なぜPPPMにリスクマネジメントが不可欠なのか ― PMI標準を読み解く
by RYUJI MANABE
はじめに:リスクマネジメントは「守り」ではなく「経営の意思決定装置」
「リスクマネジメント」と聞くと、多くの方はコンプライアンスや災害対応といった"守り"のイメージを持たれるかもしれません。しかし、PMI(Project Management Institute)が2019年に発行した『The Standard for Risk Management in Portfolios, Programs, and Projects』は、まったく異なる視座を提示しています。
同標準によれば、リスクとは「発生した場合に、1つ以上の目標にプラスまたはマイナスの影響を与える不確実な事象または状態」と定義されます。つまり、リスクには「脅威(Threat)」だけでなく「機会(Opportunity)」も含まれるのです。
この定義が示唆するのは、リスクマネジメントとは単なる防御策ではなく、不確実性のなかで最適な意思決定を行うための経営機能だということです。
PMIの2015年 Pulse of the Profession® レポートでは、体系的なリスクマネジメントを実践している組織において、プロジェクトの73%が目標を達成し、61%が納期通り、64%が予算内で完了したと報告されています。リスクマネジメントの有無が成果を分けるという統計的事実は、看過できません。
PMI標準が提示する「リスクマネジメント7原則」
同標準の核心にあるのが、以下の7つの原則です。単なるプロセス論ではなく、組織がリスクマネジメントに取り組む際の「設計思想」と捉えるべきものです。
① 卓越性の追求(Strive to Achieve Excellence) プロセスの網羅的な適用ではなく、得られる便益とコストのバランスを取りながら、組織やプロジェクトの特性に応じてテーラリングすることが本質です。「プロセス遵守」自体が目的化する日本企業にとって、特に重要な示唆といえます。
② 戦略・ガバナンスとの整合(Align with Strategy and Governance) リスクマネジメントは、戦略や意思決定プロセスの変化に連動して進化させる必要があります。戦略とリスクが別々の文脈で議論される組織は、構造的な盲点を抱えていることになります。
③ 最もインパクトの大きいリスクへの集中(Focus on the Most Impactful Risks) 限られた資源で「正しいリスク」に注力できるかが勝負です。リスク一覧表の量ではなく、優先順位付けの精度こそが成熟度を決定づけます。
④ 価値実現とリスクのバランス(Balance Value Against Risks) リスクの低い取り組みは十分な価値を生まない場合があり、逆に高いパフォーマンスが見込まれる施策は過大なリスクを伴うこともあります。リスクを取らないこと自体がリスクになり得るという逆説は、DXや新規事業の文脈で頻繁に直面する論点です。
⑤ リスクマネジメント文化の醸成(Foster a Culture) 脅威を隠蔽せず特定し、機会をポジティブに捉える文化の構築です。これは制度設計だけでは実現できず、リーダーシップと心理的安全性の両輪が必要になります。
⑥ 複雑性のナビゲーション(Navigate Complexity) 目標・要件・スコープを明確化することでリスク識別能力が向上し、不測の事態への曝露を低減できます。「複雑だから管理できない」のではなく、「リスクマネジメントによって複雑性を乗りこなす」という発想の転換が求められます。
⑦ 継続的な能力向上(Continuously Improve Competencies) 技術やリスクの性質は変化し続けます。AI・データ分析などのテクノロジーを活用しつつ、リスクマネジメント能力を継続的にアップデートすることが、持続的な競争優位の源泉となります。
PPPM各階層におけるリスクマネジメントの位置づけ
PMI標準の最大の特徴は、リスクマネジメントをポートフォリオ・プログラム・プロジェクトの3階層にまたがる統合的な枠組みとして捉えている点です。
ポートフォリオレベルでは、戦略目標との整合性、投資配分の最適化、全体リスクエクスポージャーの管理が焦点になります。個々のプロジェクトリスクの積み上げだけでなく、ポートフォリオ全体としてのリスクバランスを評価する視点が不可欠です。
プログラムレベルでは、ベネフィット実現の確実性を高めることが中核的な関心事です。コンポーネント間の相互依存関係から生じるリスクや、プログラム固有のステークホルダーリスクへの対応が求められます。
プロジェクトレベルでは、スコープ・スケジュール・コスト・品質といった制約条件のなかで、識別・分析・対応・監視のライフサイクルを回します。
