拡大画像表示
リスク管理プログラム
企業にとってリスクとは負債のようなもの、つまり、許容範囲に限りのある企業資産の一種と見なすとわかりやすいでしょう。最大の ROI が得られるエリアに支出を集中することが望ましいように、バランスの取れた企業リスクポートフォリオでは、最大の「リターン」つまりメリットを得ることを目標とします。たとえば、クラウド運用では、インシデントが増加し、顧客の不満が大きくなる可能性があるため、リスクは高くなり、メリットはそれほど大きくありません。一方、自社製品の新規利用を試すことができれば、大きなメリットが得られます。このため、前者を最小限に抑えれば、後者を増加させることができます。当然、リスクをゼロにするための労力には非常にコストがかかり (ほとんどはほぼ不可能)、投資する価値はほとんどありません。99.9% 以上になると、ほぼ実現不可能になります。これが、リスクポートフォリオのバランスをとることのもう 1 つの要素です。
機能本位の ERM プログラムの利用とは、次を意味します。
- 適切な商慣行と見なされる。これは、アトラシアンの主要リスク、およびそれに対してどうすべきかを総合的な視点で見たものです。このようなリスクに対して、想定していた方法で対処できていることを定期的に確認することができます。骨折したときは医師の診断を受け、回復まで安静にするように、ERM はエグゼクティブが抱えるリスク、およびリスク管理戦略の妥当性を暗黙的な視点から確認します。場合によっては、このプロセスで対処すべき新たなリスクが検出されることもあります。
- 現行および将来の法令遵守義務を果たす必要がある。アトラシアンはその認定資格によって顧客の信頼を得ることによって収益を増加し、営業での摩擦を抑えています。SOX、SOC 2、および リスク管理 ISO27001 では ERM プログラムを保持し、エグゼクティブと一緒に主要なリスク、リスク管理戦略を定期的に確認し、監督組織に報告することが求められています。規制の厳しい業界へ進出し、HIPAA、FedRAMP などの認定資格を得るとさらに信頼性が高まり、ERM プログラムも再評価されるようになります。
- 成熟度の証明。アトラシアンの成長に伴い、運用効率を高めて不明確さ (リスク) を排除するためには、実践しているプラクティスを公式化する必要があります。運用効率が向上すれば、規模の拡大も見込めます。つまり、想定外のものを減らし、実際の企業の健全性が、自分たちが肌で感じているとおりかどうかを確認する必要があるのです。
どのように実施するのか?
- 特定のリスク評価には、さまざまなものがあります。詐欺や複数のセキュリティリスク評価、ビジネス影響評価 (BC/DR プログラムの一部)、各事業部門評価 (情報セキュリティやファイナンスなど) の各種運用リスク評価など
- インシデント、「終了したコール」、大規模/重要プロジェクトや成果物の事後分析など、認識されたリスク
- 社内および社外の監査および評価
- 景気低迷、業界の動向、競合などのグローバルなトレンドと市場に関する外部分析
- 顧客、ビジネスパートナー、サプライヤーからのフィードバックとデータ
- エンタープライズおよび個々の事業部のビジネス目標と OKR
- アトラシアン関係者との拡張インタビュー
どのように全体像に位置付けられるか?
