Zarządzanie ryzykiem

Definicje
Ryzyko (ang. Risk) – potencjalne przyszłe zdarzenie, które może mieć negatywny wpływ projekt. Czasami można się spotkać z definicją, że jest to zdarzenie zarówno negatywne jak i pozytywne, ale nie jest to zbyt intuicyjne nazywać pozytywne zdarzenie ryzykiem, więc zostaniemy tu przy definicji negatywnej.
Problem (ang. Issue) – problem, który wystąpił w projekcie i którym należy się zająć.
Różnica między ryzykiem a problemem jest taka, że ryzyko, to zdarzenie przyszłe, które jeszcze nie wystąpiło, a problem już wystąpił. Ryzyko, które wystąpiło, często staje się problemem.
RAID log – repozytorium (log), w którym dokumentuje się ryzyka (Risks), założenia (Assumptions), problemy (Issues) i zależności zewnętrzne (Dependencies).
Risk log / Risk&Issue log – podzbiór RAID loga, w którym utrzymujemy tylko ryzyka lub ryzyka i problemy
Reakcja na ryzyko
Reakcja na ryzyko (ang. Risk response / treatment) to planowane działania związane z danym ryzykiem. Są tu zarówno akcje przed jego wystąpieniem jak i po. Można spotkać różne kategoryzacje reakcji na ryzyko, najczęściej występujące typy to:
- Unikanie (ang. Avoid) – taka zmiana planów projektu lub zmiana podejścia, by ryzyko nie wystąpiło,
- Łagodzenie (ang. Mitigate / Reduce) – działania, by zredukować prawdopodobieństwo lub skutki wystąpienia ryzyka,
- Transfer (ang. Transfer / Share) – przeniesienie skutków ryzyka na inny podmiot, np. zewnętrzna firma (ubezpieczenie przed wystąpieniem ryzyka) czy klient (kontrakt T&M dla najbardziej ryzykownej części projektu),
- Akceptacja (ang. Accept) – zaakceptowanie możliwości wystąpienia ryzyka i zabezpieczenie się na tę ewentualność odpowiednim marginesem w budżecie i czasie trwania projektu.
RAID log
Repozotyrium ma często formę arkusza, który umieszczony jest na dysku współdzielonym albo utrzymywane jest to w jakimś systemie.
O ile założeniem RAID log było dokumentowanie tych wszystkich 4 rzeczy w jednym miejscu, to w praktyce część informacji prościej utrzymywać w innych miejscach.
Założenia (Assumptions) warto dokumentować razem z wymaganiami, np. w systemie zarządzania wymaganiami typu Jira lub w ramach specyfikacji funkcjonalnych. Założenia są istotnym elementem w dokumentach RFI/RFP przy ofertowaniu realizacji projektów fixed price i mają istotny wpływ na rentowność tych projektów. Takie założenia warto zatem dołączyć do kontraktu.
Zależności zewnętrzne (Dependencies) dobrze jest utrzymywać razem z harmonogramem w postaci kamieni milowych. Zależności zewnętrzne również mają duże znaczenie dla rentowności projektu fixed price i warto wyszczególnić je w kontrakcie w postaci kamieni milowych oraz co dokładnie one oznaczają.
Problemy (Issues) są różnej kategorii, wiele problemów technicznych rozwiązuje się na bieżąco w ramach zespołu realizującego projekt i nie ewidencjonuje, część wymaga decyzji klienta czy menedżerów różnych stopni i ewidencjonuje się w różnych miejscach np. w raportach statusu projektu, w arkuszu na dysku współdzielonym czy w systemie informatycznym.
Risk log
Risk log najczęściej utrzymuje się w arkuszu na dysku współdzielonym lub w systemie IT. W przypadku używania narzędzi typu Jira do zarządzania zakresem, można tam również zarządzać ryzykami, problemami i zależnościami zewnętrznymi.
