発生確率・影響度マトリックス(リスク管理マトリックス)とは何か?PMBOKのリスク分析の手法を解説
発生確率・影響度マトリックスとは
発生確率・影響度マトリックスとは主にリスクの定性的分析で使用される、リスクの発生確率と影響度をマトリックス状に視覚化したデータの表現方法です。 リスク管理マトリックスやリスクマネジメントマトリックスとも呼ばれます。
PMBOKでは発生確率・影響度マトリックスを「各リスクの発生確率とリスクが発生した場合のプロジェクト目標に及ぼす影響度を格子状に位置付けたもの[1]PMBOK第6版、724頁。」としています。
発生確率・影響度マトリックスが必要とされるタイミング
発生確率・影響度マトリックスは発生確率と影響度の二つの軸を使用する際に使われる手法ですが、主にプロジェクトで「リスクの定性的分析」を行う際に使用されます。
リスクの定性的分析では、各リスクの重大度、影響度や危険度などの定性的な部分を取り上げて分析していきます。
その中で、発生確率・影響度マトリックスを使用し、リスクの発生確率と影響度をまとめ、表として視覚化していきます。
発生確率・影響度マトリックスの作成手順とリスクの定性的分析
ここからはリスクの定性的分析をする過程での発生確率・影響度マトリックスの作り方を見ていきます。
最終的には図1のような発生確率・影響度マトリックスが完成するようにしていきます。
発生確率・影響度マトリックスを使ったリスクの定性的分析の手順をまとめると、以下のような流れになります。
- リスクの洗い出し
- リスクの発生確率と影響度の定義
- 発生確率・影響度マトリックスの作成
- リスクの発生確率と影響度の査定
- リスクに優先順位をつけて対応する
これから、各手順の中身を見ていきましょう。
リスクの洗い出し
発生確率・影響度マトリックスを作成する際は、まずリスクを洗い出していきます。
すでに作成していたリスク登録簿を確認したり、改めて会議で議論したりして、プロジェクトのリスクを洗い出していきます。
リスクの発生確率と影響度の定義
発生確率と影響度を5段階に分ける
プロジェクトのリスクが洗い出せたら、次にリスクの発生確率と影響度の定義をしていきます。
とくに決められたものではありませんが、多くの場合、発生確率・影響度ともに各5段階に分けていきます。
例えば図1では発生確率を90%、70%、50%、30%、10%の5段階に区切っていきます。
影響度についても図1では極めて低い、低、中、高、極めて高い、の5段階に分けていきます。
しかし、影響度というのは一般的な指標はなく、その指標を定義していく必要があります。
例えば下の表1のように、「スケジュールが当初の予定より5%~10%の延長を引き起こすならば、影響度中とする」など、影響度の指標を定義していきます。
| 極めて低い (0.05) | 低い (0.1) | 中 (0.2) | 高い (0.4) | 極めて高い (0.8) | |
|---|---|---|---|---|---|
| コスト | コスト増 1%未満 | コスト増 1%~10% | コスト増 10%~20% | コスト増 20%~40% | コスト増 40%以上 |
| スケジュール | 期間延長 1%未満 | 期間延長 1%~5% | 期間延長 5%~10% | 期間延長 10%~20% | 期間延長 20%以上 |
| 品質 | 軽微な品質劣化 | 限定した用途にのみ影響 | 品質低下にスポンサーの承認が必要 | 品質低下をスポンサーが許容しない | プロジェクトの最終成果物は実用に耐えない |
過去の状況や専門家の意見などから定義していく
このリスクの発生確率と影響度の定義が、発生確率・影響度マトリックスを作成する中でもっとも重要な手順かもしれません。
なぜならリスクの発生確率や影響度はプロジェクトで共通した指標はなく、プロジェクトごとにリスクの発生確率や影響度を定義していかなければならないからです。
先ほどの影響度の定義でみたように、何をもって「影響度が高い」とみるかはなかなかプロジェクト・マネジャーだけでは判断できないところです。
こうした時は組織のプロセス資産(以下、OPA)を使い、過去のリスクの発生状況がノウハウとして蓄積されていないか確認したり、専門家の意見を聞いて発生確率や影響度の定義をしていきます。
発生確率・影響度マトリックスの作成
リスクの発生確率と影響度の定義が終われば、発生確率・影響度マトリックスを作成していきます。
図1のように表組を作成していきますが、縦には発生確率を、横には影響度をとり、その交差する部分にはリスク・スコアと呼ばれる数値をとっていきます[2]図1では小数点第3位を四捨五入しています。
リスク・スコアは以下の計算式で算出されます。
- リスク・スコア = 発生確率 × 影響度
例えば発生確率が極めて高く、影響度が極めて高い場合のリスク・スコアは90%(0.9)と0.8を掛け合わせた0.72になります。このようにして縦に発生確率、横に影響度をとって、各交点のスコア・ポイントをまとめて発生確率・影響度マトリックスを作成していきます。
リスクの発生確率と影響度の査定
発生確率・影響度マトリックスが完成したら、リスクの発生確率と影響度の査定を行っていきます。
例えば「プロジェクト・メンバーの離脱」というリスクは5段階の発生確率・影響度の中でどこに属しているのかを査定します。
こうした場合もOPAから過去の状況を確認したり、会議や専門家と相談しながら発生確率と影響度を査定していきます。
そして下の表2のように、各リスクとそのリスク・スコアをまとめて一覧化していきます。
| リスク | 発生確率 | 影響度 | リスク・スコア |
|---|---|---|---|
| メンバーの力量・スキル不足 | 中 | 極めて高い | 0.40 |
| 事故・病気によるメンバーの離脱 | 低 | 極めて高い | 0.24 |
| 他のプロジェクトで作成している資料Aの遅延 | 高 | 低 | 0.07 |
そして、これらの結果をリスク登録簿に追記し、更新していきます。
リスクに優先順位をつけて対応する
発生確率・影響度マトリックスを作成し、リスクの定性的分析を行ったら、資料にその分析結果をまとめるだけでなく、実際に対策を講じていきます。
大切なのは、すべてのリスクに対して同じように扱うのではなく、リスク・スコアの数値に応じて優先順位を決めて対応することです。
例えばリスク・スコアが0.20より大きい場合は、緊急度の高いリスクとして扱い、リスク対策のための会議を開いたり、改めて専門家に対策を相談していきます。
こうした対策内容を最終的にリスク報告書にまとめ、承認を得るまでがリスクの定性的分析と言えるでしょう。