Zarządzanie ryzykiem w projekciezarządzanie polegające na monitorowaniu i obniżaniu ryzyka do poziomu akceptowalnego przez menedżera projektu.

Według metodyki PMBOK zarządzanie ryzykiem składa się z następujących procesów głównych:

  1. Planowanie zarządzania ryzykiem
  2. Identyfikacja ryzyka
  3. Jakościowa analiza ryzyka
  4. Ilościowa analiza ryzyka
  5. Planowanie reakcji na ryzyko
  6. Monitorowanie i kontrolowanie ryzyka

Planowanie zarządzania ryzykiem

Jest to zbiór czynności, które mają na celu z jednej strony skłonienie menedżera projektu do przygotowania i zorganizowania procesu zarządzania ryzykiem, z drugiej zaś mają one doprowadzić do powstania infrastruktury organizacyjnej, której zadaniem będzie podjęcie działań zmierzających do: izolowania i zmniejszenia ryzyka, eliminowania ryzyka (jeśli jest to możliwe i uzasadnione), przy-gotowania alternatywnych sposobów działania oraz określenia rezerw czasowych i pieniężnych w celu zabezpieczenia przed zagrożeniami mogącymi pojawić się podczas planowania i wykonywania prac projektowych. Materiałami wejściowymi do planowania procesu zarządzania ryzykiem są: karta projektu, polityka organizacji w zakresie zarządzania ryzykiem, ewidencja ról i obowiązków pracowników, wytyczne dotyczące tolerancji interesariuszy (udziałowców projektu) wobec możliwych ryzyk, szablony planu zarządzania ryzykiem w firmie (jeżeli takie istnieją) oraz struktura podziału pracy. Materiały te powinny być wykorzystane podczas spotkań, których celem będzie stworzenie planu zarządzania ryzykiem. Plan taki powinien zawierać:

  • metodykę określającą sposoby, narzędzia i źródła danych, które należy wykorzystać w zarządzaniu ryzykiem,
  • opis ról i obowiązków poszczególnych zespołów roboczych jak i indywidualnych pracowników organizacji względem procesu zarządzania ryzykiem,
  • całkowity budżet projektu oraz kwotę przeznaczoną na proces zarządzania ryzykiem,
  • listę terminów określających wszystkie działania związane z procesem zarządzania ryzykiem na wszystkich etapach projektu,
  • system oceny i interpretacji zdarzeń mogących wywołać niepożądany przebieg projektu,
  • progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko,
  • sposoby tworzenia dokumentacji procesu zarządzania ryzykiem oraz
  • charakterystykę procesu śledzenia ryzyka w czasie realizacji projektu.

Identyfikacja ryzyka

Są to działania, których celem jest wykrycie źródeł ryzyka, a następnie ich usystematyzowanie według przyjętych kategorii. Identyfikacja ryzyka w metodyce PMBOK jest procesem iteracyjnym, wykonuje się ją wielokrotnie zarówno podczas planowania, jak i w trakcie realizacji projektu. Materiałami wejściowymi do identyfikacji ryzyka są:

  • plan zarządzania ryzykiem będący efektem poprzedniego etapu,
  • rezultaty procesów planowania projektu, do których należą: karta projektu, struktura podziału pracy, opis wytwarzanego produktu, harmonogram i szacunki kosztów, plany użycia zasobów, plany zamówień, listy zagrożeń i ograniczeń,
  • zdefiniowane kategorie ryzyka. Są to nazwy grup, do jakich będzie można zakwalifikować wszystkie niekorzystne zdarzenia mogące pojawić się podczas planowania i realizacji przedsięwzięcia. Wprowadzenie kategorii (niekiedy nazywanych profilami) umożliwia systematyzację wszystkich ryzyk projektowych. Ważne jest, by przyjęte kategorie były prawidłowo dobrane w zależności od specyfiki projektu i tym samym odpowiadały typowym źródłom ryzyka dla danej branży lub obszaru wykorzystania wytwarzanego produktu. Do często wyróżnianych kategorii ryzyka należą: ryzyko techniczne, ryzyko związane z zarządzaniem projektami ryzyko organizacyjne oraz ryzyko zewnętrzne,
  • dane historyczne dotyczące wcześniejszych realizacji projektów.

