リスクマネジメントの手順|識別・分析・対応・監視の4ステップで進める

プロジェクトのリスクマネジメントを「識別 → 分析 → 対応 → 監視」の4ステップで実務目線で解説。リスク登録簿(リスクレジスター)の作り方、確率影響マトリクスを使った定性・定量分析、脅威への4戦略(回避・転嫁・軽減・受容)と好機への4戦略、監視サイクルの回し方まで、初めてリスク管理を任された PM が今日から使える手順書としてまとめました。

※ 本記事はアフィリエイト広告(Amazon アソシエイト等)を含みます

「リスク管理をやれと言われたが、何から手をつければいいのか分からない」——本記事はその状態を、識別 → 分析 → 対応 → 監視という4つのステップに分解して解消します。結論から言えば、リスクマネジメントは「①起こりそうな悪いこと(と良いこと)を洗い出し → ②発生確率と影響度で優先順位をつけ → ③優先度の高いものに手を打ち → ④状況の変化を追い続ける」という一連のサイクルであり、この順番で回すだけで抜け漏れなく進められます。

なぜこの4ステップなのか。理由は、リスクが「まだ起きていない不確実な出来事」だからです。起きていないものは、まず見えるようにしないと対処できません(識別)。見えても全部に対応する時間はないので優先順位をつける必要があり(分析)、優先度の高いものだけ具体的な手を打ち(対応)、プロジェクトは動き続けるので新しいリスクを拾い直す(監視)。この因果がそのまま手順になっています。

たとえば「キーメンバーが途中で抜けるかもしれない」というリスクは、識別で登録簿に書き、分析で「確率:中/影響:高」と評価し、対応で「引き継ぎ資料を前倒しで作る(軽減)」と決め、監視で毎週その兆候を確認する——という流れになります。本記事では、この4ステップを一つずつ、リスク登録簿の具体的な列構成まで含めて解説します。

そもそもリスクとは?「課題」との違いを先に押さえる

手順に入る前に、言葉を1つだけ整理します。プロジェクトにおける リスク(Risk) とは「発生すれば目標に影響する、まだ起きていない不確実な出来事」です。ここで大事なのは、リスクには悪いもの(脅威)だけでなく、良いもの(好機)も含まれるという点です。

そして混同しやすいのが 課題(Issue) との違いです。両者は「時制」で区別できます。

区分状態管理する場所
リスクまだ起きていない(未来の不確実性)「連休明けに要員が抜けるかもしれない」リスク登録簿
課題すでに起きている(現在の事実)「今週、要員が1人抜けた」課題管理表(Issue Log)

この記事で扱う4ステップは、PMBOK® のリスク・マネジメント知識エリアを実務向けに凝縮したものです。試験(PMP®・情報処理 PM 試験)で問われる7プロセスの厳密な区分については「PMP リスク管理 完全対策|リスク識別から対応まで」で解説しているので、資格対策として体系的に押さえたい方はそちらを参照してください。本記事は 「現場で今日から回すための最小手順」 に振り切ります。

ステップ1|リスク識別:洗い出してリスク登録簿を作る

最初のステップは、プロジェクトに潜むリスクを とにかく洗い出す ことです。ここで精度を求めすぎて手が止まるより、まず数を出すことを優先します。

リスクの洗い出し方(4つの切り口)

漏れなく出すには、切り口を決めて機械的に問うのが有効です。

  • 成果物からWBS の各成果物ごとに「これが遅れる・品質を満たさない要因は?」と問う
  • QCD から:スコープ・コスト・スケジュール・品質のそれぞれで「崩れるとしたら何が原因か」を問う
  • ステークホルダーから:関係者ごとに「協力が得られない・要求が変わる可能性は?」を問う
  • 過去の教訓から:類似プロジェクトの教訓リポジトリや、チームの経験から「前回ハマったこと」を引く

リスク登録簿(リスクレジスター)の列構成

洗い出したリスクは、リスク登録簿(リスクレジスター) という1つの表に集約します。これがリスク管理の”台帳”になり、以降のステップはすべてこの表を育てていく作業です。最低限、次の列を用意します。

内容
ID一意の識別番号R-001
リスク内容「〜という原因で、〜が起こり、〜という影響が出る」「主要ベンダーの遅延により、結合テストが2週間遅れる」
分類脅威/好機脅威
発生確率高/中/低(後で分析)
影響度高/中/低(後で分析)
優先度確率×影響(後で分析)
対応戦略回避/転嫁/軽減/受容 等(後で対応)軽減
対応策具体的なアクション「週次でベンダー進捗を確認し、遅延兆候で人員追加を要請」
担当者(オーナー)そのリスクを見張る責任者山田
状態オープン/対応中/クローズオープン

