dr Maciej Szczepańczyk

Ogólne podejście

Źródło: http://www.sybena.pl/szczegporowaniepm.htm#_Toc167589576

W standardzie PMI ryzyko jest to niepewne wydarzenie, które, jeśli zajdzie, może mieć negatywny albo pozytywny wpływ na projekt. Z tej  definicji wynika podstawowy podział ryzyk na zagrożenia i okazje. Ponadto ryzyka są dzielone na:

• Techniczne, związane z tworzeniem produktu projektu, jego możliwościami technicznymi, jakością, efektywnością itp.
• Zarządcze, odnoszące się do wszystkich czynności związanych z procesem zarządzania, a więc planowaniem, monitorowaniem planów, mechanizmami zlecania i rozliczania prac itp.
• Organizacyjne, związane np. z brakiem właściwego finansowania, nieokreślonymi zależnościami pomiędzy projektami w realizujących je organizacjach czy konfliktami wykorzystania zasobów w tych organizacjach
• Zewnętrzne, odnoszące się do zmian w środowisku, w którym działa projekt lub mają być wykorzystywane jego produkty. Najczęściej spotykanym przykładem ryzyka zewnętrznego jest zmiana potrzeb klienta, ale można tu także zaliczyć problemy z zatrudnieniem czy zmianą warunków rynkowych. Ryzyka zewnętrzne trudno poddają się minimalizacji.

Intuicyjne pojęcie ryzyka odnosi się do możliwości wystąpienia zjawisk negatywnych. Próba rozszerzenia przez PMI tego pojęcia o zjawiska pozytywne nie jest konsekwentnie realizowana. Już przy definicji kategorii ryzyk PMI podaje przykłady odnoszące się wyłącznie do zagrożeń. Także przy opisie reakcji na ryzyko PMI wymienia wyłącznie unikanie, przeniesienie, zmniejszenie oraz akceptację, której aktywną techniką są plany awaryjne. Gdyby reakcja miała się odnosić do okazji, to na potrzeby prowadzonego przez mnie projektu zapewne wymyśliłbym na miejsce tych czterech technik odpowiednio prowokowanie, przyciąganie, zwiększanie i akceptację, ale raczej z planami okazyjnymi jako podstawową techniką. Trzeba więc uznać, że poza kilkoma zabiegami typu redakcyjnego w rzeczywistości zarządzanie ryzykiem w PMI odnosi się wyłącznie do zagrożeń, czyli zjawisk negatywnych.

Według PRINCE ryzyko jest to narażenie projektu na negatywne konsekwencje przyszłych wydarzeń. Wyróżniane są dwa ogólne rodzaje ryzyk:

• Biznesowe

Ryzyka biznesowe są to zagrożenia związane z niedostarczeniem przez projekt produktów, które umożliwiałyby osiągnięcie korzyści biznesowych. ryzyka projektowe. Są powiązane z takimi obszarami jak zmiany uwarunkowań zewnętrznych (np. prawo), zmiany w wymaganiach klienta czy znaczenie dla biznesu firmy realizującej projekt.

• Projektowe

Zagrożenia związane z zarządzaniem projektem; najczęściej odnoszące się do osiągnięcia celów projektu zgodnie z zaplanowanym kosztem i harmonogramem. Ryzyka projektowe są dalej klasyfikowane jako:

• Problemy związane z dostawcami
• Czynniki organizacyjne, np. związane z personelem i strukturą organizacyjną projektu
• Zagadnienia techniczne, związane np. z jakością wymagań, integracją, testowaniem i wdrażaniem produktu projektu.

