を相対的に比べる必要があります。
③リスクを評価する
リスク分析が終わると、個々のリスク分析の結果を一覧として可視化します。具体的には、「影響の大きさ」をx軸、「発生確率」をy軸にとって、リスク分析の結果に従って個々のリスクをマップ上にプロットしていきます。これにより、影響度が大きく、発生確率も高い重大なリスクがどれかが誰の目にも明らかになります。
ただし、影響度が大きく、発生確率も高い重大なリスクばかりに着目すべきとは限りません。例えば、複数の中程度のリスクに対して早期に手が打てるのであれば、重大なリスクをひとつ防止したのに匹敵する効果をあげられるかもしれません。リスクの重大さだけでなく、対応の順序にも着目することがポイントです。
④リスクに対応する
最後に、優先度が高いと評価されたリスクに対して具体的な対応策を考えていきます。リスクマネジメントとリスクヘッジとの比較の中で紹介したように、リスクへの対応策はひとつではありません。ここでは代表的な対応策として、4つの選択肢を紹介します。
1. 低減:事業のポートフォリオ経営、ジョイントベンチャー化など
2. 移転:保険への加入や証券化などのファイナンス手法の活用など
3. 許容:将来の期待収益を損なわない範囲でリスクを許容
4. 回避:上記のリスク管理ができない場合に事業売却などを実施
このように、リスクマネジメントは経営を支える全社的な仕組みです。将来発生するリスクを能動的に把握し、どのように対処するかについて科学的に意思決定を行うプロセスを定着させるには、根気強いトライ&エラーが求められます。
最後にリスクマネジメント研究で著名なカーネギー・メロン大学が提唱する、企業のリスクマネジメント習熟度の5段階を紹介します。 リスクマネジメントが組織としてどこまで根付いたかの物差しとして、定期的に見直してみることをおすすめします。
① 初期段階:特定個人の経験に依存し、場あたり的な対応になりがち
② 反復段階:リスクマネジメントの共通認識が生まれガイドラインが作成されるが、現場での対応は個人に依存
③ 定義付け段階:方法論が確定し、セグメントごとにリスクマネジメントが行われる
④ 管理段階:統合的管理が成立し、プラスのリスクについて分析が可能になる リスクの定義
⑤ 最適化段階:リスクマネジメントが競合他社より優れ、競合のための武器になる
プロジェクト管理におけるリスクマネジメント
プロジェクトには様々なリスクが付き物です。すべてのリスクを予測し、万全に対応することは不可能ですし、すべてのリスクをゼロにすることもまた不可能です。しかしながら、リスクがあることを考慮せずにプロジェクトを進めてしまうと、ビジネスとして失敗を招くことになるかもしれません。 プロジェクト管理者がプロジェクトにおけるリスクをどのように想定し、対処するか。 これを指してリスクマネジメントと呼び、プロジェクト管理では大変重要なポイントとなります。
1. 統合マネジメント
2. スコープマネジメント
3. スケジュールマネジメント
4. コストマネジメント
5. 品質マネジメント
6. 資源マネジメント
7. コミュニケーションマネジメント
8. リスクマネジメント
9. 調達マネジメント
10. ステークホルダーマネジメント
プロジェクト管理におけるリスクマネジメントとは
個別リスク
全体リスク
上述した分類から察することができますが、 プロジェクトにおけるリスクとはすなわちプロジェクトに関する事象の不確実性を意味します。 プロジェクト管理者がどれほど綿密な計画を練ったとしても、計画にそぐわない事象は発生します。また、計画の時点では想定できない事象もまたリスクのひとつです。プロジェクト管理者がリスクマネジメントへあたる際、リスクとなる不確実性を排除するのではなく、コントロールすることが重要です。
リスクマネジメントの7つのプロセス
計画プロセス群
1. リスクマネジメントの計画
計画はリスクマネジメントの第一歩です。リスクに関するプロセスをどのように進めるか定義し、リスクを洗い出すための分析ツールを決め、リスクマネジメント計画書を作成します。プロジェクトが構想された時点で開始され、プロジェクトの想起に終結させるべきプロセスですが、プロジェクトは常に状況が変化するため、プロジェクト全体の後半部分において見直す必要があります。
