リスクマネジメントが重要ということは理解していても、具体的にどのように管理していけば良いのを説明できる人は多くはありません。
そのため当記事では「リスクマネジメントとは」「リスクの種類」「リスクの特定方法と分析方法」「リスクの対処方法」についてわかりやすく解説します。
本記事の執筆者
PMBOKの勉強を進めていくと「10の知識エリア」が登場します。
この「10の知識エリア」のうち「リスクマネジメント」はプロジェクトで発生しうるリスクをどのように特定して対処するかに関する領域です。
私はプロジェクトを進める上でリスクマネジメントが最も大事であると考えています。
この記事を読めばリスクマネジメントを行うためのリスクの特定と分析方法、リスクの対処法がわかるようになりますので、ぜひ最後までお付き合いください。
※はじめにリスクマネジメントの概要を解説していますので、具体的な内容をすぐに知りたいというかは「リスクの種類」から目を通してください。
リスクマネジメントとは
はじめに
PMBOK Guideは大きく「フェーズ」「5つのプロセス群」「10の知識エリア」で構成されています。
「リスクマネジメント」とは「10の知識エリア」の1つであり、プロジェクトのリスクに対処するための領域です。
リスクマネジメント
プロジェクトにはリスクがつきものです。 ここでいうリスクとは、プロジェクトに影響を与えうる発生が不確実な事象のことです。 予め発生しうるリスクにはどのようなものがあり、リスクが顕在化した場合にはどのように対応するかを管理することをリスクマネジメントと言います。
リスクマネジメントのプロセス
「リスクマネジメント」と「5つのプロセス群」との関係性について解説します。
5つのプロセス群との対応
リスクマネジメントは「5つのプロセス群」のうち「計画プロセス群」「実行プロセス群」と「監視コントロールプロセス群」に関係があります。 
リスクマネジメントと各種プロセス群に含まれるプロセスの関係は下表の通りです。
| プロセス群 | プロセス |
| 計画プロセス群 | ①リスクマネジメントの計画プロセス |
| ②リスクの特定プロセス | |
| ③リスクの定性的分析プロセス | |
| ④リスクの定量的分析プロセス | |
| ⑤リスク対応の計画プロセス | |
| 実行プロセス群 | ⑥リスク対応策の実行プロセス |
| 監視コントロールプロセス群 | ⑦リスクの監視プロセス |
7つのプロセス
各種プロセスの役割について説明します。
①リスクマネジメントの計画プロセス
プロジェクト憲章をもとに、リスクマネジメントの活動方法を定義する。
②リスクの特定プロセス
過去の類似プロジェクトの情報や現在のプロジェクトの情報から、リスクを特定する。
③リスクの定性的分析プロセス
特定されたリスクに対する発生確率と影響度を評価して、リスクを高中低の3段階で等級分けする。
④リスクの定量的分析プロセス
納期や予算に対して、各リスクが与える具体的な影響を、日数や金額など詳細に数値化して、各リスクの優先順位を決定する。
⑤リスク対応の計画プロセス
各リスクに対する対処法を検討する。 同様に、リスク発生時の対処法を検討する。
⑥リスク対応策の実行プロセス
事前に計画したリスクの対処法に従って、リスクに対処する。
⑦リスクの監視プロセス
新しく発生したリスクに対処したり、不要なリスクの消込を行う。 また、リスクマネジメント自体の有効性を確認する。
リスクの種類
リスクには「全体リスク」と「個別リスク」があります。 また、全体リスクと個別リスクはそれぞれ「ネガティブリスク」と「ポジティブ」にわけることができます。 
全体リスクと個別リスク
全体リスクとは、政治や経済、社会情勢および技術の進歩などプロジェクトでは管理できないものから発生する事象を指します。
政治情勢の悪化などでプロジェクトの収益確保が著しく難しくなりプロジェクトを中断せざるを得ない状況に陥る場合もあります。
個別リスクとは、スケジュール遅延やメンバーの突然の離任などプロジェクトで管理できる事象を指します。