W modelu CMMI nie jest podawana definicja ryzyka, ale przy identyfikowaniu ryzyka mówi się, że należy wyszukiwaćpotencjalne problemy, niebezpieczeństwa, zagrożenia lub słabości, które mogą negatywnie wpłynąć na plan lub wynik projektu. Określenie kategorii ryzyk w projekcie jest elementem określenia strategii zarządzania ryzykiem. Jako przykładowe kategorie, które powinny być rozważane CMMI podaje:

• Fazy życia produktu (odpowiada ryzykom technicznym PMI i projektowym ryzykom technicznym PRINCE)
• Typy procesów (np. inżynierskie, wsparcia)
• Typy wykorzystywanych produktów (np. wytwarzane w projekcie, pozyskiwane z zewnątrz; odwołuje się częściowo do ryzyk określonych w PRINCE jako ryzyka związane z dostawcami)
• Zarządzanie projektami (odpowiada ryzykom związanym z czynnikami organizacyjnymi PRINCE oraz ryzykom organizacyjnym i projektowym PMI)

Wszystkie trzy standardy nakazują wykonanie analizy ryzyka, która powinna wykryć grupy ryzyk specyficznych dla każdego projektu. Podane klasyfikacje są tylko wstępnymi próbami zwrócenia uwagi na zagrożone obszary. Proponowany przez PRINCE podział na ryzyka biznesowe i projektowe ma konsekwencje w odpowiedzialności za obsługę ryzyka. Za obsługę ryzyk biznesowych odpowiada Rada Projektu, natomiast za pozostałe – zespół zarządzający projektem. Ten aspekt istotnie odróżnia podejście PRINCE do klasyfikacji ryzyka od podejścia PMI i CMMI.

Struktura procesów zarządzania ryzykiem

W procesach związanych z zarządzaniem ryzykiem można wyróżnić cztery główne grupy:

• Określenie strategii
• Analiza ryzyka
• Planowanie reakcji na ryzyko
• Sterowanie ryzykiem

Określenie strategii to zestaw czynności, których wynikiem jest wypracowanie właściwego dla danego projektu sposobu zarządzania ryzykiem. Ogólna metoda, przedstawiana w ramach standardu, jest dostosowywana i ewentualnie modyfikowana.

W ramach analizy ryzyka są kolekcjonowane, oceniane, grupowane i porządkowane według poziomu zagrażania projektowi. Wskazywane są te, dla których konieczne jest podjęcie akcji zmniejszających je.

Planowanie reakcji na ryzyko to opracowanie strategii zmniejszania ryzyka oraz zestawów akcji realizujących te ryzyka. Częścią planowania reakcji na ryzyko może być modyfikacja wcześniej opracowanych planów projektu.

Sterowanie ryzykiem to jego monitorowanie ryzyk oraz uruchamianie wcześniej zaplanowanych działań a także reagowanie na nie przewidziane wcześniej zaburzenia w realizacji projektu.

Poza określeniem strategii procesy z pozostałych grup są wykonywane wielokrotnie w trakcie realizacji projektu.

Rysunek 1 pokazuje ogólną strukturę procesów zarządzania ryzykiem.

 

Rysunek 1. Struktura procesów zarządzania ryzykiem

W PMI zarządzanie ryzykiem jest dobrze wyodrębnionym obszarem procesów. Odwołania do ryzyka w innych obszarach procesów są dość rzadkie i występują w obszarach Zarządzania Czasem, Zarządzania Kosztem, Zarządzania Zaopatrzeniem, Zarządzanie Komunikacją i Zarządzania Integralnością.

PRINCE w obszarze zarządzania ryzykiem koncentruje się na procesach, w których należy wykonywać obsługę ryzyka, zależnościach organizacyjnych oraz sposobie dokumentowania ryzyk.

W CMMI obsługa ryzyka jest składową innych obszarów. Od występujących ryzyk uzależnione są procesy Innowacje i Wdrożenia Organizacyjne (składowa Zarządzania Procesami), Planowanie Projektów, Monitorowanie Projektów oraz Ilościowe Zarządzanie Projektami (składowe obszaru Zarządzanie Projektami), Opracowywanie Wymagań, Rozwiązania Techniczne (z obszaru Inżynieria) oraz Analiza i Podejmowanie Decyzji z obszaru Wsparcie.

Określenie strategii

Specyficzny cel CMMI:Przygotowanie do Zarządzania Ryzykiem nakazuje określić kategorie możliwych ryzyk, określić ich sposób oceny oraz przygotować strategię zarządzania ryzykiem.