Proces identyfikacji ryzyka w metodyce PMBOK może być wspierany wieloma narzędziami i technikami. Wydaje się to oczywiste, gdyż przewidzenie, jakie zdarzenia mogą istotnie wpłynąć na niezrealizowanie planowanych zadań projektowych jest czynnością trudną i nie zawsze w pełni możliwą do wykonania. Do najważniejszych technik należą:

  • przegląd dokumentacji. Jest to zwyczajowo pierwszy krok w procesie identyfikacji ryzyka. Zespół zajmujący się zarządzaniem analizuje plany i założenia projektu doszukując się potencjalnych zagrożeń,
  • techniki gromadzenia informacji o źródłach zagrożeń, do których zalicza się: burzę mózgów, technikę delficką, ankiety oraz analizę mocnych stron, słabych stron, szans i zagrożeń (SWOT),
  • listy kontrolne. Należą do narzędzi tworzonych na podstawie danych historycznych oraz wiedzy gromadzonej w podczas realizacji podobnych projektów w przeszłości. Są to proste i skuteczne narzędzia identyfikacji ryzyka. Główną wadą ich jest to, że nie można stworzyć ewidencji wszystkich potencjalnych zagrożeń projektowych,
  • analiza założeń projektowych – ma na celu identyfikację ryzyka wynikającą z niedokładności, niespójności lub niekompletności założeń,
  • techniki oparte na diagramach. Umożliwiają łatwą identyfikację symptomów ryzyka oraz przejrzyste ułożenie schematów przyczynowo skutkowych. Do popularnych technik diagramowych należą: diagramy przyczynowo-skutkowe (np. diagramy Ishikawy, rybich ości), schematy blokowe systemu, diagramy wpływu.

W wyniku użycia jednej bądź wielu powyższych technik zespół zarządzający ryzykiem otrzymuje: listę zidentyfikowanych źródeł ryzyka usystematyzowaną według określonych kategorii oraz spis czynności wyzwalających (symptomów, sygnałów ostrzegawczych) wskazujących, że wkrótce może dojść lub że już doszło do wystąpienia niekorzystnego zdarzenia.

Analiza jakościowa ryzyka

Głównym zadaniem tej fazy procesu zarządzania ryzykiem jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk. Na tym etapie wykonuje się hierarchizację zidentyfikowanych niebezpieczeństw według ich potencjalnego wpływu na proces realizacji przedsięwzięcia. Uzyskane wyniki będą stanowiły podstawę do dalszego planowania reakcji na niekorzystne zjawiska. Jakościowa analiza ryzyka wymaga zastosowania odpowiednich narzędzi. Autorzy metodyki zalecają, by użyć na tym etapie technik macierzowych. Wielokrotne zastosowanie podczas realizacji przedsięwzięcia tych prostych narzędzi umożliwia zaobserwowanie trendów, które mogą stanowić podstawę do podjęcia uzasadnionych decyzji o intensyfikacji lub ograniczeniu działań związanych z zarządzaniem ryzykiem. Materiałami wyjściowymi do jakościowej analizy ryzyka są: plan zarządzania ryzykiem, lista zidentyfikowanych ryzyk wraz z podziałem ich na kategorie, raport o stanie zaawansowania projektu, charakterystyka typu projektu (informacja o tym na ile realizowany projekt jest nowatorski a w czym jest podobny do wykonanych już przedsięwzięć), charakterystyka dokładności danych, na podstawie których dokonano identyfikacji i opisu ryzyka (dane te powinny być ocenione pod kątem ich wiarygodności i dostępności), zestaw przyjętych w firmie skal prawdopodobieństwa i mierników skutków wystąpień zagrożeń oraz listę założeń które zostały przyjęte w procesie identyfikacji i oceny źródeł ryzyka. Podstawowe narzędzia i techniki używane do jakościowej analizy ryzyka to: lista prawdopodobieństw i skutków ryzyka (korzysta się tu ze skal opisowych np. bardzo wysokie, umiarkowane, niskie i bardzo niskie), macierze ocen prawdopodobieństwa i skutków wystąpienia ryzyka (stosuje się w nich w zależności od potrzeb skale liniowe lub logarytmiczne), badanie złożoności projektu (ocenia się stabilność założeń projektowych oraz ewentualne skutki wpływu błędów popełnionych przy ich formułowaniu), ranking dokładności danych (bada się dokładność i obiektywność danych wykorzystanych przy planowaniu projektu). Rezultatem jakościowej analizy ryzyka jest: ogólny ranking projektu pod kątem ryzyka (pozwalający na porównanie poziomu ryzyka z ryzykami występującymi w innych projektach), lista hierarchii ryzyka (umożliwiająca wyszczególnienie źródeł ryzyka o bardzo dużym potencjalnie negatywnym wpływie na projekt, czy też prawdopodobnie nieistotnych dla projektu), trendy wynikające z rezultatów jakościowej analizy ryzyka przeprowadzonej wielokrotnie podczas realizacji projektu.

