今回は、山形さん(仮名)からの悩みです。
山形さん 28歳/ITプロジェクトのチーム・リーダー
私は、プロジェクト・マネジャーのTさんのもとで、システムの開発をしています。
Tさんはリスクに対してとてもうるさく、プロジェクトの着手段階でしっかりリスクを洗い出すことの重要性を強調しています。
ところが、十数個のリスクを洗い出し、対応まで考えて一覧表にしてみせると、「本当にこれだけか、まだ見逃しているリスクがあるんじゃないか」と言われます。
さらに、小さなリスクまで洗い出して表に加え、リスクによってはさしあたって対応が不要に見えるものもあるので、対応欄を空白にして提出すると、「このリスクの対応はどうなっているのだ」と問い詰められます。
私が、「このリスクは、さしあたっては対応の必要を感じませんので、現段階では受容します」と答えると、「リスクであることがわかっていて、何もしないということはありえないだろう」と追及される始末です。
このように、リスクを受容することが一切認められないのですが、これっておかしくないですか。
回答
なるほど、慎重なTマネジャーから見ると、小さなリスクでも何もしないとなると心配になるのですね。
まずは、リスク・マネジメントの目的を共有することが肝心だと思われます。
リスク・マネジメントの目的はなんでしょうか。リスクをなくすことでしょうか。
いえ、リスクはなくすことはできません。
リスク・マネジメントの目的は、「リスクを許容以内に収めること」なのです。
そのためには、「リスクの危険度」を定量化することが必要です。
「リスクの危険度」は、リスクがどのくらいの確率で発生するのかという「リスクの発生確率」と、リスクが発生するとプロジェクトにどのくらいの影響があるのかという「リスクの影響度」をもとに定量化します。
例として、リスクの発生確率と影響度をそれぞれ「大」「中」「小」の3段階で定量化することにします。
対象とするリスクは、代表的なものとして、品質リスク、コストリスク、スケジュールリスク、スコープリスクがあります。
ここでは、わかりやすいものとして、スケジュールリスクを取り上げます。
まず、発生確率については、たとえば
- ○発生確率が1%以下のリスクを「発生確率:小」
- ○発生確率が10%以下のリスクを「発生確率:中」
- ○発生確率が10%を超えるリスクを「発生確率:大」
と定義します。
また、リスクの影響度も、
- ○2-3日以内の遅れにつながるリスクを「影響度:小」
- ○2週間以内の遅れにつながるリスクを「影響度:中」
- ○2週間を超える遅れにつながるリスクを「影響度:大」
と定義します。
リスクの発生確率、リスクの影響度をどう定義するかはプロジェクトごとに設定する必要があります。
次に、「危険度」を定義します。
- ○「危険度:大」=「影響度:大」×「発生確率:中or大」
- ○「危険度:小」=「影響度:小」×「発生確率:小or中」
- ○残りの組み合わせ=「危険度:中」
危険度が定義できたら、目標とする「リスクの許容度」を設定します。
もし、リスクの許容度が「小」であれば、すべてのリスクの危険度を「小」にする必要があります。
これは裏を返せば、危険度が「小」と判断されたリスクは、受容可能ということです。
たとえば、ベテランメンバーのAさんがインフルエンザにかかるリスクを「影響度:中」×「発生確率:中」=「危険度:中」とします。
これは、許容度を超えるため受容できません。予防接種を受けるなどの対策が必要でしょう。
いっぽう、Aさんの仕事をサポートするBさんがインフルエンザにかかるリスクは「影響度:小」×「発生確率:中」=「危険度:小」とします。
こちらは、危険度が許容度内に収まるため、受容可能となるわけです。
リスクを定量化して、リスクの危険度が許容度に収まっていることを説明すれば、Tマネジャーも受容することを納得してくれるでしょう。
「リスクを定量化してリスクの受容の可否を判断する」
是非お試しください。