Pierwszą praktyką jest CMMI:Określenie Źródeł i Kategorii Ryzyka. Należy najpierw wyszukać możliwe źródła ryzyka, na przykład brak podstaw do szacowania (w nowatorskich projektach), niedojrzałość technologii, brak kwalifikacji personelu, niedostateczny budżet, opóźnienia w dostawach. Następnie należy przygotować kategorie, do których ryzyka będą przydzielane. CMMI sugeruje poszukiwanie kategorii w fazach życia produktu (kategoria ryzyk związanych z wymaganiami, z projektowaniem, z wykonaniem, wdrożeniem….). Drugą podstawą do wyszukiwania kategorii ryzyk mogą być typy procesów – np. ryzyka związane z procesami inżynierskimi, związane z procesami zarządzania projektami czy z procesami wsparcia. Trzecie przykładowe źródło podziału to typy wykorzystywanych produktów – ryzyka związane z produktami wytwarzanymi w projekcie, związane z produktami pozyskiwanymi z zewnątrz czy też związane z własnymi produktami dostosowanymi do potrzeb projektu. Ostatnim podawanym źródłem podziału na kategorie jest zarządzanie projektami – na przykład ryzyka związane z kontraktem, związane z kosztem, z zasobami, z personelem. Kategorie ryzyk powinny być wykorzystywane do wspólnego opracowywania reakcji na ich wystąpienie.

Po określeniu potencjalnych źródeł i kategorii ryzyk należy wykonać praktykę CMMI:Określenie Parametrów Ryzyk. Bardzo ważnym problemem jest ustalenie sposobów mierzenia ryzyk, żeby zagwarantować porównywalność ryzyk mających różną naturę. Podstawowymi miarami wymienianymi przez CMMI są prawdopodobieństwo jego wystąpienia oraz miara wpływu ryzyka na cele projektu. Prawdopodobieństwo i wpływ najczęściej określa się za pomocą kilku wyróżnionych wartości. Dla obydwu tych wielkości można np. przyjąć zestaw wartości na skali pomiędzy bardzo niskim a bardzo wysokim, ale decyzja o przyjęciu określonej skali musi być podjęta w trakcie opracowywania podejścia do zarządzania ryzykiem. Także graniczne wartości prawdopodobieństwa oraz wpływu, które będą powodowały dalsze akcje, muszą być ustalone w tej praktyce. Na przykład należy ustalić poziom przekroczenia kosztu (harmonogramu, efektywności), który spowoduje że do obsługi ryzyka zostanie włączone wyższe kierownictwo projektu. Innym rodzajem parametrów ryzyk jest określenie, kiedy ryzyka w ogóle mają podlegać zarządzaniu, kiedy mają podlegać analizie jakościowej, a kiedy także analizie ilościowej.

Określenie źródeł, kategorii i parametrów ryzyk ma na celu przygotowanie wykonania praktyki CMMI:Ustanowienie Strategii Zarządzania Ryzykiem. Strategia ta powinna odnosić się do wizji sukcesu projektu. Czynnikami wizji sukcesu, wpływającymi na strategię zarządzania ryzykiem, może być np. ogólny koszt projektu (faworyzuje tanie metody zarządzania ryzykiem i każe zwrócić szczególną uwagę na zagadnienia związane z kosztem) czy też wysoka jakość produktu projektu. Zgromadzona w wyniku wcześniej opisanych praktyk wiedza powinna pozwolić określić metody i narzędzia, które będą wykorzystywane w trakcie zarządzania ryzykiem. W dokumencie określającym strategię zarządzania ryzykiem należy umieścić również wyniki procesów CMMI:Określenie Źródeł i Kategorii Ryzyka oraz CMMI:Określenie Parametrów Ryzyk. Konieczne jest także wskazanie metod zmniejszania ryzyka. CMMI nakazuje dość szczegółowe określenie tych metod, podając jako przykłady prototypowanie, symulację czy ewolucyjny rozwój. Należy także podać środki monitorowania statusu ryzyka oraz odstępy czasu, w których będzie się odbywało monitorowanie oraz ponowna ocena ryzyka. Strategia musi być przejrzana z zainteresowanymi udziałowcami aby uzyskać ich zrozumienie i przekonanie.

