Home JGS 「JGS研究2019」プロジェクト論文_DX推進プロジェクトにおけるリスク・マネジメント

「JGS研究2019」プロジェクト論文_DX推進プロジェクトにおけるリスク・マネジメント

by iida
[チーム名] インフラ案件におけるプロジェクト・マネジメント (PM-008)

チームメンバー
コベルコシステム(株) 小菊 寛和(サブリーダー)
SOMPO システムズ(株) 北原 卓実
第一生命情報システム(株) 椋木 亜未
東京海上日動システムズ(株) 井上 亮一
東京海上日動システムズ(株) 月岡 康宏(リーダー)
三井住友トラスト・システム&サービス(株) 山本 奈邦

チームアドバイザー
日本アイ・ビー・エム(株) 大場 正裕

JGS(日本GUIDE/SHARE)はIBMユーザー研究会の活動です

 


論文概要

 デジタルトランスフォーメーション(以下、DX)に乗り遅れた企業は競争力を失い淘汰されてしまう。そのため、各企業はDXに対して前向きな姿勢に変化しつつあるが、IT技術者の人材不足、あるいはスキルや経験不足が課題となっている。

 とくにDXにおけるインフラプロジェクトは、マルチクラウドやIoTなど新技術を活用したものに変化し、リスクが増大しつつある。

 そこで本論文ではPMBOKのリスク・マネジメントに焦点を当て、プロジェクト・マネージャーの経験不足を補うリスク集を開発し、DX推進におけるインフラプロジェクトに特化したベストプラクティスを提案している。

はじめに 

 DXは世界規模で推進されているが、日本企業の意識は諸外国に比べると遅れている。IDC Japanが2018年10月に実施した調査では、DXを成功させることにプレッシャーを感じている企業のCEOは北米で70.9%、欧州では61.8%を占めるが、日本は48.7%に留まっており、欧米諸国より遅れていることがわかる。

 経済産業省が2018年9月に発表した「DXレポート~ITシステム『2025年の崖』の克服とDXの本格的な展開~」では、2025年の崖というキーワードが用いられている。

 ここでは2025年までに各企業で複雑化・老朽化・ブラックボックス化した既存システムが残存する場合、デジタル競争の敗者となるだけでなく、レガシーシステムの維持保守により年間12兆円もの経済損失が生じる可能性があると警鐘を鳴らしている。

 このような形で、国を挙げてのDX機運の高まりを受けて、日本企業もDXに対し前向きな姿勢を示すなど変化し始めている。

 日本情報システム・ユーザー協会(JUAS)が刊行している「企業IT動向調査報告書2019」では、日本企業におけるデジタル化の取り組みは進展しつつあるとの見解を示しており、成功事例の要因として、「経営層のリーダーシップ」「部門横断プロジェクト設置」「スモールスタートで成功体験」を挙げている。

 その一方、施行検証および本格導入フェーズでの最も大きな課題は、「社内人材のリソース不足、スキル不足」となっている。また「IT人材白書2018」でも、ユーザー企業の課題解決型人材で最も不足しているのは、「IT業務の全般的な知識・実務ノウハウ」としている。

 我々研究チームは2019年6月、2019年度JGS研究プロジェクト・チームメンバーにアンケート(以下、JGSアンケートと表記)を実施した(回答数=33)。

 その結果、第3のプラットフォーム(*1)に関連するプロジェクトへの参画経験があるかという質問に対して、経験がないとの回答が54.5%と半数を超えており、JUASの調査結果を裏付けるものとなった。
 
*1  第3のプラットフォーム
調査会社の米IDCが提唱しているコンセプトで、「クラウド」「ビッグデータ」「モビリティ」「ソーシャル」の4要素によって形成される情報基盤のこと。

 

IT人材の課題が
DXプロジェクトに及ぼす影響 

 従来のプロジェクトでは、経験者や有識者が適切にアドバイスし、プロジェクトの成功に結びつけてきた。前述のJGSアンケートでも、「プロジェクトを開始する際のリスク特定をどのように行っているか」という質問に対して、大多数の回答者が自らの経験や有識者の助言、あるいは類似プロジェクトで利用したリスク一覧を踏襲といった方法を挙げている。

 つまり、リスク特定はプロジェクト・マネージャー自身、あるいは社内に蓄積されたノウハウをもとに行われるということである。

 一方、前述したとおり、国内の各企業はDXに精通した人材が社内に乏しい状況にある。よって充分なサポートを受けられず、後に想定外のリスクが発現し、プロジェクトに大きな影響を及ぼす可能性がある。

 そのため、本稿ではこのような状況を問題として捉え、リスク・マネジメントに焦点を当てた研究を行った。

 

インフラプロジェクトに関する考察 

 従来のインフラプロジェクトでは、自社システムを中心に老朽化対応や機能の追加・改善等を行ってきた。しかしDXプロジェクトでは、自社システムだけでなく複数のクラウドとの連携が発生する。

 さらには5Gなどの回線サービスを利用したIoTの提供といった外部サービスの活用が一般的になると考えられるため、考慮すべきリスクが増えていくと想定される。またサイバー攻撃の脅威は未だ大きく、セキュリティリスクへの対策も必要となる。

