プロジェクトを進めていると、「何となく危なそうなこと」はたくさん出てきます。
納期が遅れるかもしれない、予算が足りなくなるかもしれない、関係部署の協力が得られないかもしれない、外部業者の対応が遅れるかもしれない、品質トラブルが起こるかもしれない。このような不安要素をすべて同じように扱っていると、どれから対策すべきか分からなくなります。
一方で、リスクを軽く見すぎると、問題が起きてから慌てることになります。逆に、重要度の低いリスクに時間を使いすぎると、本当に危険なリスクへの対応が遅れてしまいます。
そこで役立つのが、リスクマトリクスです。
リスクマトリクスは、リスクを「発生確率」と「影響度」の2つの軸で整理し、優先順位を判断するためのフレームワークです。リスクを感覚で扱うのではなく、どのリスクを重点的に管理すべきかを見える化できます。
初心者にとっては「リスク管理」と聞くと難しく感じるかもしれません。しかし、リスクマトリクスの考え方はとてもシンプルです。「起こりやすいか」と「起きたらどれくらい困るか」を分けて考えるだけです。
この記事でわかること
・リスクマトリクスとは何か
・リスクマトリクスは何に使うのか
・リスクマトリクスの基本的な考え方
・リスクマトリクスの使い方
・リスクマトリクスの具体例
・関連フレームワークとの違い
最初から完璧に使いこなす必要はありません。まずは「リスクマトリクスは、リスクを発生確率と影響度で整理し、優先順位をつけるための型だ」とつかめれば十分です。
リスクマトリクスとは?
リスクマトリクスとは、リスクを「発生確率」と「影響度」の2軸で評価し、優先的に対応すべきリスクを整理するためのフレームワークです。
発生確率とは、そのリスクがどれくらい起こりやすいかを表します。影響度とは、そのリスクが発生した場合に、プロジェクトや業務にどれくらい大きな影響を与えるかを表します。
たとえば、あるプロジェクトで「外部業者の納品が遅れる可能性」があるとします。このリスクが過去にもよく起きており、発生するとプロジェクト全体の納期が遅れるなら、発生確率も影響度も高いリスクです。優先的に対策すべきです。
一方で、「会議室の予約が取れない可能性」は、発生するかもしれませんが、オンライン会議に切り替えられるなら影響度は低いかもしれません。この場合、重要度はそこまで高くないと判断できます。
リスクマトリクスは、このようにリスクの大きさを整理するために使います。
初心者向けに言い換えるなら、リスクマトリクスは「起こりやすさ」と「起きたときの困り具合」でリスクを並べる表です。
一言でいうと、リスクマトリクスはリスクの優先順位を判断し、対策すべきものを見極めるためのフレームワークです。
リスクマトリクスは何に使うのか
リスクマトリクスは、リスクを洗い出した後に、どのリスクから対応すべきかを判断するために使います。
プロジェクトでは、多くのリスクが出てきます。しかし、すべてのリスクに同じ量の時間とコストをかけることはできません。そこで、リスクの重要度を整理し、優先順位をつける必要があります。
リスクマトリクスは次のような目的で使われます。
・リスクの優先順位を決める
・重要なリスクを見える化する
・対応すべきリスクと監視でよいリスクを分ける
・関係者とリスク認識を共有する
・リスク対策に使う時間やコストを配分する
・プロジェクト開始前に不安要素を整理する
・定例会議でリスク状況を確認する
・リスク対応の根拠を説明する
たとえば、プロジェクト会議でリスクを議論すると、人によって「危ない」と感じる基準が違うことがあります。ある人は納期遅れを重視し、別の人は品質問題を重視し、また別の人はコスト超過を重視します。
リスクマトリクスを使うと、発生確率と影響度という共通の基準で話せるため、議論が整理されやすくなります。
どんな人に向いているか
リスクマトリクスは、リスクを整理して優先順位をつけたい人に向いています。
特に、次のような人におすすめです。
・プロジェクトを任された人
・リスク管理を初めて行う人
・不安要素が多く、何から対応すべきか迷っている人
・上司や関係者にリスクを説明する必要がある人
・納期、品質、コストに影響するリスクを整理したい人
・RAIDログに書いたリスクを評価したい人
・複数部署や外部業者が関わる仕事を進める人
・新商品開発、システム導入、業務改善などを担当する人
リスクマトリクスは、専門的なリスク管理部門だけが使うものではありません。
社内研修、Webサイト制作、展示会準備、営業キャンペーン、新規事業、制度変更、設備導入など、さまざまな仕事で使えます。