なお、リスクマネジメントを計画する際、WBS(Work Breakdown Structure)に似たRBS(Risk Breakdown Structure)を作成することもあります。RBSとは事前に想定しうるリスクのカテゴリを区分したものです。次のプロセスでリスクを探索するために、あるいは特定されたリスクを分類する際に有用です。
2. リスクの特定 リスクの定義
個別リスクと全体リスク、両方の洗い出しを行います。基本的に、リスクの洗い出しには関係者が全員参加することが求められます。これにより「リスク登録簿」というリスクのリストを作成します。個別のリスクを記述する際は書式を統一し、 各リスクが曖昧さを残さず明確に理解されることが必要 です。
3. リスクの定性的分析
洗い出したリスク項目の発生確率や影響度を分析し、緊急度を加味して対応のための優先順位を付けます。優先順位はプロジェクトチームとステークホルダーによる主観的なリスク認識に基づくため「定性的分析」と呼ばれます。主観による偏りを排除するために、 プロジェクト管理者は主要なステークホルダーがリスクへどのような態度を取るのか特定し、マネジメントする必要があります。
4. リスクの定量的分析
個別のリスクとプロジェクト目標全体における不確実性要因が複合した場合の影響を数量的に分析します。具体的にはシミュレーションなどにより、プロジェクト全体に及ぶリスクの影響度を数値化します。定量的分析には高度な技術を要するため、分析を専門家に依頼するか、あるいは実施しないということもありえます。
5. リスク対応の計画
プロジェクトの全体リスクと個別リスクへ対処するために、選択肢を策定の上、戦略を選択し、対応処置に対する合意を形成します。具体的には、必要に応じてリソースを配分し、その内容をプロジェクト文書とプロジェクトマネジメント計画書へ記載します。例えば、優先順位の高いリスクに対しては相応の対策が必要になりますから、リソースを多く割く必要があります。
実行プロセス群
6. リスク対応策の実行
実行のプロセスでは、リスク対応の計画によって合意が得られた内容を実行します。よくある問題は、リスクマネジメントの「計画プロセス群」においてリスクの洗い出しや対応の計画を練ったにもかかわらず、リスク対応策が実行されない、ということがあります。簡単に言うと「計画しただけで実行しなかった」ということです。 リスクの特定プロセスにおいて指名されたリスクオーナーが対応策の実行に必要な工数を掛けた場合のみ、リスクマネジメントが適切に機能していると言えます。
監視・コントロールプロセス群
7. リスクの監視
対応したリスクや受容したリスクを追跡します。また、新たなリスクを分析して対応したり、もう発生しないと判断できるリスクを終結して報告書を作成したりします。個別リスクはどのように扱われたのか、全体リスクのレベルがどのように変化したのか、現在のリスクマネジメント手法は効果的か否か、リスクマネジメントの方針と手順は守られているか、コストやスケジュールに猶予があるか否か、といった様々な観点から、プロジェクト管理者はリスクマネジメントの効果を判断します。
事象リスクと非事象リスク
突発リスクへの対応
未知の未知に対しては具体的な対応策を講じておくこともできないため、 突発リスクへの対応はプロジェクトの回復力にかかっています。 回復力はレジリエンスとも呼ばれます。例えば自然災害を予見することは困難ですが、自然災害が発生した場合にプロジェクトが回復力を備え、自然災害のダメージから復帰できる状態であればリスクへ対応できていると言えます。
統合的リスクマネジメント
プロジェクト管理におけるリスクマネジメントのまとめ
不確実性の強いリスクについて、計画を通し、適切にコントロールすることで マイナスの影響を最小限に留め、プラスの影響を最大限に得られるように調整することがリスクマネジメントの目的 になることを常に念頭に置いておきましょう。
コメント