第192号：新型コロナウィルス感染に対するCMMI Instituteの軽減策, リスクと機会の管理：機会の管理は必要か？

新型コロナウイルス感染拡大により、世界中で様々な影響がでております。

皆様のまわりでも、学校の突然の休校、様々なイベントの中止、大人数や長時間の会議禁止、不要不急の出張やセミナー参加禁止、時差出勤やテレワーク推奨など、挙げればキリがないほど感染防止の策が実施され、仕事や生活に影響がでている方も多くいらっしゃることでしょう。

CMMIのセミナーやアプレイザルは、原則リモートでの実施はできず、現地のオンサイトで行うことがルールとなっており、当初CMMIの運営元であるCMMI Instituteは、そのルールを曲げることを良しとしておりませんでした。しかし、感染が拡大して制限が厳しくなるにつれ、対策を求める声が高まってきました。

そしてついに先日、CMMI Instituteからその対策に関する告知が出てきましたので、皆様に関係ありそうな情報をかいつまんでご紹介します。

◆CMMI V2.0セミナーのリモート受講
公式のCMMI V2.0セミナーはリモートでの実施は許可されていないのですが、現在リモート実施が可能になる仕組みの開発およびパイロットが進められているとのこと。
　
そしてそのパイロットの一貫として、いくつかのルールや制約をクリアする必要はあるものの、まずは5月15日まで開催するコースに関して、リモートでの開催が可能になるようです。この期日は、状況によって延期される可能性はあります。
　
コロナ対策を抜きにしても、遠方から参加する場合にはありがたい仕組みですね。弊社としても、早めに実施できるように調整を進めたいと思います。

◆アプレイザルのリモート実施
V1.3やV2.0のアプレイザルのタスクにはリモートでの実施が不可のものがあり、リードアプレイザは現地に行くことが原則でした。しかし、これも一時的に5月15日まではリモートで実施することが可能になりました。
　
また、アプレイザルは評価開始から90日間で終了させるルールがありますが、これを延長できるような措置も可能にするようです。
　
アプレイザルの実施フェーズの作業のうち、ドキュメントレビューやインタビューはリモートで行い、フルチームコンセンサスはチームメンバが全員集合して行う、ただし感染がまだ懸念される時期であれば、90日の期限いっぱいまでスケジュールを調整して、場合によってはさらに延期して…といったやり方も選択できそうです。

※上記は当原稿執筆時点の情報であり、今後変更される可能性はあります。

コロナのリスクの話をしたついでに、CMMI V2.0でよくお問合せをいただく「リスクと機会の管理(RSK)」のテーマの話をしましょう。

CMMI V2.0のリスク管理では、リスク以外に「機会(opportunity)」を取り扱うようになりました。

リスクは「目標達成に良くない影響(negative impact)を及ぼす可能性のある不確実さ」を指します。対策は、回避、制御(軽減)、転嫁などです。

機会は「目標達成に良い影響(positive impact)を及ぼす可能性のある不確実さ」を指します。対策は、創造、最大限の利用(活用)、強化などです。

ISOやPMBOKでも機会の考え方は存在し、CMMI V2.0は近年のトレンドを取り入れるコンセプトで開発されたことから、同様に機会の考え方が取り入れられたと思われます。

機会は、プラスのリスクという言い方をすることもあります。馴染みがない方からすると、リスクとは危険なものなのだから、プラスもマイナスもないだろう、と思われるかもしれませんが、リスクとはあくまで「不確実さ」を表す用語なので、プラス方向とマイナス方向の両方の不確実な状態がありえるわけです。

金融業界では昔から、損をするマイナスのリスクと、儲かるプラスのリスクの考え方がセットで存在しており、プラスとマイナスのバランスをとるのが重要なのだそうです。

さて、CMMI V2.0に取り組むユーザーからはよく以下のご質問をいただきます。「V2.0のRSKは、リスクと同様に機会に関しても、プロジェクトで特定、分析、監視等の管理を必ず行わないといけないのか？」

その答えは、「利用する組織に依存する」です。

CMMI V2.0に取り組む際は、プラクティス領域の意図と価値を満たすようにすれば、その組織に合うように解釈して適用してよいので、機会に取り組むかどうかはその組織次第ということになります。

RSKプラクティス領域(PA)の意図と価値は以下です。
・意図：潜在しているリスクまたは可能性のある機会を特定し、記録し、分析して、管理する
・価値：目標達成の可能性を高めるために、良くない方向への影響を軽減するか、または良い方向への影響を活用する

また、PA名は「リスクと(and)機会の管理」ですが、意図や価値、プラクティスの表現はすべて、「リスクまたは(or)機会」となっています。「または」なので、リスクと機会のどちらかだけやっていればよいとも読み取れそうです。

実際、2018年3月にCMMI V2.0がリリースされて以降、機会の管理について弊社でも様々な企業に聞いたり、文献やネット、セミナー情報を調べたりしましたが、プロジェクトレベルで機会の管理を行っている事例はほとんどありませんでした。

リスクだけでなく、機会に取り組むことが自組織にとって重要ならば、必須の活動として取り組んでいくといいでしょう。そうでないならば、リスク管理はプロジェクトでしっかりやるので機会については必須でなく任意で取り組むことにする、ということにしてもよいかと思います。

せっかくだから機会の管理をやってみようかと思うのだが、どんな時に実施すべきかわからないという方向けに、いくつか機会の管理が向いてそうな状況を考えてみます。

○組織レベルで行う
プロジェクトレベルでの機会の管理の実装例は少ないですが、組織レベルで戦略を練る際には、よくリスクとセットで機会が取り上げられることは多いようです。

SWOT分析という手法を用いて、内部環境の強みと弱み、外部環境の脅威(≒リスク)と機会を分析し、戦略策定に活用している事例はわりとあるのではないでしょうか。プロジェクトレベルでは無理でも、組織レベルでならわりと実施しやすいのではないかと思います。

○リスクと機会をセットで考える
また、リスクを伴う事象には、機会の側面も存在し、その両方についてバランスよく対策をとっていくのが重要ではないかと最近思うようになりました。

たとえば、「新型コロナウイルス感染拡大」という事象については、
・リスク：感染による重篤や死亡、大勢への感染
・機会　：無駄な会議削減、リモートワーク推進による通勤負担軽減
という見方をすると、リスクばかりでなく、働き方改革を促進できそうな機会として捉えることもできそうです。

○スピードや新規性が重視される領域で使う
近年では、ITシステムを安定性に価値を置く守りのIT(SoR)と、スピードに価値を置く攻めのIT(SoE)に区分する考え方があります。守りのITでは従来どおり、リスク管理をしっかり行って品質を確保し、攻めのITでは機会の管理を取り入れて、スピードや新規性を重視したアプローチで進めるというのも手かと思います。

以上です。皆様も機会の管理を自組織のビジネスに活かしていっていただければと思います。