「リスクはたくさんあるが、どれが本当に重要なのか分からない」と感じたときに、リスクマトリクスは特に役立ちます。
リスクマトリクスの基本的な考え方
リスクマトリクスの基本は、リスクを発生確率と影響度で評価することです。
発生確率は、そのリスクがどの程度起こりやすいかです。高、中、低の3段階で評価することもあれば、1から5までの5段階で評価することもあります。
影響度は、そのリスクが発生した場合に、プロジェクトや業務へどの程度の影響があるかです。こちらも高、中、低、または1から5のように評価します。
初心者の場合は、まず3段階で考えると分かりやすいです。
発生確率は、次のように考えます。
・高い:かなり起こりそう
・中くらい:起こる可能性がある
・低い:起こる可能性は低い
影響度は、次のように考えます。
・高い:納期、品質、コスト、顧客、事業に大きな影響がある
・中くらい:一部に影響があるが、対応可能
・低い:発生しても大きな影響はない
この2つを組み合わせると、リスクの優先度が見えてきます。
たとえば、発生確率が高く、影響度も高いリスクは、最優先で対策すべきです。発生確率は低いが影響度が高いリスクは、頻繁には起きないものの、起きたときのダメージが大きいため、対応策や予備策を考えておく必要があります。
発生確率が高いが影響度が低いリスクは、日常的な管理や簡易対策で対応することが多いです。発生確率も影響度も低いリスクは、監視だけで十分な場合もあります。
リスクマトリクスで大切なのは、点数をつけること自体ではありません。リスクの優先順位を決め、限られた時間とリソースをどこに使うかを判断することです。
リスクマトリクスの使い方
手順1 リスクを洗い出す
最初に、プロジェクトや業務で発生しそうなリスクを洗い出します。
この段階では、最初から重要度を判断しすぎず、思いつくリスクを広めに出すことが大切です。後で発生確率と影響度を評価するため、まずは候補を集めます。
リスクを洗い出すときは、次の視点が役立ちます。
・納期が遅れる可能性はないか
・コストが増える可能性はないか
・品質問題が起こる可能性はないか
・関係者の協力が得られない可能性はないか
・外部業者の対応が遅れる可能性はないか
・法務、知的財産、セキュリティ上の問題はないか
・顧客や利用者から不満が出る可能性はないか
・担当者の負荷が高くなりすぎる可能性はないか
・前提条件が変わる可能性はないか
たとえば、新商品発売プロジェクトなら、原材料調達の遅れ、性能評価の不合格、商標問題、販促資料の法務確認遅れ、営業説明不足、在庫不足などがリスクになります。
リスクの洗い出しは、一人で行うよりも、関係者と一緒に行う方が精度が高くなります。現場担当者、専門部門、外部パートナーなど、それぞれの視点からリスクを出してもらうと、見落としを減らせます。
手順2 発生確率を評価する
次に、それぞれのリスクについて発生確率を評価します。
発生確率は、「そのリスクがどれくらい起こりそうか」を判断するものです。
評価するときは、感覚だけではなく、過去の実績や現在の状況も参考にします。
たとえば、過去のプロジェクトで外部業者の納品遅れが何度も起きているなら、今回も発生確率は高いと判断できます。逆に、発生条件が限られていて、過去にもほとんど起きていない場合は、発生確率は低いかもしれません。
発生確率を評価するときの問いは次の通りです。
・過去に同じような問題が起きたことはあるか
・現在すでに兆候が出ているか
・関係者の負荷は高くないか
・外部要因に左右されやすいか
・前提条件に無理はないか
・スケジュールに余裕はあるか
・担当者や外部業者の信頼性はどうか
初心者の場合は、高、中、低の3段階で十分です。
細かく点数をつけることよりも、「起こりやすいリスクはどれか」を関係者と共通認識にすることが重要です。
手順3 影響度を評価する
次に、リスクが発生した場合の影響度を評価します。
影響度は、「そのリスクが起きたら、どれくらい困るか」を表します。
影響度を考えるときは、納期、コスト、品質、顧客、法務、ブランド、現場負荷など、複数の観点で見ることが大切です。
たとえば、会議資料の軽微な誤字は、発生しても影響度は低いかもしれません。一方、商品名の商標問題が発売直前に発覚した場合は、発売延期やパッケージ修正につながるため、影響度は高くなります。
影響度を評価するときの問いは次の通りです。
・納期にどれくらい影響するか
・追加コストが発生するか