このため、リスク評価レポートは通常、運用および戦略の計画に組み込まれ、投資とリソース割り当てに役立てられます。ただし、これは単独に機能するものではなく、内部監査の年間計画にも組み込まれます。ERM プログラムは、年度末のレポートにも適用できるようタイミングを合わせています。また、6 月と 12 月の年 2 回、監査委員会の要求に応じて新情報を提供しています。
これはビジネスと企業の健全性の別のチェックポイントとしても使用され、物事をどうとらえているかを証明または反証することにも活用されます。目標と目的に対する整合性の要点でもあります。
リスクが適切に管理されていることについて、顧客から信頼を得る必要があります。さまざまなリスクを適切に管理する上で、特に大きなメリットを伴わないものを、暗黙的にも明示的にも受け入れるにはリスクが高すぎることに注目する必要があります。これが、リスクと市場投入までの時間の管理が企業の発展において重要な役割を果たす複雑な環境の中で、アトラシアンをリーンかつアジャイルに保つための戦略なのです。
リスクを見つける! 企業システム戦略の危険予知訓練
研修
ITプロジェクトの 現場は危険がいっぱい です。事実、さまざまな調査でも 成功率は30% 程度と言われて久しく、思いのほか好転していないようです。失敗の主な原因は、やはり 不完全な要件や要件変更の多発 などにあります。これらを解決するために、要件定義の方法論やプロジェクト管理の知識体系、ソフトウェア開発プロセスなどが研究され、 それなりに普及しているにもかかわらず です。
これらの方法論や管理体系は、「こうすれば、うまくいく」という一つの解決策を与えてくれるものですが、 現場・現実のプロジェクトはさまざまな リスク にさらされており 、万能と言える「 銀の弾丸 」は存在しない ということです。特に昨今の不確実性の高いITプロジェクトの現場においては、 リスク を早い段階からアセスメント(抽出・分析・評価)した上で、適切な事前対策・事後対策をとるべく、 リスク・マネジメント が重要になってきています。
リスク とは、将来に起こるかもしれない 危険 ですから、ドキュメント・レビューを実施しても、先々を見通すことができる 危険予知能力 が無ければ、効果的にリスクを抽出することが困難です。危険に対する感度といっても良いでしょう。 リスク管理 そもそもリスクを抽出できなければ 、如何にしても適切にマネジメントすることはできません。従って、これこそが実践的なプロマネ力として重要となる能力です。これは、方法論や知識体系を学んだだけでは、決して手に入れることはできません。多くの場合は、失敗して痛い思いをした 経験から得られ るものです。経験のある優秀なプロマネや技術者が、要件や設計、ソースコードやコミュニケーション上の危険を直感的に感じ取れることを証言しています。しかし、感度を高めるためとはいえ、 そうそう失敗ばかりはしていられません 。
そこで、本研修では産業界で事故防止を目的として実践されている【 危険予知訓練 】を、ITプロジェクトに応用することを提案します。過去の失敗事例に学び、訓練で擬似的に失敗経験を積むことで危険感度を高め、現場を劇的に変える! 危険予知能力の獲得を目指す ものです。この危険予知能力を獲得することが、現場での 実戦的なプロマネ力 を鍛えることにつながります。 ただ、危険予知訓練をITプロジェクトに応用するには、ちょっとした頭の使い方、脳トレーニングが必要になります。
これらの訓練法をインターネットで公開したところ、研修講演の依頼をいただき、書籍も発刊できました。★世界で一つだけ、現場を劇的に変える! オンリーワンの ITプロジェクトの危険予知訓練法 に関する書籍です。
すでに多くの方々が研修を受講し、講義と実践的な演習を通じ、危険予知訓練の方法を身につけ、日々、 プロジェクトマネジメント能力の実戦力向 上に取り組み、効果を実感しています。ぜひとも、この機会に研修を通じ、危険予知訓練の方法を身につけ、 実戦的なプロマネ能力を向上 させていただきたい!!と思います。そして 不確実性に負けないよ う、マネジメントの現場を劇的に変えて欲しいと思います。 危険予知により、早期に大きなリスクを発見できれば、その 経済効果 (手戻り等の損失コスト削減、利益率や投資対効果の向上)は計り知れません。 まさに” 現場で役に立つ ”研修です。
1. プロマネ力と危険予知能力
1.1 ITプロジェクト
1.2 リスク管理
1.3 ドキュメント・レビュー