Podobne znaczenie do osiągnięcia celu CMMI:Przygotowanie do Zarządzania Ryzykiem ma proces PMI:PlanowanieZarządzania Ryzykiem. Jego wynikiem jest ogólny plan postępowania z ryzykiem w projekcie. Zasadniczą składową tego planu jest opis podejścia do zarządzania ryzykiem. Plan ten powstaje na podstawie standardowego zestawu procesów zarządzania ryzykiem PMI, dostosowanych do potrzeb i możliwości projektu. Możliwe jest podjęcie decyzji o pominięciu niektórych elementów zarządzania ryzykiem (np. nie wykonywanie analizy ilościowej) lub ich połączeniu (np. połączenie procesów analizy jakościowej i analizy ilościowej).

Wadą proponowanego przez PMI podejścia jest nie poprzedzanie procesu planowania wstępnym rozpoznaniem ryzyk, które jest wykonywane w praktykach CMMI:Określenie Źródeł i Kategorii Ryzyka oraz CMMI:Określenie Parametrów Ryzyk. Pewną namiastką tych praktyk jest w PMI sugestia wykorzystania wypracowanych wcześniej w firmie realizującej projekt standardów, metod oraz doświadczeń związanych z zarządzaniem ryzykiem. Nb. jest to jedno z niewielu w standardzie PMI odwołań do elementów zarządzania procesowego w organizacji.

PMI dopuszcza możliwość obsługi ryzyka przez zespół spoza projektu, którego jedynym celem będzie zarządzanie ryzykiem.

Plan powinien opisywać sposoby poszukiwania ryzyka – np. sposób wykorzystania źródeł zewnętrznych (listy ryzyk), osoby zaangażowane w wywiady mające na celu identyfikację i analizę ryzyka. Ważną, nieobecną w CMMI częścią procesuPMI:Planowanie Zarządzania Ryzykiem, jest ustalenie budżetu przeznaczonego na zarządzanie ryzykiem. Wszystkie procesy i czynności związane z ryzykiem muszą pochłaniać pewne zasoby, a więc są źródłami kosztów. Należy się domyślać że chodzi tu o budżet przeznaczony na analizę, opracowywanie planów awaryjnych i tp., a nie na realizację wbudowanych w plan projektu technik zapobiegania ryzyku.

PMI poza sposobami dokumentowania, raportowania nakazuje także audytowanie procesów związanych z zarządzaniem ryzykiem.

W PRINCE nie przewidziano procesu, którego wynikiem byłoby wypracowanie strategii zarządzania ryzykiem w projekcie. Oznacza to, że każde ryzyko musi być obsługiwane osobno. Może to utrudnić porównywanie między sobą istniejących ryzyk i podejmowanie właściwych akcji na poziomie projektu lub wyższym. Ponieważ nie jest przewidziany osobny budżet na zarządzanie ryzykiem, nie istnieje możliwość wydzielenia zarządzania ryzykiem do kompetencji zewnętrznego zespołu.

Analiza ryzyka

Celem procesu PMI:Identyfikacja Ryzyka jest wskazanie i udokumentowanie ryzyk mających wpływ na realizację projektu. W procesie tym nie określa się prawdopodobieństwa ani wpływu ryzyka.

Istnieją dwie kategorii informacji wejściowych do procesu PMI:Identyfikacja Ryzyka. Są to wcześniej wypracowane elementy planu projektu oraz wiedza o ryzykach, na które projekt może być narażony. Wykorzystanie jako wejścia elementów planu projektu implikuje (nie jest to jednoznacznie powiedziane) późne rozpoczynanie identyfikacji ryzyka, gdy gotowy jest dokument otwarcia projektu, opis produktu, założenia i ograniczenia projektu oraz co najmniej wstępne wersje WBS, planu zarządzania zaopatrzeniem, planu zarządzania personelem, szacunków kosztu i harmonogramu oraz innych wyników planowań. Poszukiwanie ryzyk powinno się rozpocząć od analizy tych właśnie materiałów. Ponieważ wyszukiwanie ryzyk jest rodzajem weryfikacji prac planistycznych, można się spodziewać, że lepsze wyniki zostaną osiągnięte, gdy to zajęcie nie zostanie powierzone autorom planów. Wynikiem wyszukiwania ryzyk może być żądanie uściślenia planów tak, aby można było się jednoznacznie wypowiedzieć o ich realności.

