TOP
>
情報セキュリティ
> リスクアセスメント手法の説明
トピックと手法から学ぶリスクマネジメント
第6回:プロジェクトマネジメントにおけるリスクアセスメント
著者:
プライド 三澤 正司
2006/10/05
前のページ
1
2
3
リスクアセスメント手法の説明
リスクアセスメント手法について、PMBOK の「11.2 リスク識別」「11.3 定性的リスク分析」「11.4 定量的リスク分析」の各プロセスに即して説明する
リスク識別
PMBOKガイドでは、リスク識別に使用する情報収集の技法として以下のものを挙げている。
技法
概要
ブレーンストーミング
目的は、広範なプロジェクトリスク一覧を作成することである。リスクブレークダウンストラクチャーの枠組みを活用することが有効である。手法については、本連載の第2回目で説明しているのでそちらも参照されたい。
デルファイ法
専門家の合意形成をする手法である。手法については、本連載の第3回目で説明しているのでそちらを参照されたい。
インタビュー
リスク識別のため経験豊富なプロジェクト参加者やステークホルダ、当該事項の専門家にインタビューする。
根本原因の識別
リスク定義の明確化および原因別にリスクをグループ化するために、リスクの本質的原因を調べる。リスクの根本原因を明らかにすれば、効果的なリスク対策を検討できる。
SWOT分析
(強み・弱み・好機・
脅威分析)
強み・弱み・好機・脅威の各観点からプロジェクトを分析し、幅広いリスクを対象とした検討を行う。
表5:リスク識別に使用する情報収集の技法
定性的リスク分析
PMBOKガイドでは、定性的リスク分析の技法として以下のものを挙げている。
技法
概要
リスク発生確率・
影響度査定
識別したリスクに対し、発生確率と影響度の査定を行う。
発生確率は、リスクの発生する可能性であり、「非常にまれ」から「ほぼ確実」までの相対的な尺度と、0.1、0.3のように数値で表す尺度がある。
影響度は、脅威に対するマイナス効果と好機に対するプラス効果の両面について、タイム、コスト、スケジュール、品質などプロジェクト目標に対する潜在的な影響であり、「非常に低い」から「非常に高い」までの相対的な尺度と、0.05、0.1のように数値であらわす尺度がある。
発生確率・
影響度マトリックス
リスクの優先順位付けを行うために、リスク等級を付けるためのマトリックスである。
「リスク発生確率・影響度査定」で査定したリスク発生確率(数値)、脅威に対する影響度(数値)、好機に対する影響度(数値)に基づいて、以下のリスク等級(数値)を決める。
各リスク発生確率×各脅威に対する影響度ごとの
リスク等級
各リスク発生確率×各好機に対する影響度ごとの
リスク等級
上記等級に基づき、マトリックス上のリスクに、「低い」「普通」「高い」の色分けをする。
リスク・
データ品質査定
定性的リスク分析を信頼できる分析とするために、正確で偏りのないデータの品質分析を行う
リスク区分
不確実性の影響を最も受け易いプロジェクトの領域を決定するために、プロジェクトに対するリスクを、RBSなどを用いてリスク源、WBSなどを用いて影響を受けるプロジェクト領域、プロジェクトフェーズなどのその他カテゴリにより区分する。共通の根本原因毎にリスクをグループ分けすることで、効果的なリスク対策を検討できる。
リスク緊急度査定
リスク対策の実施時期、兆候と警告サイン、リスク等級などの優先順位指標に基づいてリスク対応の緊急度を査定する。
表6:定性的リスク分析の技法
定量的リスク分析
PMBOKガイドでは、定量的リスク分析の技法として以下のものをあげている。
技法
概要
感度分析
どのリスクがプロジェクトに最も影響を与える可能性があるかを明らかにするために、他の全ての不確実な要素をベースライン値に固定した状態で、プロジェクトの個々の不確実要素が、検討対象となっている目標に与える影響の度合いを調べる。
期待金額価値(EMV:Expected Monetary Values)分析
将来発生することも発生しないことも想定されるシナリオがある場合に、平均的な結果を算出するための統計的な考え方である。好機のEMVは、正の数値で、脅威のEMVは、負の数値で表される。EMVは、それぞれの起こりうる結果の数値に発生確率を掛け、合算して求める。デシジョンツリー分析において用いられる。
デシジョンツリー分析
想定シナリオの発生確率とコストにより、どのアクションを講じるかの意思決定をする際に使用する。
「どのような意思決定が発生するか」、「意思決定項目の間に不確実要素はないか」を整理し、将来発生するシナリオの全体像を理解する。
デシジョンツリー分析は、以下の手順でEMVを算出し、どのシナリオを選択するか決定する。
選択肢とその想定結果の特定
想定結果の実現確率の特定
各想定結果の影響額の算出
期待値の算出(想定結果の影響額×実現確率)
シナリオ毎のEMVの算出(シナリオ毎の期待値の合算)
モデル化と
シミュレーション
プロジェクトの詳細レベルで特定した不確実性を、プロジェクト目標におよぼす、想定される影響という形に変換するモデルによりシミュレーションする。
シミュレーションには、モンテカルロ法を用いる。モンテカルロ法は、起こりうる全ての組み合わせを検討する方法であり、不確実要素に確率分布を定義し、コンピュータ上で乱数を発生させて確率分布からランダムに値を抽出する。これを繰り返し、その結果得られた測定値から分布を推定する。
表7:定量的リスク分析の技法
最後に
「リスクはクスリ」という言葉がある(余談であるが回文である)。リスクには、適切な取り組みによって好機に転ずるものもあれば、判断を誤り毒薬にもなりうるものもある。
またリスクアセスメントにおける留意点で述べた様に「リスクは時系列に変化してインパクトの大きさは増減するため、リスクの起こる確率も増減しうる」し、また「リスクを被る主体のリスクに対する認識も時系列的に変化することがある」ものである。このように不確定なものを系統的に扱う難しさが、リスクマネジメントの難しさである。
そのために、ゼロになることのないリスクに対し、回避や予防、防止にはじまり、リスクの軽減や集約、結合、中和、さらにリスクの分散や分離、移転、保有などの対策を行う。しかし、どのようなリスク対策がとられていようとも、また残存しているリスクがどのようなレベルであっても、現場でそのリスクを認識しているか否かが重要となる。
リスクは生き物である以上、形骸化しない実情に合ったルール作りや、そこにたずさわっているものの意識向上が必須となり、リスクアセスメントが「計画(Plan) → 実行(Do) → 点検(Check) → 処置(Act)」マネジメントサイクルの中で有効に機能する必要がある。
今回は本連載の最終回となる。これまで6回に渡って各トピックに着目したリスクアセスメント手法を説明してきた。今回取り上げた領域だけでも様々な種類のリスクがあり、発生したときの影響範囲の大きさを確認してきた。
意図的に引いた領域に関係なくリスクは降りかかってくるものである。そのような環境の中、リスクアセスメントの意義が確認されたことを切に望んでいる。
前のページ
1
2
3
著者プロフィール
株式会社プライド 三澤 正司
ITコーディネータ
プラント会社勤務時に、情報システム分野およびシステム開発方法論に興味を持ち、株式会社プライドに入社。主としてプロジェクト支援、標準化支援、教育に従事するが、ここ数年は、情報セキュリティ、管理業務に関わる支援の比重が大きくなってきている。
INDEX
第6回:プロジェクトマネジメントにおけるリスクアセスメント
はじめに
プロジェクトおよびプロジェクトマネジメント
リスクアセスメント手法の説明