Struktura risk log może wyglądać następująco:
- Opis – opis ryzyka
- Kategoria – kategoryzacja jest przydatna jak ryzyk jest dużo, przykładowe kategorie ryzyk: zespół, techniczne, kontrakt
- Data zgłoszenia – kiedy zgłoszono ryzyko
- Data zamknięcia – kiedy zamknięto ryzyko (gdy się zmaterializowało lub nie wystąpi)
- Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka
- Wpływ – jak wielki wpływ na projekt ma dane ryzyko
- Priorytet – jak bardzo istotne jest to ryzyko, priorytet wynika z reguły z prawdopodobieństwa i wpływu
- Właściciel – kto jest właścicielem ryzyka, czyli osobą odpowiedzialną za monitorowanie tego ryzyka oraz za wykonanie lub zlecenie akcji
- Typ reakcji – jeden z rodzajów reakcji na ryzyko opisanych wcześniej
- Komentarze/akcje – jakiekolwiek komentarze i akcje do wykonania
Zarządzanie ryzykiem
Podobnie jak różnie można skategoryzować rodzaje ryzyk czy rodzaje reakcji na ryzyko, tak samo różnie można pogrupować działania związane z zarządzaniem ryzykiem. Oto jak może wyglądać proces zarządzania ryzykiem:
- Zidentyfikuj nowe ryzyka
- Oszacuj prawdopodobieństwa i wpływ oraz określ priorytety
- Wybierz reakcje na poszczególne ryzyka, wyznacz właścicieli ryzyk oraz przypisz działania do wykonania
- Monitoruj ryzyka i śledź postęp wykonania działań
Zarządzanie ryzykiem to ciągły proces identyfikowania, analizy, planowania i kontrolowania ryzyk. Krok 1-3 dla wykonuje się na początku projektu oraz regularnie w trakcie jego trwania w miarę pojawiania się nowych ryzyk. Krok 4 to regularne kontrolowanie wszystkich ryzyk, można go uwzględnić jako punkt agendy w spotkaniach statusowych projektu.
Zidentyfikuj nowe ryzyka
Na początku projektu podczas przygotowywania planu warto zorganizować burzę mózgów z zespołem w celu identyfikacji jak największej ilości ryzyk. Zespół wykonujący projekt okazuje się być skuteczny w identyfikacji ryzyk. Aby wydobyć więcej pomysłów od zespołu można wykorzystać poniższe metody do identyfikacji ryzyk:
- posłużenie się gotowymi szablonami z listą ryzyk,
- przegląd obszaru funkcjonalnego projektu i analiza obszarów, gdzie mogą się zmienić założenia zwiększając pracochłonność projektu,
- przegląd zależności zewnętrznych i identyfikacja tyhch, które mogą nie zostać dostarczone na czas lub w dpowiedniej jakości,
- przegląd oszacowań pracocochłonności i identyfikacja tych obszarów, gdzie wycena pestymistyczna znacząco odbiega od tej użytej przy planowaniu projektu,
- przegląd używanych w projekcie technologii i weryfikacja, czy zespół ma odpowiednie kompetencje, by ich użyć.
Burzę mózgów w celu identyfikacji ryzyk można też przeprowadzać raz na jakiś czas w trakcie trwania projektu. Pomimo tego warto nauczyć zespół, by jakiekolwiek ryzyka, które widzą zgłaszali od razu.
Oszacuj prawdopodobieństwa i wpływ oraz określ priorytety
Prawdopodobieństwo i wpływ ryzyk szacuje się zwykle w oparciu o uproszczoną skalę względną. Dla przykładu prawdopodobieństwo i wpływ określa się nadając im jedną z 3 ocen: niskie, średni lub wysoki. Zestawiając na jednej osi prawdopodobieństwo, a na drugiej wpływ, otrzymujemy macierz ryzyk (ang. risk matrix).
Wybierz reakcje na poszczególne ryzyka, wyznacz właścicieli ryzyk oraz przypisz działania do wykonania
Wybierając reakcje na ryzyko opieramy się o oszacowane wcześniej prawdopodobieństwo i wpływ. Dla przykładu ryzyko o niskim prawdopodobieństwie i wpływie może być zignorowane, ale o niskim prawdopodobieństwie i katastroficznym wpływie może wymagać reakcji, np. transferu ryzyka na ubezpieczyciela. Samo wpisanie typu reakcji na ryzyko nie spowoduje, że ktoś się nim zajmie i będzie monitorował, dlatego wyznaczamy właściciela ryzyka oraz przypisujemy osobom działania jeśli są wymagane. Jeśli nie wiadomo kto jest właścicielem ryzyka, to póki nie zostanie on wyznaczony, to lider/manager projektu jest właścicielem.
Monitoruj ryzyka i śledź postęp wykonania działań
Ryzyka mogą z czasem zmienić swoje prawdopodobieństwa oraz wpływ, stąd trzeba je regularnie monitorować. Dodatkowo, jeśli dla ryzyka zostały wyznaczone jakieś działania, monitorowanie ryzyka i śledzenie postępu tych działań pozwoli przypilnować, że będą one zrobione na czas.