sg sg-management project_management risk_assessment
まず結論
- リスクマネジメントとは、プロジェクトで起こるかもしれない不確実な問題を事前に考え、影響を減らすために備える管理です。
- SG試験では、単に「問題が起きた後に対応すること」ではなく、起きる前に洗い出し、評価し、対応を準備することとして理解することが大切です。
- 選択肢では、課題管理、インシデント対応、リスクアセスメント、統合マネジメントと混同させてくることがあります。
リスクとは、将来起こるかもしれない不確実な事象です。
たとえば、プロジェクトでは次のようなリスクがあります。
- 重要な担当者が急に不在になる
- 委託先の作業が遅れる
- 想定より導入作業に時間がかかる
- 利用者から強い反発が出る
- 追加費用が発生する
- セキュリティ上の問題が見つかる
まだ起きていない段階で、こうした問題を想定し、備えておくのがリスクマネジメントです。
直感的な説明
リスクマネジメントは、プロジェクトの 転ばぬ先の杖 です。
旅行で考えると分かりやすいです。
旅行前に、次のようなことを考える場合があります。
- 雨が降るかもしれないので傘を用意する
- 電車が遅れるかもしれないので早めに出る
- 体調を崩すかもしれないので薬を持っていく
- 道に迷うかもしれないので地図アプリを確認する
これらは、まだ問題が起きていない段階での備えです。
プロジェクトでも同じです。
問題が起きてから慌てて対応するのではなく、あらかじめ、
- どんな問題が起きそうか
- 起きたらどれくらい影響が大きいか
- 起きやすさはどれくらいか
- 事前に何をしておくか
- 起きたときにどう対応するか
を考えておきます。
つまり、リスクマネジメントは、未来の不確実性をゼロにする活動ではなく、影響を小さくするための準備です。
定義・仕組み
リスクマネジメントは、プロジェクトの目標達成に影響を与える不確実な事象を洗い出し、評価し、対応策を考える管理です。
PMBOK Guide は、プロジェクトマネジメントの標準として、リスクやスコープ、スケジュール、コストなどの実務領域を整理しています。詳しくは PMI公式のPMBOK Guideページ を確認できます。
SG試験向けには、リスクマネジメントを次の流れで押さえると理解しやすいです。
| 流れ | 内容 |
|---|---|
| リスクを洗い出す | 起こりそうな問題を考える |
| リスクを評価する | 発生可能性と影響度を確認する |
| 対応策を考える | 回避・低減・移転・受容などを検討する |
| 対応を実施する | 必要な対策を行う |
| 状況を見直す | 新しいリスクや変化を確認する |
ここで重要なのは、発生可能性と影響度です。
発生可能性は、そのリスクがどれくらい起こりそうかという見方です。
影響度は、起きた場合にプロジェクトへどれくらい影響するかという見方です。
たとえば、起こりやすく、影響も大きいリスクは、優先して対策を考える必要があります。
どんな場面で使う?
リスクマネジメントは、プロジェクトの計画段階から実行中まで継続して使います。
たとえば、次のような場面です。
- 新しいシステム導入で、移行失敗の可能性を考える
- 委託先の作業遅延に備える
- セキュリティ対策の導入で、利用者の混乱に備える
- 予算超過や納期遅れの可能性を確認する
- 重要メンバーの不在に備えて引継ぎを準備する
SG試験では、情報セキュリティ対策を進める場面でもリスクマネジメントの考え方が関係します。
たとえば、多要素認証を導入するプロジェクトでは、次のようなリスクが考えられます。
| リスクの例 | 対応の考え方 |
|---|---|
| 利用者が操作に迷う | 事前教育やマニュアルを準備する |
| 認証トラブルで業務が止まる | 問い合わせ窓口や代替手順を用意する |
| 委託先の設定作業が遅れる | 進捗確認や予備日を確保する |
| 想定より費用が増える | 追加費用の条件を事前に確認する |
| 対象システムが増える | スコープ変更の影響を確認する |
このように、リスクマネジメントでは、まだ起きていない問題を考え、事前に備えます。
よくある誤解・混同
誤解1:リスクマネジメントは問題が起きた後の対応である
リスクマネジメントは、問題が起きた後だけの対応ではありません。
基本は、問題が起きる前に、起こりそうな事象を洗い出し、影響を評価し、対応策を考えることです。
すでに起きた問題への対応は、課題管理やインシデント対応に近い話になります。
誤解2:課題管理と混同する
リスクは、まだ起きていない不確実な事象です。
課題は、すでに発生していて対応が必要な問題です。
- 起こるかもしれない問題に備える → リスクマネジメント
- すでに起きた問題を解決する → 課題管理
SG試験では、起きる前の備えなのか、起きた後の対応なのかを確認すると判断しやすくなります。
誤解3:インシデント対応と同じものだと考える
インシデント対応は、セキュリティ事故や障害などが発生した後に、影響を抑え、原因を調べ、復旧や再発防止を行う活動です。
一方、リスクマネジメントは、インシデントが起こる前に、起こり得る問題を想定して対策を考えます。
たとえば、
- 認証障害が起きる可能性を考えて代替手順を準備する → リスクマネジメント
- 実際に認証障害が起きたので復旧対応する → インシデント対応
と切り分けます。
誤解4:リスクアセスメントと同じものだと考える
リスクアセスメントは、リスクを洗い出し、分析し、評価する活動です。
リスクマネジメントは、リスクアセスメントを含めて、対応策の検討、実施、見直しまで行う広い考え方です。
つまり、
- リスクを見つけて評価する → リスクアセスメント
- 評価したリスクに対応し、継続的に管理する → リスクマネジメント
と切り分けます。
誤解5:統合マネジメントと同じものだと考える
リスクマネジメントは、不確実な問題を中心に管理します。
一方、統合マネジメントは、リスクだけでなく、スコープ、スケジュール、コスト、品質などを含めて、プロジェクト全体の整合性を調整します。
たとえば、委託先の作業遅延リスクが見つかった場合、
- 遅延の可能性や影響を評価し、対策を考える → リスクマネジメント
- その対策によって納期・費用・作業範囲をどう調整するかを見る → 統合マネジメント
と切り分けます。
SG試験では、不確実性そのものを見るのか、全体への影響を調整するのかが判断ポイントです。
誤解6:リスクはすべてなくせると考える
リスクを完全にゼロにすることは難しいです。
そのため、リスクマネジメントでは、回避、低減、移転、受容などを考えます。
たとえば、影響が小さく、発生可能性も低いリスクは、あえて受け入れる判断をすることもあります。
選択肢で「すべてのリスクを完全に排除する」と書かれていたら注意です。
まとめ(試験直前用)
- リスクマネジメントは、まだ起きていない不確実な問題に備える管理です。
- 発生可能性と影響度を見て、優先して対応すべきリスクを判断します。
- 課題管理はすでに起きた問題、インシデント対応は発生後の事故対応です。
- リスクアセスメントはリスクの洗い出し・分析・評価で、リスクマネジメントは対応や見直しまで含みます。
- SG試験では、起きる前の備えなのか、起きた後の対応なのかで選択肢を切り分けます。
🔗 関連記事
- アローダイアグラムとは?作業順序と所要日数を表す図【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査調書とは?監査結果の裏付けになる記録を整理【SG試験】
- 稼働率とは?可用性の考え方とSLAでの判断基準【SG試験】
- BCMとは?BCPを運用・改善する考え方【SG試験】