ステップ2|リスク分析:確率と影響で優先順位をつける

洗い出したすべてのリスクに全力で対応する時間はありません。そこで、発生確率影響度の2軸で評価し、対応すべき順番を決めます。分析には定性・定量の2種類があります。

定性的リスク分析:確率影響マトリクスで優先順位づけ

実務でまず使うのが 定性的リスク分析 です。各リスクの発生確率と影響度を「高・中・低」で主観的に評価し、確率影響マトリクス の上に並べて優先順位をつけます。

発生確率\影響度影響:低影響:中影響:高
確率:高最優先
確率:中
確率:低

右上(確率も影響も高い)に来たリスクから優先的に手を打ちます。この作業の目的は精密な数値化ではなく、「どれを先に対応するか」の合意をチームで取ることです。数分〜数十分で全リスクをふるいにかけられるのが定性分析の強みです。

定量的リスク分析:数値で影響を見積もる

定性分析で優先度が高いと判定された重要リスクだけを対象に、必要に応じて 定量的リスク分析 を行います。これは影響を金額や日数などの数値で見積もる手法です。

  • ポイント換算:確率「高=3・中=2・低=1」×影響「高=3・中=2・低=1」でスコア化し、順位を明確にする
  • 金額での期待値(EMV):EMV = 発生確率 × 影響金額。たとえば「発生確率30% × 損失500万円 = 期待値150万円」として、対応にかけてよいコストの目安にする

ステップ3|リスク対応:優先度の高いものに手を打つ

優先順位が決まったら、上位のリスクから 対応戦略 を選びます。戦略は脅威(マイナス)と好機(プラス)で対になっており、それぞれ4つあります。

脅威(マイナスのリスク)への4戦略

戦略意味
回避(Avoid)リスクの原因そのものを取り除く実績のない新技術の採用をやめ、枯れた技術に変更する
転嫁(Transfer)リスクを第三者に移す専門領域を外部委託する/保険をかける
軽減(Mitigate)発生確率か影響度を下げる早期にプロトタイプを作り、問題を前倒しで洗い出す
受容(Accept)受け入れ、起きたときの備えだけ用意する影響の小さいリスクは監視のみとし、予備費を確保しておく

好機(プラスのリスク)への4戦略

戦略意味(脅威の裏返し)
活用(Exploit)好機を確実に取りに行く(回避の逆)早く終わりそうなら要員を増やして前倒しを確定させる
共有(Share)好機を得意な第三者と組んで実現する(転嫁の逆)パートナーと協業し、単独では届かない成果を狙う
強化(Enhance)発生確率や効果を高める(軽減の逆)好機の前提条件を意図的に整える
受容(Accept)特別なことはせず、来たら享受する自然に得られる好機はそのまま受け入れる

対応策には副作用もあります。戦略を選ぶときは、次のトレードオフを意識してください。

各戦略が向く場面

  • 回避:脅威を根本から消せる(最も確実)
  • 軽減:現実的で最も多用される。段階的に効かせられる
  • 転嫁:自分たちに専門性がない領域を専門家に委ねられる
  • 受容:小さなリスクに労力を割かず、重要リスクに集中できる

各戦略の注意点

  • 回避:スコープ変更を伴い、別の制約(コスト・機能)を犠牲にしがち
  • 軽減:対応策自体に工数・費用がかかる(二次リスクも生む)
  • 転嫁:コスト(委託費・保険料)が発生し、リスクが完全に消えるわけではない
  • 受容:見誤ると顕在化時に大きな課題になる

ステップ4|リスク監視:登録簿を回し続ける

リスク管理は一度作って終わりではありません。プロジェクトは進むほど状況が変わり、新しいリスクが増え、既存のリスクの確率や影響も変動します。そこで、リスク登録簿を定期的に見直す 監視(モニタリング) を仕組みにします。

監視サイクルで確認すること

  • 既存リスクの状態更新:確率・影響に変化はないか。対応策は効いているか。クローズしてよいか
  • 新規リスクの追加:進捗に伴い新たに見えたリスクを識別し、登録簿に追記する(ステップ1に戻る)
  • 顕在化の兆候チェック:発生の予兆(トリガー)が出ていないか。出ていれば対応を前倒しする
  • クローズ判定:もう起こり得なくなったリスクは「クローズ」にして、監視対象から外す

この監視で新しいリスクを拾ったら、再びステップ1(識別)→2(分析)→3(対応)へと戻ります。つまり4ステップは一直線ではなく、プロジェクトが終わるまでぐるぐる回し続けるサイクルなのです。

リスク管理でよくある失敗5選

4ステップを回す中で、多くのプロジェクトが同じ落とし穴にはまります。先回りして避けましょう。

  1. 識別だけして分析・対応をしない:登録簿を作って満足し、優先順位も対応策も空欄のまま放置する。台帳は”育てて”はじめて意味を持ちます。
  2. 全リスクに同じ力で対応しようとする:優先順位をつけず全部に手を出し、重要リスクへの集中を欠く。分析ステップの目的は”捨てるリスクを決める”ことでもあります。
  3. オーナー(担当者)を決めない:「みんなで見る」は「誰も見ない」と同義。1リスク=1オーナーを必ず割り当てます。
  4. 一度作って更新しない:キックオフで作った登録簿が最終版のまま。監視サイクルがなければリスク管理は形骸化します。
  5. 好機を無視する:脅威ばかり見て、前倒しやコスト削減のチャンスを取りこぼす。好機も登録し「活用」を検討します。

