経営においてリスク管理は重要だが、リスク管理をするにはさまざまな障害が存在する。それらをどう取り除いていけばよいのか。今回はリスク管理に関する法則を紹介する。
プロジェクト運営において、リスク管理が重要なことはいうまでもない。ところが、実際にリスク管理を実施するには、多くの阻害要因がある。リスク管理のリスク管理が必要なのかもしれない。
リスク管理は大人のプロジェクトマネジメントだ(デマルコ/リスター)
バラ色のプロジェクトを描いて猪突(ちょとつ)猛進するのは子どもだ。大人は状況をよく観察して、トラブルが起こったときの対策を、あらかじめ検討しておく必要がある。
リスク無視は身の保全に役立つ
では、どうしてリスク管理が行われないのか?
無謀な猪突猛進は果敢な挑戦のようにも見えてカッコいい。「困難だから立ち向かうのだ」「やればできる。必勝の信念が大切だ」といえば立派に見える。「勇将の下に弱卒なし」の錯覚により、メンバーの士気も高まる。それで成功することもある。失敗し玉砕しても「努力はした。運が悪かった」と評価される。
それに対して、リスクを指摘するのはプロジェクトそのものへの反対意見だと受け取られる。「そんなことをいうと、この案件は通らない」「マイナス思考は敗北主義だ」「メンバーの士気をくじくな」と非難される。
懸念したリスクが現実に発生して失敗したとき、リスク重視者が先見の明があったと評価されることはない。「あいつが、あんなことをいうから、実際に起こってしまった」といわれる。
リスク探索が不十分なことによるリスクを重視せよ(ヨイショと口に出せばギックリ腰にはならない)
気付いたリスクは発生しない。致命的なインシデントになるのは、事前に気付かなかったリスクである。
重要なリスクは無視される
「プログラム作成の遅れ」や「ハードウェアの性能が不十分」などは、リスクリストに掲げられる。ところが、「社長交替」「ベンダ倒産」のようなプロジェクトそのものに深刻な影響を及ぼすリスクは、リストに掲げられることすらない。
リスクを重視すると、カンと度胸の決定が求められる
多数のリスクを列挙し、その影響を多様に検討すると、プロジェクトの費用対効果のバラツキが大きくなる。下右図のような状況で意思決定をするのは困難である。
(少なくとも行政では)リスクの発生確率は0か1の値だけになる
リスクの大きさは「リスクの発生確率×リスクが発生したときの損失」で評価される。ところが、発生確率も発生損失も客観的測定が困難なので、この公式は実際には役立たない。
住基ネットの反対派は、リスクの発生確率ではなく発生可能性を追求している。賛成派も法令があるから発生しないという。すなわち、発生確率は1か0の値だけになる。
住基カードの普及率は1%にもならないが、その主な理由は個人情報漏えいの危険である。年金制度や交通監視カメラ(Nシステム)に比べれば、住基カードの記載情報漏えいによる発生損失は小さいであろう。それなのに、個人情報漏えいの観点から年金制度を見直せという議論は行われていないし、監視カメラの撤去運動もない。
トラブルは連続して発生する
トラブルを解決しようとすると、トラブルはもっと深刻になる
デュープレックスシステムで主系がダウンしたときは、きっと待機系が立ち上がらない。
ベンダに連絡すると、ほかのシステムを発注したベンダがやってくる。
ファイルを待機系に移したときは、元になるファイルは数世代以前のものである。
なお、この「連続して発生する」という法則は本質を誤っており、「第1番の問題を取り除くと、第2番が昇進する(ルーディのルタバカの法則。ワインバーク)」のだという説もある。
リスクマネジメントの基本は、スケープゴートを設定することである
リスクが発生したとき、その被害を最小に抑えることが大切である。「社長がTVカメラの前で頭を下げ」て、原因を「情報システムの不備」とするのが一般的である。
▼著者名 木暮 仁(こぐれ ひとし)
東京生まれ。東京工業大学卒業。コスモ石油、コスモコンピュータセンター、東京経営短期大学教授を経て、現在フリー。情報関連資格は技術士(情報工学)、中小企業診断士、ITコーディネータ、システム監査など。経営と情報の関係につき、経営側・提供側・利用側からタテマエとホンネの双方からの検討に興味を持ち、執筆、講演、大学非常勤講師などをしている。著書は「教科書 情報と社会」(日科技連出版社)、「もうかる情報化、会社をつぶす情報化」(リックテレコム)など多数。http://www.kogures.com/hitoshi/にて、大学での授業テキストや講演の内容などを公開している
Copyright © ITmedia, Inc. All Rights Reserved.