・品質や安全性に影響するか
・顧客や利用者に迷惑をかけるか
・法務、知的財産、セキュリティ上の問題になるか
・経営判断や事業計画に影響するか
・ブランドや信頼に影響するか
・現場の負荷が大きくなるか
影響度も、最初は高、中、低の3段階で評価すれば十分です。
重要なのは、「起きたら本当に困るリスク」を見落とさないことです。発生確率が低くても、影響度が非常に高いリスクは、対応策を考えておく価値があります。
手順4 マトリクス上に配置する
発生確率と影響度を評価したら、リスクをマトリクス上に配置します。
マトリクスは、縦軸に影響度、横軸に発生確率を置く形が一般的です。高、中、低の3段階なら、3×3のマトリクスになります。
リスクを配置すると、どのリスクを優先すべきかが見えやすくなります。
たとえば、次のように考えます。
・発生確率:高、影響度:高
最優先で対応するリスクです。事前対策、回避策、代替案を検討します。
・発生確率:低、影響度:高
頻繁には起きないものの、起きた場合の影響が大きいため、緊急時対応や監視が必要です。
・発生確率:高、影響度:低
よく起こるが影響は小さいリスクです。作業ルールやチェックリストで管理するのが向いています。
・発生確率:低、影響度:低
優先度は低めです。必要に応じて監視する程度でよい場合があります。
マトリクス上に配置することで、「何となく不安」だったリスクが整理され、対応の優先順位を決めやすくなります。
手順5 対応策と責任者を決める
最後に、優先度の高いリスクから対応策と責任者を決めます。
リスクマトリクスは、リスクを評価するだけでは不十分です。評価した結果をもとに、実際にどう対応するかを決める必要があります。
リスク対応には、主に次のような考え方があります。
・回避する
・低減する
・移転する
・受容する
回避は、リスクが発生しないように計画や方法を変えることです。たとえば、商標リスクが高い商品名を変更するような対応です。
低減は、発生確率や影響度を下げることです。たとえば、外部業者の納品遅れに備えて中間納品を設定する、予備日を確保する、複数人でレビューするなどです。
移転は、リスクの一部を外部に移すことです。保険、外部委託、契約条項などが該当します。
受容は、リスクを認識したうえで、特別な対策を取らずに監視することです。影響度が低いリスクや、対策コストが大きすぎるリスクでは受容を選ぶことがあります。
対応策を決めたら、担当者と期限を明確にします。「注意する」だけでは実務上の対策になりません。「誰が、いつまでに、何をするか」まで決めることが重要です。
リスクマトリクスの具体例
例 社内システム導入の場合
社内システム導入プロジェクトでリスクマトリクスを使う例を考えてみます。
このプロジェクトでは、新しい業務管理システムを導入し、複数部署で利用を開始する予定です。
考えられるリスクは次の通りです。
・利用部門からの要件提出が遅れる
・外部ベンダーの設定作業が遅れる
・テストで重大な不具合が発生する
・利用者が新システムに慣れず定着しない
・セキュリティ確認で追加対応が必要になる
・マニュアル作成が遅れる
・予算を超過する
この中で、「テストで重大な不具合が発生する」は、発生確率は中程度でも、影響度は高いリスクです。本番稼働の延期につながる可能性があるため、重点的に管理すべきです。
「外部ベンダーの設定作業が遅れる」は、過去にも納期遅れがあった場合、発生確率が高く、影響度も高いリスクになります。この場合は、中間確認日を設ける、納期遅延時の対応を契約で明確にする、代替スケジュールを用意するなどの対策が必要です。
「マニュアル作成が遅れる」は、影響度は中程度かもしれません。しかし、利用者教育に影響するため、放置すると定着率低下につながります。担当者と期限を明確にして管理します。
このようにリスクマトリクスを使うと、どのリスクを重点的に扱うべきかが見えやすくなります。
別の例 新商品発売プロジェクトの場合
新商品発売プロジェクトでも、リスクマトリクスは有効です。
考えられるリスクは次の通りです。
・試作品評価で性能が基準に届かない
・原材料の調達が遅れる
・商品名の商標確認で問題が見つかる
・販促資料の表現に法務上の修正が入る
・営業部門への説明が不十分になる
・量産条件の確立が遅れる
・競合他社が先に類似商品を発売する
・発売後に品質クレームが発生する
この中で、「商品名の商標確認で問題が見つかる」は、発生確率は低いかもしれませんが、影響度は高いリスクです。発売直前に発覚すると、商品名変更、パッケージ修正、販促資料修正など大きな手戻りが発生します。そのため、早期の商標確認が重要です。