Wiedza o potencjalnych ryzykach może płynąć z kilku źródeł. Dwa podstawowe to doświadczenie organizacji realizującej projekt oraz ogólnodostępne (sprzedawane lub publikowane) bazy danych ryzyk, najczęściej dla określonych obszarów zastosowań projektów. Dla znanej mi bliżej dziedziny projektów informatycznych listę ryzyk opublikował Software EngineeringInstitute w publikacji R. C. Williams, G. J. Pandelios, S. G. Behrens, Software Risk Evaluation Method Description (Version2.0), TR CMU/SEI-99-TR-029, XII.1999. PMI zwraca uwagę, że opieranie się na istniejących listach ryzyk może zawęzić zakres wyszukiwania do wcześniej występujących ryzyk.

Wynikiem procesu PMI:Identyfikacja Ryzyka powinna być lista ryzyk wraz z ich wyzwalaczami, czyli sytuacjami wskazującymi, że ryzyko się zdarzyło lub w najbliższym czasie się wydarzy. Na przykład dla ryzyka zmiany wymagań w projekcie informatycznym, realizowanym dla agendy rządowej, są to informacje o rozpoczęciu prac nad ustawą modyfikującą obszar działalności tej agendy.

Technikami grupowymi występującymi w procesie PMI:Identyfikacja Ryzyka są: burza mózgów, techniki delfickie wykorzystujące wiedzę ekspertów, wywiady oraz analiza SWOT. Techniki delfickie polegają na iteracyjnym, anonimowym ustalaniu opinii ekspertów – w tym przypadku w zakresie ryzyk projektu. PMI sugeruje także wspomaganie wyszukiwania ryzyk technikami graficznymi – np. poprzez wykorzystanie diagramów Ishikawy, schematów blokowych czy diagramów pokazujących zależności przyczynowo – skutkowe pomiędzy elementami projektu.

W CMMI identyfikacji ryzyka służą dwie praktyki: CMMI:Identyfikacja Ryzyk Projektu (z obszaru CMMI:PlanowanieProjektu) oraz CMMI:Identyfikacja Ryzyka (obszar CMMI:Zarządzanie Ryzykiem). Druga z tych praktyk może być wykorzystywana także do obsługi procesów w organizacji, a nie tylko projektów. Łącznie praktyki te niewiele różnią się od opisanych wyżej elementów procesu PMI:Identyfikacja Ryzyka. W przeciwieństwie do PMI do obszaru ryzyk w CMMI zalicza się także działanie siły wyższej – zdarzeniom takim, z definicji, nie można zapobiegać, ale możliwe jest wykorzystanie technik zarządzania ryzykiem do zmniejszania skutków ich działania. Gdyby przyjąć spojrzenie PMI, to, stojąca do chwili obecnej w mojej bibliotece wydana przez dostojną oficynę Wiley & Sons książka S. H. Goldberga, S. C. Davisa i A. M.Pengalisa, zatytułowana Y2000 Risk Management nie miała by prawa zostać nigdy napisana (co, skądinąd, być może przyczyniłoby się do rozsądniejszego zagospodarowania potężnych pieniędzy :-)). W procesie identyfikacji ryzyka CMMI nacisk kładzie się na ryzyka związane z kosztem, harmonogramem oraz charakterystykami wytwarzanego produktu. Pierwotna identyfikacja ryzyka powinna być przeprowadzona po określeniu kosztu i harmonogramu projektu, natomiast w trakcie realizacji projektu należy praktykę ponowić, gdy zmienia się status ryzyk albo gdy znacząco zmieniają się warunki projektu – czyli gdy modyfikowany jest jego plan. Technikami wskazywanymi przez CMMI są m. in. strukturalne wywiady, burze mózgów, analizy sieciowe, listy kontrolne.