Ilościowa analiza ryzyka

Proces ten ma na celu określenie wymiernych wartości wielkości prawdopodobieństwa oraz skutków wystąpienia zdarzeń niekorzystnych zarówno dla poszczególnych czynności projektu, jak i dla całego przedsięwzięcia. Pomiar taki pozwala ustalić w wielkościach wymiernych szansę osiągnięcia celów projektu, określić poziomy niezbędnych rezerw, przeprowadzić szczegółową analizę typu, „co-jeśli”. Ilościowa analiza ryzyka często jest poprzedzana badaniami jakościowymi. Materiałami wejściowymi do ilościowej analizy ryzyka są: plan zarządzania ryzykiem, lista zidentyfikowanych ryzyk, lista hierarchii ryzyk, lista ryzyk do dalszej analizy, dane historyczne, opinie ekspertów oraz rezultaty innych procesów planowania w danym projekcie. Narzędzia wykorzystywane do analizy ilościowej różnią się między sobą ze względu na stopień skomplikowania. Do najczęściej używanych należą: ankiety (przeprowadza się je wśród interesariuszy projektu i ekspertów w celu wyznaczenia wielkości prawdopodobieństwa i skutków wystąpienia ryzyka), analiza wrażliwości (pozwala na wyznaczenie, które ryzyka mają potencjalnie największy wpływ na przebieg planowanego projektu), analiza drzew decyzyjnych (ustala diagram następstw wraz z określonym ich prawdopodobieństwem i kosztami, zawiera każdą z możliwych logicznych ścieżek zdarzeń mogących pojawić się w trakcie realizacji projektu) oraz symulacje (najczęściej wykorzystuje się metodę Monte Carlo po to, by określić prawdopodobieństwo osiągnięcia określonego celu projektu i dokonać ilościowego pomiaru wpływu potencjalnych niekorzystnych zdarzeń na projekt, co ma pozwolić na ustalenie wielkości kosztowych i harmonogramowych rezerw, które mogą okazać się niezbędne w trakcie realizacji przedsięwzięcia). Efektem przeprowadzenia analizy ilościowej ryzyka dla danego projektu są: lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, analiza probabilistyczna projektu (zawiera prognozy dotyczące kosztów i czasów realizacji zadań), wielkości prawdopodobieństwa osiągnięcia celów kosztowych i czasowych, trendy charakteryzujące wyniki ilościowej analizy ryzyka (dane te są uzyskiwane na podstawie kilkukrotnego przeprowadzenia analizy ilościowej).