「試作品評価で性能が基準に届かない」は、新規性の高い商品ほど発生確率も影響度も高くなります。評価項目を早めに決める、試験回数に余裕を持つ、代替仕様を検討するなどの対策が必要です。
「営業部門への説明が不十分になる」は、影響度を軽く見られがちですが、発売後の販売活動に直結します。営業説明会、FAQ、提案資料、競合比較資料などを早めに準備すると、リスクを低減できます。
新商品発売では、技術、品質、法務、知的財産、営業、調達など、さまざまなリスクが絡みます。リスクマトリクスを使うことで、感覚ではなく優先順位をつけて対策を考えられます。
具体例でわかるポイント
リスクマトリクスの具体例からわかるポイントは、次の通りです。
・リスクは発生確率だけで判断しない
・起きたときの影響度も必ず確認する
・発生確率が低くても影響度が高いリスクは要注意
・発生確率も影響度も高いリスクは最優先で対策する
・リスクごとに対応策と責任者を決める必要がある
・リスク評価はプロジェクトの進行に合わせて見直す
リスクマトリクスは、リスクを怖がるための表ではありません。限られた時間とリソースを、重要なリスクに集中させるための判断ツールです。
リスクマトリクスを使うメリット
リスクマトリクスを使う最大のメリットは、リスクの優先順位が分かりやすくなることです。
プロジェクトでは、多くの不安要素が出てきます。すべてに同じように対応しようとすると、管理が重くなります。一方で、重要なリスクを見落とすと、後から大きな問題になります。
リスクマトリクスを使うメリットは次の通りです。
・重要なリスクを見える化できる
・リスク対応の優先順位を決めやすい
・関係者とリスク認識を共有しやすい
・発生確率と影響度を分けて考えられる
・過剰対応や対応漏れを減らせる
・リスク対策の根拠を説明しやすい
・RAIDログやプロジェクト計画と組み合わせやすい
・定例会議で確認しやすい
特に実務で大きいのは、議論が整理されることです。
会議で「これは危ない」「いや、それほどでもない」と意見が分かれたとき、リスクマトリクスを使えば、「発生確率はどれくらいか」「影響度はどれくらいか」という基準で話せます。
また、リスク対応に使える時間や予算は限られています。リスクマトリクスを使うことで、どのリスクに重点的に対策すべきかを決めやすくなります。
リスクマトリクスを使うときの注意点
リスクマトリクスは便利ですが、評価が主観的になりやすい点に注意が必要です。
同じリスクでも、人によって「発生確率が高い」と見るか、「それほど高くない」と見るかが違うことがあります。影響度についても、部署や立場によって感じ方が異なります。
よくある失敗例は次の通りです。
・発生確率だけでリスクを判断してしまう
・影響度の大きい低確率リスクを軽視する
・評価基準が曖昧なまま点数をつける
・関係者の主観だけで判断する
・リスクを洗い出しただけで対応策を決めない
・重要なリスクの責任者が決まっていない
・一度作った後に見直さない
・すべてのリスクを細かく管理しすぎる
・リスクの原因分析をしない
・対策コストを考えずに過剰対応する
特に注意したいのは、リスクマトリクスは「正解を出す表」ではないという点です。
発生確率や影響度の評価は、あくまで意思決定のための整理です。重要なのは、評価結果をもとに、どのリスクにどう対応するかを決めることです。
また、リスクはプロジェクトの進行に応じて変化します。初期段階では低かったリスクが、途中で高くなることもあります。逆に、対策によってリスクが下がることもあります。そのため、定期的に見直すことが大切です。
関連フレームワークとの違い
リスクマトリクスと似た場面で使われるフレームワークはいくつかあります。それぞれの違いを理解しておくと、プロジェクト管理で使い分けしやすくなります。
RAIDログとの違い
RAIDログは、リスク、前提、課題、依存関係をまとめて管理するフレームワークです。
リスクマトリクスは、その中でも特にリスクを発生確率と影響度で評価するために使います。
つまり、RAIDログはリスクを含む管理事項を記録する台帳であり、リスクマトリクスはリスクの優先順位を判断する評価ツールです。
実務では、RAIDログにリスクを記録し、重要なリスクについてリスクマトリクスで評価すると使いやすくなります。
ステークホルダー分析との違い
ステークホルダー分析は、プロジェクトに関係する人や組織の影響力、関心、期待、不安を整理するフレームワークです。