よくある質問(FAQ)

Q. リスク登録簿はどのツールで作ればいいですか? A. 小規模なら Excel/スプレッドシートで十分です。前述の列構成をそのままヘッダーにすれば始められます。課題管理表やタスクと一体で運用したい場合は、Backlog・Jira・Asana などの PM ツールのリスク/課題機能を使うと更新漏れが減ります。

Q. リスクは何個くらい洗い出せばいいですか? A. 個数の正解はありません。小規模プロジェクトでも10〜20件、大規模なら数十件以上になることもあります。重要なのは数より、確率×影響で優先順位がつき、上位に対応策とオーナーが埋まっていることです。

Q. リスクと課題(Issue)の管理表は分けるべきですか? A. 分けることを推奨します。リスクは「未来の不確実性」、課題は「すでに起きた事実」で、対応のスピード感も違います。リスクが顕在化したら、リスク登録簿でクローズし、課題管理表へ移して火消しに切り替えるのが自然な流れです。

Q. コンティンジェンシー予備とマネジメント予備の違いは? A. コンティンジェンシー予備は、識別済みリスク(既知の未知)に備えてリスク対応で確保する予備です。マネジメント予備は、識別できていない未知のリスク(未知の未知)に備え、経営層が管理する予備です。受容したリスクの備えは、原則コンティンジェンシー予備で賄います。

まとめ|4ステップを”回し続ける”のが本質

プロジェクトのリスクマネジメントは、次の4ステップのサイクルです。

  1. 識別:切り口を決めて洗い出し、リスク登録簿(原因→事象→影響)に集約する
  2. 分析:確率影響マトリクスで優先順位づけ(定性)、重要リスクだけ数値化(定量)
  3. 対応:脅威には回避・転嫁・軽減・受容、好機には活用・共有・強化・受容から選ぶ
  4. 監視:定例に組み込んで登録簿を更新し、新規リスクは再び①へ戻す

一番の失敗は「登録簿を作って終わり」にすることです。リスク管理の価値は、この4ステップをプロジェクトが終わるまで回し続け、課題が火を噴く前に手を打つことにあります。まずは今日、上の列構成でリスク登録簿を1枚作り、上位3件にオーナーと対応策を書き込むところから始めてみてください。

各手法のより厳密な定義や試験での問われ方は「PMP リスク管理 完全対策」も合わせてどうぞ。

出典・参考情報

関連記事

  • EVM(アーンドバリューマネジメント)の計算|SV・CV・SPI・CPI を例題でマスター

    アーンドバリューマネジメント(EVM)の計算方法を、1つの例題を最後まで追いながら解説。PV・EV・AC の3値から SV・CV(差異)と SPI・CPI(効率指数)を求め、さらに EAC・ETC・VAC・TCPI で完成時のコストと工期を予測します。計算式の丸暗記ではなく「差なら引き算・効率なら割り算」という原理で、PMP® と情報処理 PM 試験の計算問題を確実に取れる形にまとめました。

  • クリティカルパスの計算方法|PERT 図と最早・最遅で最短工期を求める

    クリティカルパスの計算方法を、具体的なネットワーク図(PERT 図・アローダイアグラム)を使って手順で解説。フォワードパスで最早(ES/EF)、バックワードパスで最遅(LS/LF)を求め、トータルフロートがゼロの経路=クリティカルパスを特定します。トータルフロートとフリーフロートの違い、計算の落とし穴まで、例題で手を動かして理解できる形でまとめました。

  • ガントチャートの作り方|Excel・JIRA・Backlog 別の手順を徹底解説

    ガントチャートの作り方を Excel・JIRA・Backlog の 3 ツール別に解説。Excel は条件付き書式での自動描画、JIRA はタイムライン(ロードマップ)、Backlog はガントチャート画面の使い方を手順化し、依存関係の表現・進捗の可視化・ツールの選び方まで、初めてでも迷わない形でまとめます。

  • WBS の作り方 完全ガイド|階層分解の 5 ステップで作業の抜け漏れをなくす

    WBS(作業分解構成図)の作り方を、スコープ確認 → 成果物分解 → ワークパッケージ化 → 100% ルール検証 → WBS 辞書のベースライン化という 5 ステップで解説。成果物ベース分解の原則、ワークパッケージの粒度(8〜80 時間・1〜2 週間)、よくある失敗まで、初めて WBS を作る人でも迷わない手順としてまとめます。