Zarządzanie ryzykiem

Blog o zarządzaniu ludźmi i projektami IT

Zarządzanie ryzykiem

   Zarządzanie ryzykiem    15 października, 2017  |  0
Ryzyko

Definicje

Ryzyko (ang. Risk) – potencjalne przyszłe zdarzenie, które może mieć negatywny wpływ projekt. Czasami można się spotkać z definicją, że jest to zdarzenie zarówno negatywne jak i pozytywne, ale nie jest to zbyt intuicyjne nazywać pozytywne zdarzenie ryzykiem, więc zostaniemy tu przy definicji negatywnej.

Problem (ang. Issue) – problem, który wystąpił w projekcie i którym należy się zająć.

Różnica między ryzykiem a problemem jest taka, że ryzyko, to zdarzenie przyszłe, które jeszcze nie wystąpiło, a problem już wystąpił. Ryzyko, które wystąpiło, często staje się problemem.

RAID log – repozytorium (log), w którym dokumentuje się ryzyka (Risks), założenia (Assumptions), problemy (Issues) i zależności zewnętrzne (Dependencies).

Risk log / Risk&Issue log – podzbiór RAID loga, w którym utrzymujemy tylko ryzyka lub ryzyka i problemy

Reakcja na ryzyko

Reakcja na ryzyko (ang. Risk response / treatment) to planowane działania związane z danym ryzykiem. Są tu zarówno akcje przed jego wystąpieniem jak i po. Można spotkać różne kategoryzacje reakcji na ryzyko, najczęściej występujące typy to:

  • Unikanie (ang. Avoid) – taka zmiana planów projektu lub zmiana podejścia, by ryzyko nie wystąpiło,
  • Łagodzenie (ang. Mitigate / Reduce) – działania, by zredukować prawdopodobieństwo lub skutki wystąpienia ryzyka,
  • Transfer (ang. Transfer / Share) – przeniesienie skutków ryzyka na inny podmiot, np. zewnętrzna firma (ubezpieczenie przed wystąpieniem ryzyka) czy klient (kontrakt T&M dla najbardziej ryzykownej części projektu),
  • Akceptacja (ang. Accept) – zaakceptowanie możliwości wystąpienia ryzyka i zabezpieczenie się na tę ewentualność odpowiednim marginesem w budżecie i czasie trwania projektu.

RAID log

Repozotyrium ma często formę arkusza, który umieszczony jest na dysku współdzielonym albo utrzymywane jest to w jakimś systemie.

O ile założeniem RAID log było dokumentowanie tych wszystkich 4 rzeczy w jednym miejscu, to w praktyce część informacji prościej utrzymywać w innych miejscach.

Założenia (Assumptions) warto dokumentować razem z wymaganiami, np. w systemie zarządzania wymaganiami typu Jira lub w ramach specyfikacji funkcjonalnych. Założenia są istotnym elementem w dokumentach RFI/RFP przy ofertowaniu realizacji projektów fixed price i mają istotny wpływ na rentowność tych projektów. Takie założenia warto zatem dołączyć do kontraktu.

Zależności zewnętrzne (Dependencies) dobrze jest utrzymywać razem z harmonogramem w postaci kamieni milowych. Zależności zewnętrzne również mają duże znaczenie dla rentowności projektu fixed price i warto wyszczególnić je w kontrakcie w postaci kamieni milowych oraz co dokładnie one oznaczają.

Problemy (Issues) są różnej kategorii, wiele problemów technicznych rozwiązuje się na bieżąco w ramach zespołu realizującego projekt i nie ewidencjonuje, część wymaga decyzji klienta czy menedżerów różnych stopni i ewidencjonuje się w różnych miejscach np. w raportach statusu projektu, w arkuszu na dysku współdzielonym czy w systemie informatycznym.

Risk log

Risk log najczęściej utrzymuje się w arkuszu na dysku współdzielonym lub w systemie IT. W przypadku używania narzędzi typu Jira do zarządzania zakresem, można tam również zarządzać ryzykami, problemami i zależnościami zewnętrznymi.