Opis procesu PRINCE:Identyfikacja Ryzyka ogranicza się do nakazania określenia ryzyk, które mogą zagrażać projektowi. Identyfikacja ryzyka jest wykonywana w sposób ciągły przez cały projekt. Dodatkowo PRINCE wymienia procesy, w których identyfikacja ta musi być wykonana. Pierwsze wyszukiwanie ryzyk biznesowych powinno odbyć się w trakcie realizacji procesuPRINCE:Opracowanie Konspektu Projektu. Podproces PRINCE:Ponowna Ocena Uzasadnienia Biznesowego i Ryzyk, będący składową procesu PRINCE:Inicjacja Projektu, jest przeznaczony m. in. do wyszukania nowych, możliwych do zidentyfikowania ryzyk biznesowych. Zidentyfikowane ryzyka mogą w skrajnym przypadku spowodować zmianę celów biznesowych projektu. W każdym procesie PRINCE:Planowanie należy przed opracowaniem ostatecznej wersji wykonać identyfikację ryzyka. W podprocesie PRINCE:Zlecanie Pakietu Prac kierownik projektu powinien przeprowadzić identyfikację ryzyka związanego z pracą. Osoba przyjmująca pracę w procesie PRINCE:Akceptacja Pakietu Prac także powinna wykonać identyfikację ryzyk. Ryzyka mogą zostać zidentyfikowane w podprocesie PRINCE:Rozpatrywanie Zagadnień Projektu. W podprocesie PRINCE:Przegląd Statusu Fazy ryzyka mogą być zidentyfikowane w trakcie ogólnej oceny stanu zaawansowania fazy projektu. Ryzyka zidentyfikowane w podprocesie PRINCE:Identyfikacja Akcji Następujących odnoszą się do zagrożeń związanych z wykorzystaniem produktu projektu. Wszystkie ryzyka powinny być opisywane w Rejestrze Ryzyk, zawierającym pełną informację o ich naturze, ocenie, statusie i zaplanowanych i wykonanych akcjach.

Także według dwóch pozostałych metod identyfikacja ryzyka powinna być wykonywana wielokrotnie. PMI precyzuje, że pierwotna identyfikacja ryzyka powinna najpierw być wykonana w gronie personelu zespołu projektowego. Wyniki tej wstępnej analizy mogą być następnie modyfikowane w szerszym gronie, w skład którego wchodzą przedstawiciele klienta, eksperci dziedziny, w której projekt jest realizowany czy też eksperci zarządzania ryzykiem.

Zadaniem procesu PMI:Jakościowa Analiza Ryzyka jest ocena prawdopodobieństwa, wpływu oraz narażenia na ryzyko i wyselekcjonowanie najważniejszych ryzyk – do dalszej analizy ilościowej lub bezpośrednio do procesu opracowania reakcji na ryzyko. Podstawowymi technikami są ocena prawdopodobieństwa wystąpienia ryzyka, ocena wpływu ryzyka na osiąganie celów projektu oraz macierz oceny ryzyka.

Ocena prawdopodobieństwa powinna wykorzystywać skalę pięciostopniową. Dla ryzyk ocenionych na skali pięciostopniowej przypisuje się wartości liczbowe, np. 0.1, 0.3, 0.5, 0.7, 09. Analogiczne wartości może przyjmować skala wpływu. Macierz oceny ryzyka jest to graficzne przedstawienie wartości iloczynu prawdopodobieństwa i wpływu. Przykład macierzy oceny ryzyka pokazuje Tabela 1.