 そこで本稿では、DXプロジェクトで増大傾向にあるインフラリスクに対応するため、リスク・マネジメントのベストプラクティスを提案する。


DXにおけるインフラプロジェクトのリスク・マネジメント 

 多くの企業がプロジェクト・マネジメントのフレームワークとして採用しているPMBOKでは、リスク・マネジメントを6つのプロセスに分類している。

 DXの推進という条件下では、これらのプロセス群でどのような点をとくに考慮すべきかについて以下に整理した。

(1)リスク特定 

 PMBOKでは、プロジェクトに潜むリスクを洗い出すことをリスク特定と定義している。リスク特定の具体的な手法としては、デルファイ法やブレーンストーミングなど有識者から知識を得る方法、あるいは過去のプロジェクトで蓄積した情報をまとめたチェックリストから得る方法などを紹介している。

 リスク特定については自社内だけでなく、先行してDXに取り組んでいる他社や他業界から積極的に情報収集すべきである。とくにインフラ関連の技術に関しては各社で類似したリスクを抱えることも多いことから、より他社の実績を確認してリスク抽出を行うことが重要となる。

 だが、他社や他業界からの情報収集は容易ではなく、とくに網羅性に関しては充分でないことが考えられる。そこで当研究チームでは、リスク特定を補助するためのツールとして「DXリスク集」を作成した。

 このDXリスク集は、本稿執筆時から3年以内に発行された書籍等からインフラプロジェクトに関わるリスクを抽出・精査し、77項目に絞り込んでいる。このDXリスク集を使うことで、有識者が不在のDXプロジェクトでもリスク特定のノウハウを補える。当リスク集の解説は後述する。

(2)定性的リスク分析 

 定性的リスク分析については、各リスクの発生確率と影響度を定義し、対応すべきリスクの優先順位付けを行う。DXリスク集ではプロジェクトの特徴に応じて発生確率の高いリスクを絞り込む機能と、リスクごとに設定された重篤度により影響度を想定する機能を実装している。

 発生確率の観点では、具体的には77項目のリスクをプロジェクトの特徴で以下の4つに分類し、それぞれの特徴ごとに発生し得るリスクを紐付けている。

a.レガシーシステムとの連携が発生しない新規システムを開発するプロジェクト
b.レガシーシステムとの連携が発生する新規システムを開発するプロジェクト
c.レガシーシステムをモダナイゼーションするプロジェクト
d.レガシーシステムをレガシーシステムのまま更改するプロジェクト

 また影響度を想定するための重篤度は、リスク発現時に品質、コスト、納期に対してどの程度広範囲に影響するかを基準に大~小で定義した。

(3)定量的リスク分析

 定量的リスク分析では、特定したリスクを数量的に分析する。しかし本稿は特定のプロジェクトに特化したものではなく、汎用的なリスク・マネジメントを扱うため、数量的な分析手法を提示することは困難である。
 したがって定性的分析までの記載とし、定量的リスク分析は取り扱わない。

(4)リスク対応計画 

 リスク対策(の回避・軽減・転嫁・受容)を検討する。DXリスク集にはリスクだけでなく、参考文献をもとに各リスクへの対策例を記載し、有用性についても配慮した。

(5)リスク・コントロール

 前述の(1)で特定したリスクについては、プロジェクト終結まで絶えず追跡し、リスクが発現しているかを確認する必要がある。もしリスクが発現した場合はそれ以降、課題として取り扱うこととなる。この点は従来のリスク・マネジメント手法と何ら変わらない。

 

DXリスク集の解説 

 DXリスク集は前述したとおり、DXプロジェクトで発生し得るリスクをまとめている。

 しかしプロジェクトのリスクが羅列されているだけでは使いづらいので、「政府や業界あるいは自社のDXに関する方針や体制に関わるリスク」と「第3のプラットフォーム技術固有のリスク」に大別し、順を追ってリスク特定ができるようにツール化することで、使用者が使いやすいように配慮した。

 ここでより具体的に当リスク集の想定利用者、利用タイミング、対象となるインフラ技術範囲について記載する。

(1)想定利用者

 DXリスク集は、主に日本企業の情報システム部門に所属するプロジェクト・マネージャー、PMO向けの記載となっている。

(2)利用タイミング

 DXリスク集を参照するタイミングは、プロジェクト開始直後、具体的にはプロジェクト計画書の作成に着手した際のリスク特定時を想定している。

 しかしリスク特定については、プロジェクト期間を通じて実施する必要があるため、たとえばクラウドや通信サービスを選択する段階でも適宜参照すべきである。

(3)対象範囲

 DXに特化したリスク集なので、従来から認知されてきたリスクについては、DXによりリスクが高まる場合を除き記載していない。

 またDXリスク集に記載しているインフラ技術範囲は、図表1の破線部分とした。具体的には、ネットワークおよびデータを集約・活用するプラットフォームを対象にしている。

図表1 DXリスク集の範囲

 