2. IT危険予知訓練
2.1 危険予知訓練
2.2 IT危険予知訓練の概要
(1) 危険状況
(2) 危険分類
(3) 危険要因
(4) 危険度(発生頻度x影響度)
(5) 危険回避策
2.3 IT危険予知訓練法
(1) 4ラウンド法
(2) プロマネ力を鍛える
2.4 危険予知能力レベル
(1) 危険予知能力レベルの5段階
(2)PMBOKの知識エリア別危険予知能力評価
3. 失敗事例100例によるIT危険予知訓練
※5~10テーマを選択し、危険予知訓練のグループ演習を行います。
研修コースと費用等
★研修を予約・申し込みする
1.ショート :
2時間(講義1時間、演習1時間)
¥15,000/人(含、消費税・テキスト代)
Zoom 月~金 20:00~22:00
2.スタンダード:
4時間(講義2時間、演習2時間)
¥30,000/人(含、消費税・テキスト代)
Zoom 月~金(※毎月1回)、土(※毎週) 13:00~17:00
3.ロング :
6時間(講義2時間、演習4時間)
¥45,000/人(含、消費税・テキスト代)
Zoom 月~金(※毎月1回)、土(※毎週) 10:00~17:00
★集合研修( 相談する )月~金(※毎月1回) 10:00~17:00
\別途、交通・宿泊費が必要です。
4.eラーニング
音声付パワーポイント(約3時間) ※試聴用サンプル
\20.000/ライセンス ※1ライセンス5人まで同時視聴可能。
研修にご参加いただいた皆様の声
・ 具体的な 事例が多くて良い。
・演習で 議論できて良かった。
・危険予知訓練の 事例が多くてよい 。
・書籍はとても役に立ちそう。
・演習が 役に立った。
・危険予知訓練の方法を学ぶことが出来た。
・プロジェクトで更に 訓練を積み予知力を高めたい。
・演習が 具体的 でわかりやすい。
・擬似的に危険予知に取り組むことが出来た。
・危険予知の考え方がわかった。
・ 具体的なアドバイスが多く、わかりやすかった。
・ 職場ですぐ出来る のが良い。
・頭の体操になった。危険予知の重要性が分かりました。
・危険予知を洗い出す 演習が実践的 で良かった。
※研修会社様主催の講師
2010年 2月 18名
2010年 7月 32名
2010年 9月 27名
2010年 11月 25名
2011年 1月 4名
2011年 5月 12名
2011年 8月 27名
2011年 11月 11名
2012年 2月 24名
2012年 5月 5名
2012年 8月 5名
2012年 11月 10名
2013年 2月 13名
2013年 5月 3名
2013年 8月 24名(情報センターin富山)
2013年 11月 34名(社内研修in富山)
2014年 1月 4名
2014年 6月 3名
2014年 8月 5名(情報センターin富山)
2014年 10月 5名
2015年 2月 4名
2015年 12月 4名
2019年 7月 7名
2019年 12月 5名
2021年 9月 10名(リスク管理 Zoom)
2021年 12月 12名(Zoom)
2022年 6月 4名(Zoom)
合計 337名
プロジェクト管理におけるリスクマネジメント
プロジェクトには様々なリスクが付き物です。すべてのリスクを予測し、万全に対応することは不可能ですし、すべてのリスクをゼロにすることもまた不可能です。しかしながら、リスクがあることを考慮せずにプロジェクトを進めてしまうと、ビジネスとして失敗を招くことになるかもしれません。 プロジェクト管理者がプロジェクトにおけるリスクをどのように想定し、対処するか。 これを指してリスクマネジメントと呼び、プロジェクト管理では大変重要なポイントとなります。
1. 統合マネジメント
2. スコープマネジメント
3. スケジュールマネジメント
4. コストマネジメント
5. 品質マネジメント
6. 資源マネジメント
7. コミュニケーションマネジメント
8. リスクマネジメント
9. 調達マネジメント
10. ステークホルダーマネジメント
プロジェクト管理におけるリスクマネジメントとは
個別リスク
全体リスク
上述した分類から察することができますが、 プロジェクトにおけるリスクとはすなわちプロジェクトに関する事象の不確実性を意味します。 リスク管理 プロジェクト管理者がどれほど綿密な計画を練ったとしても、計画にそぐわない事象は発生します。また、計画の時点では想定できない事象もまたリスクのひとつです。プロジェクト管理者がリスクマネジメントへあたる際、リスクとなる不確実性を排除するのではなく、コントロールすることが重要です。
