ストーリー
田
田中VPoE
ROI/TCOで投資の「リターン」を示した。次は経営層が必ず聞いてくる質問に備える。「リスクは何か?」だ
あなた
技術的なリスクであれば想定できますが、経営層が気にするリスクは違うのでしょうか?
あ
田
田中VPoE
経営層が見ているリスクは技術リスクだけではない。「投資したお金を回収できないリスク」「プロジェクトが遅延するリスク」「人材が確保できないリスク」「競合に先を越されるリスク」。これらを体系的に洗い出し、「すべて把握して対策を打っている」と示すことで、経営層に安心感を与える
あなた
リスクを隠すのではなく、リスクを明示して対策を示すことが信頼につながるんですね
あ
田
田中VPoE
その通りだ。リスクを提示しない提案は「リスクを把握していない」と見なされる。むしろ信頼を失う
リスクの分類体系
技術投資における4カテゴリのリスク
| カテゴリ | 内容 | 例 |
|---|---|---|
| 実行リスク | プロジェクトの計画通りの遂行に関するリスク | スケジュール遅延、コスト超過、技術的障壁 |
| ビジネスリスク | ビジネス環境の変化に関するリスク | 市場変化、競合動向、規制変更 |
| 組織リスク | 組織・人材に関するリスク | 人材流出、スキル不足、変革への抵抗 |
| 技術リスク | 技術の選定・運用に関するリスク | 技術の陳腐化、ベンダーロックイン、セキュリティ脆弱性 |
リスク特定の手法
1. リスクブレークダウンストラクチャ(RBS)
技術投資のリスクRBS:
実行リスク
├── スケジュールリスク
│ ├── 要件の不確定性
│ ├── 技術的な検証不足
│ └── 外部依存(ベンダー、API)
├── コストリスク
│ ├── 見積もりの不確実性
│ ├── スコープクリープ
│ └── 為替変動(外国サービス利用時)
└── 品質リスク
├── 移行時のデータ損失
├── パフォーマンス劣化
└── 既存機能への影響
ビジネスリスク
├── 市場リスク
│ ├── 顧客ニーズの変化
│ └── 競合の技術的追い上げ
├── 規制リスク
│ ├── 個人情報保護法の改正
│ └── 業界固有の規制強化
└── 財務リスク
├── ROIの未達
└── 投資回収期間の延長
組織リスク
├── 人材リスク
│ ├── キーパーソンの離職
│ ├── スキルギャップ
│ └── 採用の難航
├── 変革リスク
│ ├── 組織文化との不整合
│ ├── 現場の抵抗
│ └── 経営層のコミットメント低下
└── ステークホルダーリスク
├── 部門間の利害対立
└── 意思決定の遅延
技術リスク
├── アーキテクチャリスク
│ ├── スケーラビリティ不足
│ ├── 技術的負債の蓄積
│ └── セキュリティ脆弱性
├── インフラリスク
│ ├── クラウド障害
│ ├── ベンダーロックイン
│ └── データの可搬性
└── 依存関係リスク
├── OSSのメンテナンス終了
├── サードパーティAPIの変更
└── ライセンス条件の変更2. プレモーテム分析
プロジェクトが「失敗した」と仮定し、その原因を逆算する手法です。
プレモーテム分析の進め方:
1. 仮定: 「このプロジェクトは1年後に失敗した」
2. 質問: 「なぜ失敗したのか?」を各メンバーが独立して列挙
3. 分類: 原因を4カテゴリ(実行/ビジネス/組織/技術)に分類
4. 優先順位: 発生確率と影響度で優先順位付け
5. 対策: 上位リスクに対する予防策を策定3. FMEA(故障モード影響分析)
| 故障モード | 影響 | 原因 | 発生度 | 影響度 | 検出度 | RPN |
|---|---|---|---|---|---|---|
| データ移行の失敗 | サービス停止 | 移行手順の不備 | 3 | 5 | 2 | 30 |
| クラウドコスト超過 | 予算超過 | サイジング不足 | 4 | 3 | 4 | 48 |
| キーエンジニアの離職 | プロジェクト遅延 | 業務過多 | 3 | 4 | 3 | 36 |
RPN(リスク優先度数) = 発生度 × 影響度 × 検出度
各項目は1-5で評価(5が最も悪い)
RPN > 40: 高リスク(即座に対策が必要)
RPN 20-40: 中リスク(対策を計画)
RPN < 20: 低リスク(監視)リスクレジスターの作成
リスクレジスターテンプレート
| ID | カテゴリ | リスク | 発生確率 | 影響度 | リスクスコア | オーナー | ステータス |
|---|---|---|---|---|---|---|---|
| R-001 | 実行 | スケジュールが3ヶ月以上遅延 | 中 | 高 | 高 | PM | 対策中 |
| R-002 | 技術 | クラウド移行時のデータ損失 | 低 | 極高 | 高 | テックリード | 対策済 |
| R-003 | 組織 | クラウドスキルの不足 | 高 | 中 | 高 | EM | 対策中 |
| R-004 | ビジネス | 競合の類似サービスリリース | 中 | 中 | 中 | 事業部長 | 監視中 |
経営層への提示方法
| 提示要素 | 内容 |
|---|---|
| リスクの全体像 | 4カテゴリで体系的に分類して提示 |
| 上位リスク | 影響度×確率で上位5-10件に絞って詳細説明 |
| 対策状況 | 各リスクの対策ステータス(対策済/対策中/監視中) |
| 残留リスク | 対策後も残るリスクを正直に提示 |
「リスクを10個提示して、そのすべてに対策を示せば、経営層は”このエンジニアは信頼できる”と判断する。リスクをゼロと言い張るエンジニアは信頼されない」 — 田中VPoE
まとめ
| ポイント | 内容 |
|---|---|
| リスクの4カテゴリ | 実行、ビジネス、組織、技術の4つで体系的に分類 |
| 特定手法 | RBS、プレモーテム分析、FMEAを組み合わせて網羅的に洗い出す |
| リスクレジスター | ID、カテゴリ、確率、影響度、スコア、オーナー、ステータスで管理 |
| 提示の原則 | リスクを隠さず、対策とセットで提示することが信頼を勝ち取る |
チェックリスト
- リスクの4カテゴリ分類を理解した
- RBS、プレモーテム分析、FMEAの手法を理解した
- リスクレジスターの作成方法を理解した
- 経営層へのリスク提示の原則を理解した
次のステップへ
次は「リスクの定量化」を学びます。特定したリスクを金額で表現し、経営層の投資判断に組み込む方法を身につけましょう。
推定読了時間: 30分