そもそもリスクとコストの関係とは?
リスクとは損害や危険な事象の可能性のことであるが、日常社会にも企業活動にも多くのリスクが存在する。天変地異もあれば、盗難や事故もある。病気や怪我をはじめ、保険や証券などの金融関連、環境関連など、あらゆる事象や活動にリスクが伴う。
むしろリスク・ゼロということのほうがあり得ないことであり、無闇(むやみ)に無謬(むびゅう=誤りがないこと)性を追求するのではなく、リスクを実害のない程度に小さくして安全を確保することが重要だ。そのための管理手法としてリスク管理(あるいはリスク・マネジメント)の概念があり、予防的にあるいは事後的に低減したり回避したりして損失を極小化することが行われる。
情報システム関連でも、リスクという言葉がよく使われる。開発のリスク、運用のリスク、セキュリティーのリスクなどさまざまなリスクが語られ、テクノロジーと人とが絡む複雑で脆弱(ぜいじゃく)な仕組みであることを示唆してもいるようだ。特に情報システムの開発段階のリスク問題は深刻であり、計画通りに進む事案は3割程度と言われる。
この状況から見れば、周到なリスク管理が必要になる。情報システムの開発におけるリスクは思うような機能や性能が発揮されないリスク、予定通りの費用で収まらないリスク、計画通りの工程で開発が進まないリスクなどいわゆるQCD(Quality:品質、Cost:費用、Delivery:引き渡し=工程)にまつわるものがほとんどだ。そしてそのリスクの大半が要求と要件の段階から起こっているという指摘がある。
リスクを小さくすれば、問題が生じてもコストを最小限に抑えることができる。リスクとコストは密接な関係にあるからこそ、リスクのコントロールがコスト削減にも重要になってくる。
リスクを取るということ
リスクを取る(=リスクテイク)ということは、何の勝算もなく危険を冒すことではないし、リスクに対して腹をくくることでもない。ハイリスク・ハイリターンの言葉があるように、リスクを認識してあえて挑戦することによってリターンを得ることができる。リスクを取るということは、現状におけるリスク要素を認識し、発生するリスクに対する対応を準備し、常に損害を極小化できるように責任を持つことだ。
最もリスク問題として課題の多いシステム開発を例にしてみよう。システム開発の責任は開発する側、つまりユーザーであるシステムオーナー側にあり、外部に開発の依頼をするのであれば発注者がシステム開発のリスクを取らなければならない。
下図はユーザーの取るべきリスクとコストの関係を模式的に示したものだ。ユーザーが全面的にリスクを取れば、ユーザーリスクは高いがコストを抑えることができる。要求や要件を自己責任で確定し、外部設計くらいまでしっかり仕上げることができれば、詳細設計以降を委託開発してもコストを最小化して品質の高い情報システムを予定工期、予定費用で作り上げることができるだろう。
しかし、リスクを取りきれない場合、例えば要件定義段階から外部サポートを委任すればユーザーリスクを下げることはできてもリスクはコストに転嫁されてコスト高になっていく。ましてベンダー丸投げや強度のベンダー依存は、開発リスクがベンダーに移転され大きくコストに転嫁されていくことが分かるであろう。リスクを取るという姿勢が、いかにコスト削減に有効でありリターンを得る行為であるかを理解すべきだ。
