先日の吉祥寺.pm30でonkさんの発表で、『熊とワルツを』という本が紹介されていた。
この本と、トム・デマルコさんという著者のことは知らなかったけど、別の著書である『ピープルウェア』は名前だけは聞いたことが有った、くらい。
日本語版が出版されたのが2003年と、約20年前の本ということで後半に書かれている「リスク管理の方法」や、「数量化の方法」などは他の書籍でも散々紹介されている話なので、今更感は有るけど、前半の「なぜリスクを管理しないのか」あたりは今でも十分に通用する学びが有った。
「リスクを管理する」と言っても、さまざまな階層が有って、この本で語られているような管理手法により定量的に、公式に評価されたリスクがリスト化され、経営層やプロジェクトオーナーが目にする形で管理・更新され、内容が逐一「議論・承認」される場合も有れば、現場のリーダーが「ちょっと気になって先に確認しておきたいことリスト」みたいなメモレベルで管理され、「できる分だけやる」みたいな場合も有れば、「ちょっとした思いつきで、念のために確認しておいた」みたいな場合もある。
誰しもが、自分の権限に於いて、管理可能な範囲でのリスク管理は自然とやっていて、それがその人やプロジェクトのスキルレベルや、権限、予算などに応じて「網羅的に上げられているか」「可視化されているか」「共有されているか」「あらかじめ対策まで計画されているか」「追加費用が用意されているか」「リスク対策が実行されているか」といった濃淡が変化していくものだと思っている。
誰しも、言うか言わないか、計画するかしないか、行動するかしないか…は別として大小さまざまなリスク管理は行なっているが、プロジェクトは上手く行かない……または、上手く行くかもしれない……不確実だ!
今読んでも十分な学びが有ったのが、第5章「リスクを管理すべきでない理由」(タイトル通りの理由は無いよと、本文では書かれているので、勘違いしないように)で、リスク管理をしない言い訳が並んでいる。その言い訳の一つとして「発注者がリスクに直面できるほど成熟していない」というものがあると書かれている。
つまり、「言ってもしょうがないから」言わないということだけど、じゃあ一歩踏み込んで、なぜ「言ってもしょうがない」という考え方に到達するかを考察してみると、上記のような「”リスク管理のために必要な権限や予算”を超えてしまうリスク」が存在する時に、報告し、承認する相手はどう反応するか?を先回りして結論を出しているからではないでしょうか。
「リスクがあります、こういう対策が必要です」 「じゃあ、予算はそのままで、そちらの責任で対策費も含めてください」
という会話をしたくないから……つまり、持てる権限や予算を超えて管理しなければいけないリスクに対する、より上位の層の理解が足りない時に「公式なリスク管理」は行われなくなるのではないか?と考えた。
問題が起きてから、「なぜもっと早く報告してくれなかったんだ」という会話がされる場面はあるあるなのだと思うけど、それは報告する側が「報告するメリットを感じていないから」ではないでしょうか。
と言う訳で、最も大きな権限を持つ人が、リスクをちゃんと言ってもらえる環境(権限や、予算などの承認)を作る、というのが最も大事なリスク管理ですね......みたいなことを考えました、終わり。