リスクマネジメントの7つのプロセス
計画プロセス群
1. リスクマネジメントの計画
計画はリスクマネジメントの第一歩です。リスクに関するプロセスをどのように進めるか定義し、リスクを洗い出すための分析ツールを決め、リスクマネジメント計画書を作成します。プロジェクトが構想された時点で開始され、プロジェクトの想起に終結させるべきプロセスですが、プロジェクトは常に状況が変化するため、プロジェクト全体の後半部分において見直す必要があります。
なお、リスクマネジメントを計画する際、WBS(Work Breakdown Structure)に似たRBS(Risk Breakdown Structure)を作成することもあります。RBSとは事前に想定しうるリスクのカテゴリを区分したものです。次のプロセスでリスクを探索するために、あるいは特定されたリスクを分類する際に有用です。
2. リスクの特定
個別リスクと全体リスク、両方の洗い出しを行います。基本的に、リスクの洗い出しには関係者が全員参加することが求められます。これにより「リスク登録簿」というリスクのリストを作成します。個別のリスクを記述する際は書式を統一し、 各リスクが曖昧さを残さず明確に理解されることが必要 です。
3. リスクの定性的分析
洗い出したリスク項目の発生確率や影響度を分析し、緊急度を加味して対応のための優先順位を付けます。優先順位はプロジェクトチームとステークホルダーによる主観的なリスク認識に基づくため「定性的分析」と呼ばれます。主観による偏りを排除するために、 プロジェクト管理者は主要なステークホルダーがリスクへどのような態度を取るのか特定し、マネジメントする必要があります。
4. リスクの定量的分析
個別のリスクとプロジェクト目標全体における不確実性要因が複合した場合の影響を数量的に分析します。具体的にはシミュレーションなどにより、プロジェクト全体に及ぶリスクの影響度を数値化します。定量的分析には高度な技術を要するため、分析を専門家に依頼するか、あるいは実施しないということもありえます。
5. リスク対応の計画
プロジェクトの全体リスクと個別リスクへ対処するために、選択肢を策定の上、戦略を選択し、対応処置に対する合意を形成します。具体的には、必要に応じてリソースを配分し、その内容をプロジェクト文書とプロジェクトマネジメント計画書へ記載します。例えば、優先順位の高いリスクに対しては相応の対策が必要になりますから、リソースを多く割く必要があります。
実行プロセス群
6. リスク対応策の実行
実行のプロセスでは、リスク対応の計画によって合意が得られた内容を実行します。よくある問題は、リスクマネジメントの「計画プロセス群」においてリスクの洗い出しや対応の計画を練ったにもかかわらず、リスク対応策が実行されない、ということがあります。簡単に言うと「計画しただけで実行しなかった」ということです。 リスクの特定プロセスにおいて指名されたリスクオーナーが対応策の実行に必要な工数を掛けた場合のみ、リスクマネジメントが適切に機能していると言えます。
監視・コントロールプロセス群
7. リスクの監視
対応したリスクや受容したリスクを追跡します。また、新たなリスクを分析して対応したり、もう発生しないと判断できるリスクを終結して報告書を作成したりします。個別リスクはどのように扱われたのか、全体リスクのレベルがどのように変化したのか、現在のリスクマネジメント手法は効果的か否か、リスクマネジメントの方針と手順は守られているか、コストやスケジュールに猶予があるか否か、といった様々な観点から、プロジェクト管理者はリスクマネジメントの効果を判断します。
事象リスクと非事象リスク
突発リスクへの対応
未知の未知に対しては具体的な対応策を講じておくこともできないため、 突発リスクへの対応はプロジェクトの回復力にかかっています。 回復力はレジリエンスとも呼ばれます。例えば自然災害を予見することは困難ですが、自然災害が発生した場合にプロジェクトが回復力を備え、自然災害のダメージから復帰できる状態であればリスクへ対応できていると言えます。
統合的リスクマネジメント
プロジェクト管理におけるリスクマネジメントのまとめ
不確実性の強いリスクについて、計画を通し、適切にコントロールすることで マイナスの影響を最小限に留め、プラスの影響を最大限に得られるように調整することがリスクマネジメントの目的 になることを常に念頭に置いておきましょう。
