-shared-img-thumb-AL008-okanewoyoukyuu20140722_TP_V

新しく情報システムの導入を検討している段階では、費用対効果の他にリスクについて考えることがあると思います。リスクとは、ビジネスに影響を及ぼす可能性のある不確定要素のことです。

ここでは、「情報システム導入に伴うリスクにはどのようなものがあるのか」と、その対策についてお話ししていきます。ここで述べる内容を理解することにより、ビジネスにおけるリスクマネジメントの基礎が学べるとともに、情報システム導入の意思決定に役立てることができます。

リスクのマネジメントを行う

一般に、リスクのマネジメントは「計画と「コントロールの段階に分けて考えます。まず計画については、リスク対応の計画を立案することが目的です。リスクは、起きるかどうかわからない不確定要素の面と、起きたときの影響度がそれぞれ異なります。

そのため、これらのリスクごとの対応計画が必要になります。

計画は、一度計画を立てたら立てっぱなしで終わるということはありません。随時計画の見直しを行うことも、計画の中に含まれます。この点で、「計画」という言葉の持つ印象と実際の計画は異なっています。

一方でリスクのコントロールについては、システム開発が進むにつれて「計画したリスクの変化を監視する」こと、および「発生したリスクへ対応すること」が主な作業になります。

それでは、リスクへの対応計画とコントロールについてより詳しく見ていきましょう。

リスクを洗い出し、一覧表を作成する

システム導入に伴い、どのようなリスクがあるか洗い出します。例えばこのときに「システムの仕様を決められない」「想定よりも開発に工数がかかる」「使ってみてから新たに必要な機能が出るかもしれない」「運用してから不具合が多発し、その対応に追われる」という4つの項目が出たとします。

ちなみに、「システム開発費用がかかる」は不確定要素を表していませんので、リスクとして取り扱いません。

リスクは、発生確率と発生した場合のビジネスへの影響度がそれぞれの項目によって大きく異なります。そのため、より細かく管理するためには発生確率と影響度に応じてリスクや対応計画をランク分けするようなこともします。

ここで洗い出されたリスク項目は、「リスク一覧表」で管理していきます。表には、「管理番号」「重要度」「発生日」「リスクの内容」「対応者」「発生および対応状況」「終了予定日」といった項目を入れておきます。

そして、それぞれのリスクに対して対応計画を策定します。例えば次のような形です。

  • システムの仕様を決められない → 仕様策定の工程を作成し、それぞれのステップごとに進ちょくを管理する
  • 想定よりも開発に工数がかかる → それぞれの機能の必要性を吟味し、開発項目の限定と追加予算確保の両面を検討する
  • 使ってみてから新たに必要な機能が出るかもしれない → 開発終了後に使える追加要望の予算を見込んでおく
  • 運用してから不具合が多発し、その対応に追われる→稼働前動作テストの実施計画を立てる

リスク一覧表は、システム開発プロジェクトが進む間、常に更新していくようにします。

リスクをコントロールする

システム開発が始まるとともに、リスクのコントロールも行うことになります。基本的には定期的にリスク一覧表をレビューし、更新していく作業になります。

リスクが発生したら、その対応計画を実施します。システム開発中に新たなリスクが判明したら、リスク一覧表に追加します。計画段階でリスクとして挙げたけれども、結局そのリスクが起きないことがわかったら、そのリスク対応は終了としてリスク一覧表を更新します。

リスク一覧表はシステム開発担当のメンバー間で共有し、いつでも参照できるようにしておきましょう。

このように、リスクは発生確率と影響度が個々に異なるという特性があります。そのため、リスクの管理においては、個別のリスクごとに固有の対応計画を立てる必要があります。リスクについては、対応計画の策定とコントロールを正しく行うことにより、発生時の影響度を最小限に抑えることが可能になります。