重要なのは、これらが孤立した活動ではなく、ERM(Enterprise Risk Management)と接続され、組織戦略からプロジェクト実行まで一気通貫でリスク情報が流通する構造が求められるという点です。
リスクマネジメント・ライフサイクル:6つのステージ
同標準では、PPPM共通のリスクマネジメント・ライフサイクルとして以下の6ステージを定義しています。
- リスクマネジメントの計画(Plan)— リスクアペタイト(許容度)を定義し、組織特性に応じたアプローチを設計
- リスクの識別(Identify)— 脅威と機会の両面を網羅的に洗い出す
- 定性的リスク分析(Qualitative Analysis)— 発生確率×影響度で優先順位を決定
- 定量的リスク分析(Quantitative Analysis)— シミュレーション等による数値的評価
- リスク対応の計画と実行(Plan & Implement Responses)— 回避・軽減・転嫁・受容、および機会に対する活用・強化・共有
- リスクの監視(Monitor)— 継続的なトラッキングと対応策の有効性評価
このライフサイクルは反復的であり、環境変化や新たな情報に応じて繰り返し実行されるべきものです。
なぜ今、PPPMレベルのリスクマネジメントが注目されるのか
McKinseyが2025年末に発表した「The Future of Risk」では、リスクマネジメントの役割が「価値の防御」から「価値の創出」へと拡張していると指摘されています。地政学的不確実性の高まり(World Uncertainty Indexは20年前の約9倍)、AIやデジタル資産の台頭、NBFIの拡大など、従来のサイロ型リスク管理では対応しきれない環境が加速しています。
同レポートでは、リスクアペタイト・ステートメントとリスクガバナンスの枠組みが引き続き不可欠であるとしつつ、優れたリスクマネージャーに求められる能力として「クリティカルシンキング」「知的好奇心」「適切な"What-if"を問う力」を挙げています。
これはまさに、PMI標準が説く「リスクマネジメントを通じた複雑性のナビゲーション」と符合するものです。
日本企業においては、プロジェクト単体のリスク管理は一定程度浸透しているものの、ポートフォリオ・プログラムレベルでの統合的リスクマネジメントは依然として発展途上です。DX・AIX推進の文脈では、複数プロジェクトの相互依存リスク、技術的不確実性、組織変革に伴うチェンジマネジメントリスクなど、プロジェクト単独では捉えきれないリスクが増大しています。
実務への示唆:3つのアクション
1. リスクマネジメントを「プロジェクト内のタスク」から「経営のガバナンス機能」へ昇格させる PMOやCxOレベルの議題としてリスクを扱い、ポートフォリオ全体のリスクプロファイルを定期的にレビューする仕組みが必要です。
2. 「機会としてのリスク」を意思決定に組み込む リスク登録簿を脅威一覧ではなく、機会と脅威の両面を包含した「不確実性マップ」として再設計することを推奨します。
3. リスクマネジメント能力を組織ケイパビリティとして育成する 個人のスキルに依存するのではなく、リスクに関する共通言語・ツール・プロセスを組織として標準化し、継続的にアップデートすることが重要です。PMI標準が提示する7原則は、その設計指針として有効に機能します。
おわりに
PMIの『The Standard for Risk Management in Portfolios, Programs, and Projects』が一貫して訴えるメッセージは、「リスクマネジメントは、すべての組織活動に本質的かつ不可欠な要素である」ということです。
不確実性が常態化した現在、リスクを「管理すべきコスト」ではなく「競争優位の源泉」として再定義できるかどうかが、PPPMの成熟度を決定づけます。本稿が、皆さまの組織におけるリスクマネジメント高度化の一助となれば幸いです。
【参考文献・引用】
- PMI (2019) The Standard for Risk Management in Portfolios, Programs, and Projects
- PMI (2015) Pulse of the Profession®
- McKinsey & Company (2025) "The Future of Risk: How Global Trends Are Reshaping Risk Management"
- McKinsey & Company (2025) McKinsey on Risk & Resilience, Number 20