第263号：リスク管理戦略、どう使っていますか？

CMMI V3.0では、リスクや機会に対して「戦略」を持つことが求められています。

RSK 3.3: リスクまたは機会の管理戦略を作成し、最新に保つ。

ここで、あらためてお聞きします。

　そのリスク管理戦略、どう使っていますか？
　作って満足して、棚の奥に眠らせていませんか？

------------------------------------------------------------------------
● V1.3ではハッキリ書いてあった「戦略に従って」
------------------------------------------------------------------------
少し昔話をすると、CMMI V1.3では、戦略と計画の関係がもっとストレートに書かれていました。

RSKM SP 3.1: リスク管理戦略に従ってリスク軽減計画を策定する。

つまり、

　「まず戦略を決めて、それに従って計画を作る」

という流れが、プラクティスの本文にきちんと明示されていました。

では、V3.0ではどうなったでしょうか。

RSK 3.4: リスクまたは機会の管理計画を作成し、最新に保つ。

あれ？
「戦略に従って」という文言が消えています。

「じゃあ、戦略は作るだけでよくて、計画は好き勝手に作ってもいいの？」
そう感じた方もいるかもしれません。

------------------------------------------------------------------------
● 「リスク軽減計画」から「リスクまたは機会の管理計画」へ
------------------------------------------------------------------------
V3.0では、「リスク」だけでなく「機会」も対象に含めるため、用語も変わっています。

・V1.3：「リスク軽減計画」
・V3.0：「リスクまたは機会の管理計画」

この「リスクまたは機会の管理計画」には、例えば次のようなものが含まれます。

・リスクを減らすための計画（軽減計画）
・問題が起きたときの対応計画（有事対応計画）
・機会を活かすための計画（機会活用計画）

要するに、

　「悪いことへの備え」だけでなく
　「良いことを取りに行くための準備」も含めてマネジメントしましょう

というのが、V3.0のメッセージです。

------------------------------------------------------------------------
● RSK 3.4だけ読むと「勝手にやればいい計画」に見える？
------------------------------------------------------------------------
ここで気になるのは、

　RSK 3.4の解説には、リスク管理戦略との関係が書かれていない

という点です。

RSK 3.4だけを読むと、

　「各プロジェクトが自由に好きなように計画を作ってよい」

と受け取る人がいても、おかしくありません。

「とりあえずリスク一覧を作って、適当に対策を書いておけば、RSK 3.4は満たしてるでしょ」

――そんな運用になっていないでしょうか。

------------------------------------------------------------------------
● 安心してください。戦略はちゃんと「使うもの」です
------------------------------------------------------------------------
実は、戦略の「使い方」はV3.0にもきちんと書いてあります。

RSK 3.3 の解説には、次のように書かれています：

・戦略は早期に策定する。
・戦略は、組織またはプロジェクトのリスクと機会の管理計画に記録する。
・プロジェクト全体を通して戦略を最新に保つ。
・戦略は、リスクと機会の管理活動を導くために使用される。

つまり、

・戦略は早めに作り
・計画の中にきちんと落とし込み
・プロジェクトのライフサイクル全体で更新し続け
・リスク／機会管理活動の「道しるべ」となる

ことが求められています。

尚、まったく同じではないですが、よく似た記述はV1.3にもありますので、プラクティス文から解説に「格下げ」されたわけではありません。

計画を作るプラクティスから「戦略に従って」というのが無くなっただけです。

------------------------------------------------------------------------
● では、アプレイザとしてどう見るか？
------------------------------------------------------------------------
ここで少し視点を変えて、アプレイザの立場で考えてみましょう。

あなたがアプレイザだとして、次のような状況を見たとします。

・組織／プロジェクトには「リスク管理戦略（RSK 3.3）」が存在する
・「リスクまたは機会の管理計画（RSK 3.4）」も作られている
しかし、

・計画に戦略の内容が反映されていない
・戦略との関係が説明されていない
・計画を作るときに戦略を参照した形跡もない

この場合、あなたはどう判断しますか？

1. RSK 3.3 に弱み／改善の機会があると思う。
2. RSK 3.4 に弱み／改善の機会があると思う。
3. RSK 3.3とRSK 3.4のどちらにも弱み／改善の機会があると思う。
4. RSK 3.3とRSK 3.4のどちらにも弱み／改善の機会がないと思う。

「戦略はあるが、活動を導いていない（＝飾りになっている）」状態をどう扱うか、という問いになります。

さて、あなたなら何番を選びますか？

CMMIに照らして、自社のソフトウェア開発プロジェクトの状況が簡単にチェックできます。
https://www.daiwa-computer.co.jp/cmmiselfchk2/

▼サービス事例
・組織のメンバにCMMIの概要を伝える、トレーニングコース
・現在のプロセスの改善の機会を明らかにする、ギャップ分析
・改善の機会に対する改善策の検討の参加
・標準プロセスや各種テンプレートの作成活動に対する支援
・御社にインストラクタを派遣して実施するCMMI Institute公式CMMI入門コース

皆様のニーズに柔軟に対応しておりますので、まずはお気軽に下記までご連絡下さい。
https://www.daiwa-computer.co.jp/services/consulting/inquiries/