リスクマネジメントと危機管理
リスク(Risk)とはまだ起きていない不確かなことの影響であるのに対して、危機(Crisis)とはすでに発生してしまったことの影響を指します。日本語は境目があいまいなので混乱しがちですが、起きていないことか、起きてしまったことかでリスクと危機とを区別する必要があります。
日常的なところで例えるならば、風邪を引かないように、日ごろから手洗いやうがいを欠かさないことはリスクマネジメントで、風邪を引いてしまってから、薬を飲んだり病院にいくということは緊急時対策で危機管理ということになります。
リスクマネジメントの必要性
では風邪を引かないためには他に何ができるでしょうか。免疫力や体力をつけるために適度に体を鍛えたり、ジョギングをおこなったり、食生活を見直したり、規則正しい生活をしたりと、さまざまなリスク対応が考え付きます。また風邪薬の在庫を確認して備える行動も必要でしょう。
こういったリスク対応を数多く実行できれば良いですが、リスクは減ったとしても、対応に追われ時間がなくなって本業がおろそかになると本末転倒です。リスク対応は想定する事態が発生しなくても、時間がかかったりコストがかかります。
何もしなくても風邪は引かないかもしれないし、そのリスクの影響度や発生確率を評価して、それに応じて対応策を実施するのか決定すべきです。仕事の谷の状態と山の状態のように時とともに影響度も変化していきます。冬と夏とでは発生確率は違います。
このように無闇やたらに対応を行うのではなく、また全く何もしないわけではなく、効果的な対応を時に応じて実施できるように管理するのがリスクマネジメントになります。
純粋リスクと投機的リスク
リスクとはまだ起きていない不確かなことですが、負の影響のみを発生させるようなリスクだけでなく、プラスかマイナスの結果となりえるリスクも存在します。前者を純粋リスク、後者を投機的リスクと呼びます。
投機的リスクは、ビジネスや投資の世界だとイメージしやすいと思います。リスクをとらないと利益は生まれてこない投資の世界では、リスクとリターンを比較して投資を判断します。投資をした時点で最終的に得られる利益または損失はある程度の幅をもってばらつくことが予想されますが、これをリスクととらえます。
リスクマネジメントにおいては両方のリスクを扱います。
リスクマネジメントはどうやってやるのか
リスクマネジメントは規格で定められたガイドラインのようなものは存在しますが、リスクマネジメントのプロセスは具体的にこうするといった決まったものはありません。ガイドラインだけでは実際に何をすべきかは分かりません。それをベースに自分の業務と照らし合わせてプロセスを具体的に構築する必要があります。
しかしこういったガイドラインに合わせることは、そこで使われる用語であったり概念がステークホルダー内で共有されやすいし、他のガイドラインとの整合などの面でも有利に働きますので、積極的に活用すべきです。
参考となる規格について
一般的なリスクマネジメントについてはISO31000を参考にするのが良いでしょう。これで概念を把握して、押さえておくべきことや、おおよその流れをつかむことができます。またソフトウェア開発であれば、ISO/IEC16085の方がより具体的に述べられています。
プロジェクトマネジメントではPMBOK が古くからあり有名で、この中にリスクマネジメントもあります。内容的には良いのですが、使われている用語が他と整合が取れていないので気をつける必要があります。
こういった規格を直接入手して読んでも良いですが分かりづらいと思いますので、沢山の書籍があるのでそれらを参考にしても良いでしょう。ただしベースがどの規格にあるのか、全く独自のものなのかは意識したいです。
基本的なプロセスはPDCAをまわす
どういったガイドラインをベースにしたとしても、リスクマネジメントはPDCAのプロセスで運用します。計画を立てて、リスクを洗い出し分析して、それぞれのリスクに対して対応計画を立てます(Plan)。体制を作り対応策を実施します(Do)。運用状況や新たなリスクの発生を定期的に確認します(Check)。必要に応じて計画を見直します(Action)。これを繰り返します。
またリスクが現実のものとなったり予兆となる条件を満たした場合は、あらかじめ定めておいたコンティンジェンシープランを実行に移します。
まとめ
リスクマネジメントは組織やプロジェクトを管理する上で必要なことです。リスクマネジメント・プロセスが組織やプロジェクトで確立されているのであれば、費用対効果を考えながらより安定した運営が可能で、PDCAを回すことでより良いプロセス/対策へと向上させていくことができます。
コメント