Kluczowa dla skutecznej analizy ryzyka jest jakość (w tym aktualność) danych stanowiących o właściwym kierunku podejmowanych decyzji. Do nowych narzędzi wykorzystywanych w ilościowej analizie ryzyka (projektowego) zaliczyć można analizę big data[1].

Planowanie reakcji na ryzyko

Jest to proces opracowywania wariantów postępowania dotyczących czynności zmniejszających zagrożenia i zwiększających potencjalne korzyści dla sformułowanych celów projektowych. Plan reakcji na ryzyko to kluczowy etap procesu zarządzania ryzykiem, gdyż opracowuje się w nim metody reagowania na zdarzenia korzystne i niekorzystne. Skuteczność planowania reakcji na ryzyka zadań zagrożonych ma bezpośredni wpływ na wzrost lub spadek ryzyka realizacji całego projektu. Planowane reakcje muszą być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny oraz być realizowane terminowo. Materiałami wejściowymi do planowania reakcji na ryzyko są: plan zarządzania ryzykiem, lista hierarchii ryzyk, ranking projektu pod względem ryzyka, lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, analiza probabilistyczna projektu, prawdopodobieństwo osiągnięcia celów kosztowych i czasowych, lista potencjalnych metod reakcji, progi ryzyka (są to wielkości akceptowalne ryzyka przyjęte przez organizację), lista dysponentów ryzyka (zestawienie interesariuszy, którzy mają możliwości reakcji na dane ryzyko), lista wspólnych ryzyk (ewidencja zjawisk niekorzystnych, które mogą wywierać wielorakie skutki na proces realizacji projektu) oraz trendy będące wynikami wielokrotnie przeprowadzonej jakościowej i ilościowej analizy ryzyka. W procesie planowania reakcji na ryzyka powszechnie stosuje się kilka strategii. Do każdego z ryzyk należy tak dobrać plan postępowania, by podjęte działania były jak najbardziej skuteczne. Do najbardziej popularnych strategii zalicza się:

  • unikanie ryzyka – polega na takiej modyfikacji planów realizacji projektu, by zlikwidować dane ryzyko (niestety nie można w praktyce wyeliminować wszystkich zdarzeń, z którymi wiążą się niebezpieczeństwa) albo korzystnie zmienić uwarunkowania z nim związane,
  • transfer ryzyka – to działanie polegające na przeniesieniu skutków wystąpienia ryzyka na inny podmiot. Działanie to jest najskuteczniejsze w obszarze finansów, wiąże się ono zazwyczaj z koniecznością wypłacenia premii podmiotowi przyjmującemu ryzyko (np. ubezpieczenie na wypadek włamania do firmy),
  • łagodzenie ryzyka – to najpowszechniejsza ze wszystkich strategii reagowania na ryzyko. Proces ten polega na podejmowaniu określonych działań prowadzących do zmniejszenia prawdopodobieństwa lub skutków ryzyka,
  • akceptacja ryzyka – polega na przyjęciu i udźwignięciu wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Jest to świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać żadnych zmian w planie projektu związanych z wystąpieniem danego niekorzystnego zjawiska. Istnieją dwa podstawowe typy akceptacji ryzyka: aktywna i pasywna. Pasywna akceptacja polega na przyjęciu ryzyka bez podejmowania jakichkolwiek działań w celu rozwiązania problemów jakie się z nim wiążą. Natomiast aktywna akceptacja polega na pogodzeniu się z ryzykiem, ale wymaga stworzenia specjalnego planu działania w razie wystąpienia niekorzystnego zdarzenia, a w niektórych przypadkach tzw. planu odwrotu,
  • plan awaryjny – buduje się tylko dla zidentyfikowanych ryzyk, które mogą pojawić się w trakcie realizacji projektu, wcześniejsze opracowanie planu awaryjnego może w sposób istotny obniżyć koszty działań podejmowanych w reakcji na wystąpienie danego niekorzystnego zjawiska.