 破線の外にあるデバイス(IoTデバイス、モバイル機器)のリスクについては、デバイス提供ベンダーが考慮すべきであるため、当リスク集の対象外とした。

(4)DXリスク集の網羅性について 

 客観的な網羅性の確認も実施している。方法としては、IPAが発表した「ITプロジェクトのリスク予防への実践的アプローチ」にある、リスク事象ドライバーを参考にした。

 リスク事象ドライバーでは、リスク事象を誘発しうる要因を24項目挙げている。DXリスク集に記載したリスクをリスク事象ドライバーに照らし合わせた結果、図表2のとおり21項目にわたってリスクを収集していることを確認した。

図表2 リスク項目の網羅性検証

 

 以上のことから、DXのリスク事象として網羅できていると判断した。

 

DXリスク集の有用性検証

 DXリスク集の有用性を確認するため、以下の検証を行った。

(1)インフラ担当者へのアンケート 

 DXプロジェクトにインフラ担当の立場で参画しているIT技術者にDXリスク集を提供し、有用性や自社プロジェクトのリスクとして取り込めていたかどうかの有無を確認した(回答数=14)。

 当リスク集に、「回答者自身が経験したプロジェクトでは検出できなかったリスクや気づきがあったか」という質問に対して、「あった」「似たものがあった」という回答の合計が50%となった(図表3)。

図表3 DXリスク集ヒアリング結果1

 

 また、「当リスク集の有用性についてどのように感じたか」という質問に対しては、図表4のとおり、「ぜひ担当プロジェクトで使ってみたい」「改善の余地はあるが、参考にしたい」という回答の合計が100%となった。

図表4 DXリスク集ヒアリング結果2

 

 このように肯定的な意見が半数以上であったことから、インフラ担当者視点の有用性は確認できたと判断する。
 一方で「DX以外の一般的なリスクとの棲み分けが曖昧ではないか」といった意見もあった。このため、DXリスク集の説明書に当ツールの概要および詳しい操作方法を追記するなど、改良を加えた。

(2)有識者へのヒアリング

 リスク・マネジメントの外部有識者にヒアリングを実施した。富士通(株)の品質保証本部VPの藤森正晴氏は、AIを用いたリスク予兆の検知について研究しており、すでに自社のプロジェクト・マネジメントで実用化している。

 しかし藤森氏によると、AIで検知できるリスクは、過去に経験のある類似プロジェクトに基づく場合であり、現時点ではDXプロジェクトのように過去に経験のないプロジェクトのリスクを検知することは困難であるという。

 その代替手段として、DXリスク集のような、新たなプラットフォーム、技術、プロジェクト体制などのDXに関するリスクを事前に収集・一覧化し、プロジェクト・マネージャーのリスク特定作業を支援するツールは有用であるとの見解をいただいた。

 

DXリスク集の課題と今後の展開 

 前述したとおり、DXリスク集は有用であるとの確認が取れた。一方でDXリスク集は現時点の課題や技術に対するリスク集なので、今後も最新技術や外部動向に対応したリスクの収集は必要となる。

 また今後DXプロジェクトが各企業で盛んに展開されていくと、DXプロジェクト特有の教訓が蓄積されると考えられる。このDXリスク集のみならず、実経験から得た教訓を文書化し、次のプロジェクトへ引き継ぎ、発展させていくことが重要である。

・・・・・・・・・

研究活動を終えて

活動によって得た気づき 
月岡 康宏

 前述したように、DXリスク集の有用性に関するアンケートでは、「ぜひ担当プロジェクトで使ってみたい」「改善の余地はあるが、参考にしたい」という回答の合計が100%となった。これは、DXリスク集には現場のSEにとって役立つ情報がまとまっていた結果と捉えている。

 DXリスク集を作成するうえで、すでに世にある数十冊の文献から、「クラウド」「IoT」「5G」「AI」などの技術的なリスクを集めたのだが、それだけでなく、「プロジェクト・マネジメントの失敗事例」や「経営者と現場の目線の違いから生まれるリスク」も収集したことが、好意的な結果につながったと推察している。

 こうした技術論以外のリスクを収集した理由は、研究テーマの選定時に、インフラ案件のプロジェクト推進で難しく感じたプロセスは何かを数カ月にわたって議論してきたなかで、「インフラ案件の難しさは経営層に伝わりにくい」という意見が出されたためである。

 たとえば、基盤構築に要する費用が莫大になる場合、ビジネスにどう貢献するのかが経営層に伝わりにくく難色を示される、といったケースがある。このような背景から、インフラ担当と経営者の目線、意見、考え方のミスマッチから発生し得るリスクにも焦点を当てて収集すべきと判断し、一連の活動を行ってきた。

 本研究活動では、このように研究メンバーの1つ1つの意見を尊重して丁寧に掘り下げて議論し、各メンバーが十分に納得したうえで研究を進めた。この結果として、技術一辺倒のリスク集にならずに、好評につながったと考えている。

 

月岡 康宏 (チームリーダー)
東京海上日動システムズ株式会社
ITサービス基盤部

 

 

related posts