リスク・マネジメント計画書とは何か?PMBOKの用語を解説
リスク・マネジメント計画書とは
リスク・マネジメント計画書とはプロジェクトのリスク・マネジメントの活動の方向性や体制についてまとめられたものです。
PMBOKではリスク・マネジメントの計画のプロセスで作成される計画書で、 プロジェクトマネジメント計画書の構成要素の1つです。
リスク・マネジメント計画書はなぜ必要なのか?
プロジェクトが失敗する原因は様々ありますが、「悪運にみまわれた」というのは失敗したプロジェクトのプロジェクト・マネジャー(以下、プロマネと略記)の誰もが口にする失敗の原因のように思われます。
しかし、ソフトウェア開発の人類学者であるジェラルド・ワインバーグは計算機センターに火災が発生した2つのプロジェクトを比較し、以下のような結論を導いています。
(成功と失敗の)差異をもたらすのは事象ではなく、事象に対する反応である。成功プロジェクトは中断を認め、それに反応し、そして回復の責任をとり、災難を逆手にとる機会もつかんだ。一方、失敗プロジェクトでは、犠牲者を演じる機会をつかんだのだった2)。
つまり、「計算機センターの火災」という同じトラブルに見舞われても、成功したプロジェクトのプロマネは発生したトラブルを受け止め、プロジェクトを正常に戻す活動を行ったのに対し、失敗したプロジェクトのプロマネは発生したトラブルを嘆くばかりだとワインバーグは指摘しています。
ワインバーグが見た成功したプロジェクトのプロマネのように、トラブルが発生しても動じずに対処するには、あらかじめトラブル発生のリスクを把握し、その対処法を講じておくことです。
その活動がリスク・マネジメントであり、その活動の方針を定めるのがリスク・マネジメント計画書です。
そのため、このリスク・マネジメント計画書はトラブルからプロジェクトを守る大切な資料であると言えるでしょう。
リスク・マネジメント計画書の構成
リスク・マネジメント計画書には、以下の内容を記載していきます。
- リスク戦略
- 方法論
- 役割と責任
- 資金調達
- タイミング
- リスク区分
- ステークホルダーのリスク選好
- リスクの発生確率と影響度の定義
- 発生確率・影響度マトリックス
- 報告書式
- 追跡調査
以下、これらの内容を見ていきましょう。
リスク戦略
リスク戦略とは、このプロジェクトでのリスク・マネジメント全体の方針や目標について記述していきます。
方法論
方法論では今回のプロジェクトで使用する具体的なリスク・マネジメントの手法について記載していきます。
例えばリスクの特定方法や使用するデータ源について記載していきます。
役割と責任
役割と責任では、リスク・マネジメントを進める上でのチーム体制を記載していきます。
RACIチャートなどを使い、リスク・マネジメントの中で行う活動ごとに各人の責任を明確化していきます。
RACIチャートについては以下の記事もご参照ください。
- 参考:RACIチャート
タイミング
ここでは、プロジェクトの中でリスク・マネジメントの活動がいつ、どの程度の頻度で行われるのかを記述していきます。
例えば、リスク・マネジメントの活動の進捗は毎週の会議で確認し、影響度の高いリスクについては、毎月ステークホルダーを含める会議で状況を確認するなど、具体的な計画を記載していきます。
リスク区分
リスク区分では、特定されたリスクをグループ化するための手法を記述していきます。
リスク区分の手法として最もポピュラーな方法は階層構造図を用いたリスク・ブレークダウン・ストラクチャー(以下、RBSと略記)です。
プロジェクトマネジメントでは、プロジェクトの活動内容を階層的にまとめたワーク・ブレークダウン・ストラクチャー(以下、WBSと略記)が有名ですが、RBSはそのリスク・マネジメント版です。
RBSでは階層的にリスクをカテゴリー分けし、記載していきます。
例えば、「ステークホルダーに関するもの」、「プロジェクトマネジメントに関するもの」などに分けていきます。
ステークホルダーのリスク選好
ステークホルダーのリスク選好とは、リスクに対するステークホルダーの許容の範囲を表すものであり、リスクを測定する際のしきい値となります。
リスクに対処するには多くの場合、追加の費用を支払ってその影響を緩和させたり、リスクを取り除いたりします。
例えば、「デザイナーが突然体調不良で休んでしまう」というリスクに対処するには、「デザイナーを追加で確保しておく」という対処が考えられます。しかし、この場合はデザイナーのコストも追加で1人分増えてしまうことになります。
こうしたリスクに対して、「ぜひともデザイナーを追加で用意したい」と考えるステークホルダーもいれば、「体調不良なんてそこまであることじゃないし、わざわざ追加費用をかけてもデザイナーを確保する必要はない」と考える人もいます。
また、体調不良で休みをとるといっても、どの程度の期間であれば対処すべきなのかも、人によって変わってきます。
こうしてリスクへの感度は人によって変わるため、ステークホルダーのリスク選好として、何がどのようになったらリスクに対処するのかをまとめていきます。
そして、この時のステークホルダーの意思決定の判断材料になるのが、次に見るリスクの発生確率と影響度の定義、そして発生確率・影響度マトリックスです。
リスクの発生確率と影響度の定義と発生確率・影響度マトリックス
リスクというのは、一般的な指標があるわけではなく、プロジェクトやステークホルダーのリスク選好に応じて変わってきます。
そのため、プロジェクトごとに「リスクとは何か?」を定義していかなければなりません。
それがリスクの発生確率と影響度の定義です。
例えば下の表1のように、「スケジュールが当初の予定より5%~10%の延長を引き起こすならば、影響度中とする」など、影響度の指標を定義していきます。
| 極めて低い (0.05) | 低い (0.1) | 中 (0.2) | 高い (0.4) | 極めて高い (0.8) | |
|---|---|---|---|---|---|
| コスト | コスト増 1%未満 | コスト増 1%~10% | コスト増 10%~20% | コスト増 20%~40% | コスト増 40%以上 |
| スケジュール | 期間延長 1%未満 | 期間延長 1%~5% | 期間延長 5%~10% | 期間延長 10%~20% | 期間延長 20%以上 |
| 品質 | 軽微な品質劣化 | 限定した用途にのみ影響 | 品質低下にスポンサーの承認が必要 | 品質低下をスポンサーが許容しない | プロジェクトの最終成果物は実用に耐えない |
こうした内容を踏まえ、リスクの発生確率と影響度を格子状にまとめたものが、下の参考画像1のような発生確率・影響度マトリックスです。
こうした発生確率・影響度マトリックスを作成し、発生確率も影響度も高いリスクから対応していくなど、リスク・マネジメントの方針を固めていきます。
この発生確率・影響度マトリックスについては、過去の記事もご参照ください。
報告書式
報告書式では、どのような方法でリスク・マネジメントの状況を文書化し、共有していくかを記述していきます。
Microsoft社のWordなどで作成した文書で十分だと考えられますが、その他のツールがあれば、それを記述していきます。
追跡調査
追跡調査では、リスク・マネジメントの活動の監査方法を記載します。