Struktura risk log może wyglądać następująco:

  • Opis – opis ryzyka
  • Kategoria – kategoryzacja jest przydatna jak ryzyk jest dużo, przykładowe kategorie ryzyk: zespół, techniczne, kontrakt
  • Data zgłoszenia – kiedy zgłoszono ryzyko
  • Data zamknięcia – kiedy zamknięto ryzyko (gdy się zmaterializowało lub nie wystąpi)
  • Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka
  • Wpływ – jak wielki wpływ na projekt ma dane ryzyko
  • Priorytet – jak bardzo istotne jest to ryzyko, priorytet wynika z reguły z prawdopodobieństwa i wpływu
  • Właściciel – kto jest właścicielem ryzyka, czyli osobą odpowiedzialną za monitorowanie tego ryzyka oraz za wykonanie lub zlecenie akcji
  • Typ reakcji – jeden z rodzajów reakcji na ryzyko opisanych wcześniej
  • Komentarze/akcje – jakiekolwiek komentarze i akcje do wykonania

Zarządzanie ryzykiem

Podobnie jak różnie można skategoryzować rodzaje ryzyk czy rodzaje reakcji na ryzyko, tak samo różnie można pogrupować działania związane z zarządzaniem ryzykiem. Oto jak może wyglądać proces zarządzania ryzykiem:

  1. Zidentyfikuj nowe ryzyka
  2. Oszacuj prawdopodobieństwa i wpływ oraz określ priorytety
  3. Wybierz reakcje na poszczególne ryzyka, wyznacz właścicieli ryzyk oraz przypisz działania do wykonania
  4. Monitoruj ryzyka i śledź postęp wykonania działań

Zarządzanie ryzykiem to ciągły proces identyfikowania, analizy, planowania i kontrolowania ryzyk. Krok 1-3 dla wykonuje się na początku projektu oraz regularnie w trakcie jego trwania w miarę pojawiania się nowych ryzyk. Krok 4 to regularne kontrolowanie wszystkich ryzyk, można go uwzględnić jako punkt agendy w spotkaniach statusowych projektu.

Zidentyfikuj nowe ryzyka

Na początku projektu podczas przygotowywania planu warto zorganizować burzę mózgów z zespołem w celu identyfikacji jak największej ilości ryzyk. Zespół wykonujący projekt okazuje się być skuteczny w identyfikacji ryzyk. Aby wydobyć więcej pomysłów od zespołu można wykorzystać poniższe metody do identyfikacji ryzyk:

  • posłużenie się gotowymi szablonami z listą ryzyk,
  • przegląd obszaru funkcjonalnego projektu i analiza obszarów, gdzie mogą się zmienić założenia zwiększając pracochłonność projektu,
  • przegląd zależności zewnętrznych i identyfikacja tyhch, które mogą nie zostać dostarczone na czas lub w dpowiedniej jakości,
  • przegląd oszacowań pracocochłonności i identyfikacja tych obszarów, gdzie wycena pestymistyczna znacząco odbiega od tej użytej przy planowaniu projektu,
  • przegląd używanych w projekcie technologii i weryfikacja, czy zespół ma odpowiednie kompetencje, by ich użyć.

Burzę mózgów w celu identyfikacji ryzyk można też przeprowadzać raz na jakiś czas w trakcie trwania projektu. Pomimo tego warto nauczyć zespół, by jakiekolwiek ryzyka, które widzą zgłaszali od razu.

Oszacuj prawdopodobieństwa i wpływ oraz określ priorytety

Prawdopodobieństwo i wpływ ryzyk szacuje się zwykle w oparciu o uproszczoną skalę względną. Dla przykładu prawdopodobieństwo i wpływ określa się nadając im jedną z 3 ocen: niskie, średni lub wysoki. Zestawiając na jednej osi prawdopodobieństwo, a na drugiej wpływ, otrzymujemy macierz ryzyk (ang. risk matrix).

Wybierz reakcje na poszczególne ryzyka, wyznacz właścicieli ryzyk oraz przypisz działania do wykonania

Wybierając reakcje na ryzyko opieramy się o oszacowane wcześniej prawdopodobieństwo i wpływ. Dla przykładu ryzyko o niskim prawdopodobieństwie i wpływie może być zignorowane, ale o niskim prawdopodobieństwie i katastroficznym wpływie może wymagać reakcji, np. transferu ryzyka na ubezpieczyciela. Samo wpisanie typu reakcji na ryzyko nie spowoduje, że ktoś się nim zajmie i będzie monitorował, dlatego wyznaczamy właściciela ryzyka oraz przypisujemy osobom działania jeśli są wymagane. Jeśli nie wiadomo kto jest właścicielem ryzyka, to póki nie zostanie on wyznaczony, to lider/manager projektu jest właścicielem.

Monitoruj ryzyka i śledź postęp wykonania działań

Ryzyka mogą z czasem zmienić swoje prawdopodobieństwa oraz wpływ, stąd trzeba je regularnie monitorować. Dodatkowo, jeśli dla ryzyka zostały wyznaczone jakieś działania, monitorowanie ryzyka i śledzenie postępu tych działań pozwoli przypilnować, że będą one zrobione na czas.

 

©  2021 Management Po Prostu. Zbudowano za pomocą WordPress i motywu Mesmerize