ポジティブリスク
皆さんが「リスク」と聞いて最初に思い浮かべるのはプロジェクトに悪い影響を与える事象のことでしょう。
しかし、PMBOK Guideではプロジェクトの計画から「良い方向」に影響を与えるものもリスクとして扱い、「ポジティブリスク」と呼んでいます。
※「好機のリスク」や「投機的リスク」とも呼ばれる。
行動を起こすことでプロジェクトの資源や時間を消費する可能性がありますが、それにより得られるメリットの方が大きい場合は、そのリスクを選択します。
- 特定のフェーズで良い成果を収めたチームや個人を表彰し、報酬を与えることにより、さらにパフォーマンスが向上する。
ネガティブリスク
計画から「悪い方向」に影響を与える事象を「ネガティブリスク」と呼びます。
※純粋にマイナス面しかないため「純粋リスク」や「脅威のリスク」とも呼ばれる。
- 顧客が仕様を固めない
- メンバーのスキルが低く設計書作成スケジュールが遅延する
- メンバーが突然離任する
リスク対応方針を計画する
リスクマネジメント計画書
プロジェクト憲章やスコープや資源、コストなどの計画書に基づいて、リスクにどのように対処するかをリスクマネジメント計画書としてまとめます。
リスクマネジメント計画書にはリスクの特定方法、分析方法、対応策の立て方、対応策の実行方法、リスクの監視方法を定義します。 
リスクを特定する
リスク登録簿
リスクマネジメント計画書をもとにして、過去の類似プロジェクトや現在のプロジェクト情報からリスクを特定します。
特定したリスクを一覧としてまとめたものをリスク登録簿と呼びます。
リスクの特定方法
リスクを特定するための2つの方法を紹介します。
①データ収集
顧客へのヒアリングやプロジェクトメンバーによるブレーンストーミングによって意見を集め、その中からリスクを特定する。
②データ分析
前提条件および制約条件の分析やSWOT分析を利用してリスクを特定する。
- Strength(強み)
- Weakness(弱み)
- Opportunity(機会)
- Threat(脅威)
リスク登録簿の作成
リスクと特定したらリスク登録簿として一覧表にまとめます。 
この後のリスク分析やリスク対応策の策定により、リスク登録簿を完成させます。
リスクを分析する
リスクを特定したらそのリスクの発生確率や影響度を分析します。
リスクの定性的分析
発生確率・影響度マトリクスを作成し、リスクを「高」「中」「低」の3段階で等級付けする方法。
各リスクの発生確率を5段階、影響度を5段階のマトリクスで表し、それぞれの数値を掛け合わせてリスクの大きさを示します。
この掛け算の数値をリスクスコアと言い、リスクスコアに対して閾値を設け等級を決定します。
- 高:リスクスコア >= 12
- 中:12 > リスクスコア >=5
- 小:5 > リスクスコア
リスク発生時の対応方法を決める
リスクを特定したら、次はそのリスクが発生した際の対応方法を予め決めておきます。
個別リスク:脅威の戦略
プロジェクトにマイナスの影響を与える要因を「脅威」と言います。
脅威の戦略として、エスカレーション、回避、転嫁、軽減、受容の5つがあります。
| エスカレーション | 脅威の影響が自身の権限を越える場合に、上長にエスカレーションし支持を仰ぐ方法 |
|---|---|
| 回避 | 契約を変更するなど特定したリスクを完全になくす方法 |
| 転嫁 | 保険や契約など第三者に責任を転嫁する方法 |
| 軽減 | 通常よりも手厚いテストを実施するなど、特定したリスクの発生確率や影響度を減少させる方法 |
| 受容 | リスクを受け入れる方法
|
個別リスク:好機の戦略
プロジェクトにプラスの影響を与える要因を「好機」と言います。
好機の戦略として、エスカレーション、活用、共有、強化、受容の5つがあります。
| エスカレーション | 好機の影響が自身の権限を越える場合に、上長にエスカレーションし支持を仰ぐ方法 |
|---|---|
| 活用 | プロジェクト計画書の一部を変更するなど、特定したリスクが確実に発生するようにする方法 |