リスクマトリクスは、発生する可能性のあるリスクを評価します。
たとえば、「現場部門の協力が得られない可能性」は、ステークホルダー分析で見つかるリスクです。そのリスクを発生確率と影響度で評価する際に、リスクマトリクスを使います。
ステークホルダー分析は関係者理解、リスクマトリクスはリスク評価に強いフレームワークです。
クリティカルパス法との違い
クリティカルパス法は、プロジェクト全体の納期に直結する重要な作業経路を把握する手法です。
リスクマトリクスは、リスクの発生確率と影響度を評価する手法です。
たとえば、クリティカルパス上の作業に遅延リスクがある場合、そのリスクは全体納期に大きく影響します。そのため、リスクマトリクスでは影響度が高く評価されやすくなります。
クリティカルパス法は工程上の重要作業の把握、リスクマトリクスは不確実性の優先順位づけに向いています。
EVMとの違い
EVMは、プロジェクトの進捗とコストを定量的に管理するフレームワークです。
リスクマトリクスは、まだ発生していないリスクを評価し、対策の優先順位を考えるために使います。
EVMでコスト超過やスケジュール遅延の兆候が見つかった場合、その原因となるリスクをリスクマトリクスで評価することがあります。
EVMは実績管理、リスクマトリクスは事前のリスク評価に強いフレームワークです。
FMEAとの違い
FMEAは、Failure Mode and Effects Analysisの略で、故障モード影響解析と呼ばれる手法です。
製品、工程、システムなどで起こり得る不具合や故障を洗い出し、その影響や原因、検出しやすさを評価するために使います。
リスクマトリクスは幅広いプロジェクトリスクを発生確率と影響度で評価します。一方、FMEAは品質や工程上の故障・不具合リスクをより詳細に分析する手法です。
リスクマトリクスは汎用的なリスク整理、FMEAは品質・工程リスクの詳細分析に向いています。
リスクマトリクスはどんな場面で使うと効果的か
リスクマトリクスは、リスクが複数あり、優先順位を決める必要がある場面で効果を発揮します。
逆に、リスクが少なく、影響も小さい単純な作業では、本格的なリスクマトリクスを作る必要はあまりありません。
リスクマトリクスが効果的な場面は次の通りです。
・新商品開発
・社内システム導入
・業務改善プロジェクト
・DX推進プロジェクト
・外部ベンダーとの共同プロジェクト
・展示会やイベント運営
・社内研修プログラムの開発
・制度改定や組織改革
・新規事業立ち上げ
・Webサイト制作
・製造ライン立ち上げ
・品質改善活動
・法務、知的財産、セキュリティ確認が必要なプロジェクト
特に、「不安要素が多い」「関係者の意見が分かれる」「限られた時間で重要なリスクに対応したい」という場面で役立ちます。
また、プロジェクト開始時だけでなく、途中の見直しにも使えます。リスクの発生確率や影響度は、状況によって変わるため、定例会議や節目ごとに更新すると効果的です。
まとめ
リスクマトリクスは、リスクを発生確率と影響度の2つの軸で整理し、優先順位を判断するためのフレームワークです。
プロジェクトには、さまざまなリスクがあります。しかし、すべてのリスクに同じように対応することはできません。重要なのは、起こりやすさと起きたときの影響を分けて考え、本当に対策すべきリスクを見極めることです。
リスクマトリクスを使えば、重要なリスクを見える化し、関係者と共通認識を持ちやすくなります。さらに、リスクごとに対応策、責任者、期限を決めることで、実際のプロジェクト管理に活用できます。
ただし、リスクマトリクスは作って終わりではありません。プロジェクトの進行に合わせて、発生確率や影響度は変化します。定期的に見直しながら使うことが大切です。
まずは、今進めている仕事についてリスクを5つ書き出し、それぞれを「発生確率」と「影響度」で高・中・低に分けてみましょう。
次に読みたい関連記事
まず全体像を見たい方へ
仕事で使えるフレームワーク一覧|初心者向けに意味・種類・使い方をわかりやすく解説
あわせて読みたい関連記事
RAIDログとは?初心者向けに意味・使い方・具体例をやさしく解説
ステークホルダー分析とは?初心者向けに意味・使い方・具体例をやさしく解説
クリティカルパス法とは?初心者向けに意味・使い方・具体例をやさしく解説
目的別にまとめて読みたい方へ
プロジェクト管理で使えるフレームワークまとめ|初心者向けに種類・使い分け・活用例を解説