Rezultatami procesu planowania reakcji na ryzyka są: plan reakcji na ryzyka, ewidencja ryzyk rezydualnych (lista ryzyk, które jeszcze pozostają w projekcie po wdrożeniu strategii unikania, przenoszenia i łagodzenia ryzyka), ewidencja ryzyk wtórnych (są to ryzyka, które powstają w wyniku wdrożenia strategii reagowania na ryzyko), postanowienia kontraktowe (umowy wraz zakresami odpowiedzialności, jakie przejmują na siebie inne podmioty współuczestniczące w realizacji projektu), wielkości niezbędnych kwoty rezerw projektowych (są to tzw. bufory finansowo-zasobowe zarezerwowane przez menedżerów na wypadek wystąpienia sytuacji niekorzystnych), materiały wyjściowe do innych procesów oraz materiały wejściowe do weryfikacji całości planu projektu (rezultaty planowania reakcji na ryzyko powinny być uwzględnione w ostatecznym planie projektu).

Monitorowanie i kontrola ryzyka

Jest to proces wdrożenia planu zarządzania ryzykiem, nieustannej obserwacji i nadzorowaniu zidentyfikowanych ryzyk, identyfikacji nowo powstałych zagrożeń oraz systematycznego oceniania skuteczności podejmowanych działań prewencyjnych. To właśnie monitorowanie i kontrola ryzyka dostarcza informacji niezbędnych do podejmowania decyzji wyprzedzających pojawienie się niekorzystnych zdarzeń. Celem monitorowania ryzyka jest ustalenie czy:

  • wdrożono zgodnie z planem strategie reakcji na ryzyka,
  • działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują oczekiwanymi rezultatami,
  • przyjęte założenia projektu są aktualne,
  • podczas realizacji projektu nie doszło do zmian w szczególnym i ogólnym poziomie ryzyka (np. zgodnie z analizą trendów),
  • wystąpiły czynniki wyzwalające zidentyfikowane ryzyka,
  • wystąpiły nowe ryzyka nierozpoznane uprzednio.

Materiałami wejściowymi do procesu monitorowania i kontroli ryzyka są: plan zarządzania ryzykiem, plan reakcji na ryzyko, raporty będące wynikiem komunikacji podczas planowania i realizacji projektu, zestawienia dodatkowych wyników identyfikacji i analiz ryzyka (wykrycie nowych źródeł ryzyka), ewidencje proponowanych lub już wdrożonych zmian zakresów projektu. Do narzędzi i technik stosowanych do monitorowania oraz kontroli ryzyka są zaliczane: audyty reakcji na ryzyko, okresowe przeglądy ryzyka w projekcie, analizy wartości wypracowanej, zestawienia pomiarów technicznych (ewidencja planowanych i osiągniętych wyników podczas przebiegu realizacji projektu) oraz opisy dodatkowo planowanych reakcji na ryzyko. W wyniku wykonania procesu monitorowania i kontroli ryzyka powstają: plany improwizacyjne (ewidencja reakcji na zagrożenia wcześniej nie zidentyfikowane), listy działań korygujących, aktualizacje planów reakcji na ryzyko, baza danych o ryzykach w danym projekcie (jest to bardzo cenne repozytorium wiedzy, umożliwiające prawidłowe planowanie zarządzania ryzykiem w przyszłych projektach) oraz uaktualnione listy kontrolne zidentyfikowanych ryzyk.

O charakterze każdego rodzaju ryzyka decydują trzy podstawowe składniki: zdarzenie, prawdopodobieństwo oraz straty/dotkliwość. Niskie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko. Wysokie prawdopodobieństwo oraz bardzo dotkliwe skutki oznaczają wysokie ryzyko. Wysokie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko dla ostatecznego powodzenia projektu.

Zobacz też

Przypisy

  1. Jarosław Górecki, Big Data as a Project Risk Management Tool, „Risk Management Treatise for Engineering Practitioners”, 2018, DOI: 10.5772/intechopen.79182 [dostęp 2018-12-07] (ang.).

Bibliografia

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.