第175号：リスク管理を形骸化させる方法

今夜は、リスク管理を形骸化させる方法を教授する。

1) まずはリスクの特定について

リスクの特定を具体的にしない。リスクを特定しないのではない。ぽやけたリスクにする。
何に対して対策をとればいいのかわからないぐらいハイレベルの抽象度の高い表現にする。

例えば、次のように。
・品質が確保できないかもしれない
・予算を超過するかもしれない
・進捗が遅れるかもしれない

品質確保とは具体的には何なのか、どの成果物のことなのか、どの作業のことなのか、リスクが顕在化したかどうかいつ判断するのか、いっさい明確にしない。


2) リスクの分析

特定したリスクに対して分析を行い、優先順位を決めることになっていると思う。
大抵は、リスクが顕在化する確率とかリスクの影響度とか。

ぼやけたリスクに対しては、どんなに考えたってまともに分析なんてできない。
具体的でないリスクに対してあれこれ考えるのは時間の無駄である。
適当に済ませておこう。


3) リスクの軽減

リスクの軽減について考える。リスク軽減計画と有事対応計画の２つがある。

リスクが問題になる前に先を見越してリスクを低減するために策定されるのがリスク軽減計画で、顕在化したリスクに対応するために策定するのが有事対応計画としておく。

どんなリスクに対してもリスク軽減計画は、「定期的に監視する」とする。

これでリスクが軽減するのか？　もちろんしない。リスク管理が形骸化するだけだ。
実際には監視しないし、監視した記録も作らない。

有事対応計画は、どんなリスクに対しても「関係者と話し合い調整する」とする。

これは計画なのか？　何も決めていないのではないか？　そのとおり。

優先順位に関係なくすべてのリスクに対して、リスク軽減計画と有事対応計画の２つを必ず用意する。優先順位を決めたことを無意味にするのだ。

上記のリスクの特定、分析、軽減には、プロジェクトの目標や制約や背景などはいっさい考慮しない。
なるべくプロジェクト固有の要素を入れないようにする。汎用的なものを作ろう。

そうすると、別のプロジェクトを実施するときに、ただコピー＆ペーストするだけで使える。
圧倒的な時間の節約だ。


4) 品質保証、アプレイザル、内部監査、ISO審査への対処

品質保証の人やアプレイザや内部監査員やISOの審査員が、このようなリスク管理に対してつっこんでくるかもしれないが、そのときはどうするか？

リスクという発生していないものを管理することは、このプロジェクトにおいて現実的には非常に難しいと言って、苦労しているふりをして、プロジェクトの特殊性と努力をアピールしておけば、ＯＫ。


これで押しも押されもせぬリスク管理の形骸化が完成した。

但し、私には通用しない。もしアプレイザルでこんなリスク管理をみれば、弱みとして指摘する。