| 共有 | 好機の全部もしくは一部を第三者に移転する方法 |
| 強化 | 成果を上げたメンバーを表彰しモチベーションを高めるなど、特定したリスクの発生確率や影響度を助長する方法 |
| 受容 | リスクを受け入れる方法
|
- 活用:脅威の戦略における回避策の反対の対応法
- 強化:脅威の戦略における軽減策の反対の対応法
全体リスクへの対応
全体リスクとは政治情勢、経済情勢、社会情勢、技術の進歩によりプロジェクトに影響がでるリスクでした。
この全体リスクへの対応方法として、エスカレーション、回避、活用、転嫁と共有、軽減と強化、受容の6つがあります。
| エスカレーション | 発生したリスクが自身の権限を越える場合に、上長にエスカレーションし支持を仰ぐ方法 |
|---|---|
| 回避 | 全体リスク(脅威)がリスク許容度を超える場合に、スコープの高リスク要素をプロジェクトから除去するなどの回避策をとる方法 場合によってはプロジェクトの中止を選択するときもある |
| 活用 | 全体リスク(好機)が著しくプラスである場合に、高利益の作業をプロジェクトに取り込むなど活用策をとる方法 |
| 転嫁と共有 | リスクが自分たちの手に負えない場合に第三者に入ってもらう方法
|
| 軽減と強化 | スコープ変更や優先度変更など、脅威の場合は軽減、好機の場合は強化の戦略をとる方法 |
| 受容 | リスクを受け入れる方法
|
念には念をコンテンジェンシー計画
コンテンジェンシー計画
コンテンジェンシー計画とは、リスクが発生してその対応策が不十分な場合に実施する対応の計画です。
「もし〇〇が発生したらXXXする。」のように何かが起きた場合に用意しておく計画で、「〇〇」のことをトリガーと言います。
リスク登録簿への加筆
軽減策を実施した後にも残ってしまうリスクのことを残存リスクと言います。
また、回避や活用策を実施した結果に対してさらに発生するリスクが2次リスクです。
これらの内容をリスク登録簿へ加筆しておきます。 
リスク発生時の対処
リスクが顕在化した際には、リスク登録簿に従って対応します。
脅威はプロジェクトへの影響を最小に、好機はプロジェクトへの影響が最大になるように管理します。
ほとんどのプロジェクトにおいて、ここで重要な問題が発生します。
それは、リスクが顕在化したにも関わらず「リスク登録簿」が活用されないという問題です。
リスク内容をアップデート
プロジェクトが開始されフェーズが進むにつれて新しいリスクを特定できる場合があります。
これらのリスクについても対応策をしっかりと検討するようにしましょう。
監査
自社組織内の第三者により、リスクマネジメント活動の有効性を確認します。
問題がある場合は監査機関はプロジェクトに対して助言します。
会議
リスクレビューを主な目的とし、新たなリスクの有無や既存リスクの発生確率/影響度に変化がないか、除外すべきリスクはないかを確認します。
リスクに変更があればリスク登録簿を修正します。
まとめ
今回は、「10の知識エリア」の一つであるリスクマネジメントについて解説しました。
◆リスクマネジメントとは「10の知識エリア」の1つであり、プロジェクトのリスクに対処するための領域である。
◆リスクは大きく「全体リスク」と「個別リスク」に分けられ、それぞれに「ポジティブリスク」と「ネガティブリスク」が存在する。
◆リスクにどのように対応するかを記したリスクマネジメント計画書を作成しよう。 ◆リスクの特定方法としてデータ収集とデータ分析がある。
◆リスクを分析する際には発生確率・影響度マトリクスを用いる。
◆脅威の戦略はエスカレーション、回避、転嫁、軽減、受容の5つ。
◆好機の戦略はエスカレーション、活用、共有、強化、受容の5つ。
◆全体リスクへの対応方法はエスカレーション、回避、活用、転嫁と共有、軽減と強化、受容の6つ。
◆コンテンジェンシー計画を立て、プロジェクト中盤でも新たなリスクの特定と対応策を検討していくことが大事。
では、今回はここまで。
最後まで読んでいただきありがとうございました。