NTT東日本、リスク管理会社「NTT Risk Manager」を設立、東京海上日動とトレンドマイクロが共同出資
NTT東日本は2022年6月15日、新会社「NTT Risk Manager」(東京都新宿区)を同年7月1日に設立すると発表した。ユーザー企業のリスク管理に必要な要素をワンストップで提供する会社であり、当面の事業内容は、コンサルティング、損害保険の販売、リスク対策サービスの開発・提供、の3つ。コンサルティング以外の要素については、共同出資会社である東京海上日動火災保険およびトレンドマイクロのアセットと知見を活用する。資本金は2億5000万円で、出資比率は非公開だが、NTT東日本が過半数を占める。販売目標は3年後に20億円程度(コンサルティングが7割、保険が1割程度を見込む)。
NTT東日本は、ユーザー企業のリスク管理に必要な要素をワンストップで提供する新会社「NTT Risk Manager」(東京都新宿区、図1)を2022年7月1日に設立する。当面の事業内容は、コンサルティング、損害保険の販売、リスク対策サービスの開発・提供、の3つ(図2)。
図1:新会社「NTT Risk Manager」のロゴ(出典:NTT東日本)
図2:新会社「NTT Risk Manager」の事業内容(出典:NTT東日本)
拡大画像表示
コンサルティング以外の要素については、共同出資会社である東京海上日動火災保険およびトレンドマイクロのアセットと知見を活用する。新会社の概要は記事末の表1の通り。資本金は2億5000万円で、3社による出資比率は非公開だが、NTT東日本が過半数を占める。
販売目標は3年後に20億円程度(コンサルティングが7割、保険が1割程度を見込む)。会社の規模は、初年度10人弱、5年後に30人強を予定する。新会社の代表取締役社長には、一ノ瀬勝美氏(現職は、NTT東日本 ネットワークセキュリティ推進室 室長)が就任する予定(写真1)。
写真1:写真左から、NTT東日本 経営企画部営業戦略推進室室長の加藤成晴氏(出資会社代表者)、新会社の代表取締役社長に就任予定の一ノ瀬勝美氏(現職は、NTT東日本 ネットワークセキュリティ推進室 室長)、新会社の代表取締役副社長に就任予定の白石涼子氏(現職は、NTT東日本 リスク管理 経営企画部営業戦略推進室担当部長)
リスクを見つける! 企業システム戦略の危険予知訓練
研修
ITプロジェクトの 現場は危険がいっぱい です。事実、さまざまな調査でも 成功率は30% 程度と言われて久しく、思いのほか好転していないようです。失敗の主な原因は、やはり 不完全な要件や要件変更の多発 などにあります。これらを解決するために、要件定義の方法論やプロジェクト管理の知識体系、ソフトウェア開発プロセスなどが研究され、 それなりに普及しているにもかかわらず です。
これらの方法論や管理体系は、「こうすれば、うまくいく」という一つの解決策を与えてくれるものですが、 現場・現実のプロジェクトはさまざまな リスク にさらされており 、万能と言える「 銀の弾丸 」は存在しない ということです。特に昨今の不確実性の高いITプロジェクトの現場においては、 リスク を早い段階からアセスメント(リスク管理 抽出・分析・評価)した上で、適切な事前対策・事後対策をとるべく、 リスク・マネジメント が重要になってきています。
リスク とは、将来に起こるかもしれない 危険 ですから、ドキュメント・レビューを実施しても、先々を見通すことができる 危険予知能力 が無ければ、効果的にリスクを抽出することが困難です。危険に対する感度といっても良いでしょう。 そもそもリスクを抽出できなければ 、如何にしても適切にマネジメントすることはできません。従って、これこそが実践的なプロマネ力として重要となる能力です。これは、方法論や知識体系を学んだだけでは、決して手に入れることはできません。多くの場合は、失敗して痛い思いをした 経験から得られ るものです。経験のある優秀なプロマネや技術者が、要件や設計、ソースコードやコミュニケーション上の危険を直感的に感じ取れることを証言しています。しかし、感度を高めるためとはいえ、 そうそう失敗ばかりはしていられません 。
そこで、本研修では産業界で事故防止を目的として実践されている【 危険予知訓練 】を、ITプロジェクトに応用することを提案します。過去の失敗事例に学び、訓練で擬似的に失敗経験を積むことで危険感度を高め、現場を劇的に変える! リスク管理 危険予知能力の獲得を目指す ものです。この危険予知能力を獲得することが、現場での 実戦的なプロマネ力 を鍛えることにつながります。 ただ、危険予知訓練をITプロジェクトに応用するには、ちょっとした頭の使い方、脳トレーニングが必要になります。
