それ、本当にリスクマネジメントになっています？

リスクマネジメントとは(私的見解)
リスクとは、“将来起きそうな損失”で、“それを識別して、定量化した上で、どうするかを決めておくこと”がマネジメントです。
リスクマネジメントをしたいなら、最初に“何が起きるか”を識別できないとできない、ということになるわけ。
識別とは、認識でも良いし、想定でも良い。
では、“将来起きそうな損失”はどうやって“識別”したらよいだろう。

リスクマネジメントはストーリー
“将来起きそうな損失”とは、今の時点である程度“将来”が見通せていないと考えようがない。
今の時点で、先を想定してみたから、あんなことが起きそう、とか、こんなことが起きそうとか考えるわけです。
将来、つまり先を想定するとは、時間軸に沿って、だれがいつ何をしようとしているか、進め方のストーリーを持っているということとも言いかえられることができる。
もちろん、時間軸として直近の方がより“具体的”なストーリーだろうし、3か月後より6か月後の方が曖昧さや不確定要素が多くなるだろうし、それはそのレベルで十分なのだ。
大事なことは、精度ではなくてストーリーを持っているかどうか、ということです。

それは課題管理ですよ
“リスクマネジメント”をしていますというと、耳障りが良くて何かちゃんと管理しているように聞こえてしまう印象を持ってしまう。
なので、“リスクマネジメントをしています”という人が居ると、一歩引いてちゃんとできているのかな、と思ってしまう。
ちゃんとできているかな？と心配する点は2つ。
一つ目は、先に書いたように、将来を見通すストーリーを持ってリスクを識別できているかという点。
もちろん、識別できたら、どうしようか考えるよね。何か対策するのか、放置するのか、とかね。
二つ目は、リスクマネジメントとと言いつつ、単なるToDoになっていないかという点。
一番最初に私的見解を書いたけれど、“将来起きそうな損失で、それを識別して、定量化した上で、どうするかを決めておくこと”がリスクマネジメントであって、どうするかを実際どうやるのかは、単なる作業です。
作業は、WBSかもしれないし、備忘程度のことかもしれない。
何にしても、To Doは、単なるやればいいことなので。

リスクマネジメント
それに引き替え、リスクマネジメントは、サイクリック、そう、定期的にアセスし直す必要があるんだね。
前回アセスしたときは、こんなリスクが想定できた、じゃあ、今ならどんなリスクが起きそう？というように。
だって、アセスするタイミングで、将来の時点が時間軸で進んでいるのだから。
だから、サイクリック、PDCAで回す必要があるわけ。

先を見通すためには、ストーリーを持つことが必要で、そのコンピテンシは、いきなりつくものではない。
リスクマネジメントのコンピテンシは、プロジェクトマネージャやラインマネージャ、マネジメントだけが持っていればよいコンピテンシでもない。
エンジニア一人ひとりが経験に応じて持っていなければならないもので、経験によって伸ばすことができるコンピテンシだ。
エンジニアなら、より深く、より技術的に将来起きそうなリスクを予見できるだろうし、マネージャならより大局的に想定することができるだろう。
いずれにしても大事なことなので何度でも書くけれど、“先を見通すストーリーを持って、どうしようか方針を考えられる”ことこそ、リスクマネジメントなのだ。