これらの訓練法をインターネットで公開したところ、研修講演の依頼をいただき、書籍も発刊できました。★世界で一つだけ、現場を劇的に変える! オンリーワンの ITプロジェクトの危険予知訓練法 に関する書籍です。
すでに多くの方々が研修を受講し、講義と実践的な演習を通じ、危険予知訓練の方法を身につけ、日々、 プロジェクトマネジメント能力の実戦力向 上に取り組み、効果を実感しています。ぜひとも、この機会に研修を通じ、危険予知訓練の方法を身につけ、 実戦的なプロマネ能力を向上 リスク管理 させていただきたい!!と思います。そして 不確実性に負けないよ う、マネジメントの現場を劇的に変えて欲しいと思います。 危険予知により、早期に大きなリスクを発見できれば、その 経済効果 (手戻り等の損失コスト削減、利益率や投資対効果の向上)は計り知れません。 まさに” 現場で役に立つ ”研修です。
1. プロマネ力と危険予知能力
1.1 ITプロジェクト
1.2 リスク管理
1.3 ドキュメント・レビュー
2. IT危険予知訓練
2.1 危険予知訓練
2.2 IT危険予知訓練の概要
(1) 危険状況
(2) 危険分類
(3) 危険要因
(4) 危険度(発生頻度x影響度)
(5) 危険回避策
2.3 IT危険予知訓練法
(1) 4ラウンド法
(2) プロマネ力を鍛える
2.4 危険予知能力レベル
(1) 危険予知能力レベルの5段階 リスク管理
(2)PMBOKの知識エリア別危険予知能力評価
3. 失敗事例100例によるIT危険予知訓練
※5~10テーマを選択し、危険予知訓練のグループ演習を行います。
研修コースと費用等
★研修を予約・申し込みする
1.ショート :
2時間(講義1時間、演習1時間)
¥15,000/人(含、消費税・テキスト代)
Zoom 月~金 20:00~22:00
2.スタンダード:
4時間(講義2時間、演習2時間)
¥30,000/人(含、消費税・テキスト代)
Zoom 月~金(※毎月1回)、土(※毎週) 13:00~17:00
3.ロング :
6時間(講義2時間、演習4時間)
¥45,000/人(含、消費税・テキスト代)
Zoom 月~金(※毎月1回)、土(※毎週) 10:00~17:00
★集合研修( 相談する )月~金(※毎月1回) 10:00~17:00
\別途、交通・宿泊費が必要です。
4.eラーニング
音声付パワーポイント(リスク管理 約3時間) ※試聴用サンプル
\20.000/ライセンス ※1ライセンス5人まで同時視聴可能。
研修にご参加いただいた皆様の声
・ 具体的な 事例が多くて良い。
・演習で 議論できて良かった。
・危険予知訓練の 事例が多くてよい 。
・書籍はとても役に立ちそう。
・演習が 役に立った。
・危険予知訓練の方法を学ぶことが出来た。
・プロジェクトで更に 訓練を積み予知力を高めたい。
・演習が 具体的 でわかりやすい。
・擬似的に危険予知に取り組むことが出来た。
・危険予知の考え方がわかった。
・ 具体的なアドバイスが多く、わかりやすかった。
・ 職場ですぐ出来る のが良い。
・頭の体操になった。危険予知の重要性が分かりました。
・危険予知を洗い出す 演習が実践的 で良かった。
※研修会社様主催の講師
2010年 2月 18名
2010年 7月 32名
2010年 9月 27名
2010年 リスク管理 11月 25名
2011年 1月 4名
2011年 5月 12名
2011年 8月 27名
2011年 11月 11名
2012年 2月 24名
2012年 5月 5名
2012年 8月 5名
2012年 11月 10名
2013年 2月 13名
2013年 5月 3名
2013年 8月 24名(情報センターin富山)
2013年 11月 34名(社内研修in富山)
2014年 1月 4名
2014年 6月 3名
2014年 8月 5名(情報センターin富山)
2014年 10月 5名
2015年 2月 4名
2015年 12月 4名
2019年 7月 7名
2019年 12月 5名 リスク管理
2021年 9月 10名(Zoom)
2021年 12月 リスク管理 12名(Zoom)
2022年 6月 4名(Zoom)
合計 337名
コメント