Tabela 1. Standard PMI – tabela oceny ryzyka

Wartości graniczne: < 0,1 brak dalszej obsługi; < 0,4 do dalszej analizy; > 0,4 do przeciwdziałania

 

Dla tabeli oceny ryzyka – czyli dla iloczynu prawdopodobieństwa i wpływu, zwanego narażeniem na ryzyko – określa się wartości progowe. Zwykle przyjmuje się górną granicę narażenia na ryzyko, powodującą wykluczenie z dalszego zarządzania ryzykiem (czyli granicę lekceważenia ryzyka). Określa się także minimalną wartość narażenia na ryzyko, powodującą obowiązkowe przeznaczenie ryzyka do procesu przeciwdziałania mu. Decyzja w sprawie dalszej obsłudze ryzyka pomiędzy tymi granicami należy do zespołu zarządzającego projektem.

Standard PMI każe zwrócić uwagę na precyzję danych wykorzystywanych przy analizie ryzyka. Cechami decydującymi o precyzji danych są zrozumienie problemu przez osoby analizujące, zestaw i jakość danych dostępnych przy analizie ryzyka.

W wyniku analizy jakościowej ryzyka są porządkowane. Podstawowym kryterium porządkowania jest wartość narażenia na ryzyko, ale możliwe są także inne kryteria, np. spodziewany czas wystąpienia (wcześniej spodziewane muszą być szybciej obsłużone) czy miejsce w WBS.

Wynikiem analizy jakościowej jest także ogólna ocena ryzyka projektu. PMI nie mówi, w jaki sposób ocenę tę należy wyliczyć. Najprostszą, dość obiektywną miarą, która może być zastosowana jest liczba dużych ryzyk (Tabela 1: ryzyka o narażeniu większym niż 0,4). Ogólna ocena ryzyka projektu może być wykorzystana w organizacji realizującej projekt np. do decyzji w kwestii przydziału zasobów do projektu lub decyzji o zatrzymaniu projektu.

W wyniku powtarzania analizy ryzyka mogą się ujawnić trendy, które będą powodowały konieczność intensyfikacji (lub osłabienia) działań związanych z zarządzaniem ryzykiem.

PMI:Ilościowa Ocena Ryzyka to proces, którego zadaniem jest wykorzystanie metod matematycznych do oceny ryzyka, jego wpływu na cele projektu oraz do oceny prawdopodobieństwa osiągnięcia założonych celów. Jednym z produktów ilościowej oceny ryzyka może być wyznaczenie rezerw kosztu i czasu projektu.

Podobnie jak w ocenie jakościowej, jedną z wykorzystywanych technik są wywiady. Cel wywiadów jest tutaj jednak inny. Dla analizowanych zmiennych – np. czas czy koszt – należy przyjąć określony rozkład (np. normalny czy trójkątny). Osoby uczestniczące w wywiadach proszone są o podanie parametrów rozkładu, np. dla rozkładu normalnego – wartości średniej i odchylenia standardowego. Na podstawie uzyskanych odpowiedzi wyznacza się rozkład analizowanej zmiennej. Uzyskany rozkład ma swoje parametry – np. wartość średnią, poziomy ufności itd.

Inną metodą analizy ilościowej jest analiza drzew decyzyjnych, zawierających rodzaje decyzji, ich prawdopodobieństwa i konsekwencje dla projektu.

Ostatnia sugerowaną przez PMI metodą analizy ilościowej są symulacje. Podstawą modelu symulacyjnego jest WBS (dla symulowania kosztu) oraz diagramy sieciowe, opisujące zależności pomiędzy sekwencjami wykonywanych czynności (dla symulacji czasu). Symulacje są wykonywane metodą Monte Carlo, polegającą na wielokrotnym wyliczaniu wartości analizowanej zmiennej przy losowych (zgodnych z przyjętym rozkładem) wartościach elementarnych (kosztach lub czasach wykonania elementarnych czynności).

PMI zaleca także stosowanie analizy czułości, która pozwala oszacować wpływ poszczególnych czynników na określone ryzyko (lub łączną ocenę ryzyka projektu). W tym celu przy ustalonym modelu określonego ryzyka przyjmuje się, że wszystkie elementy modelu ryzyka poza jednym są ustalone. Następnie bada się, jaka jest wartość analizowanego ryzyka przy zmianach wybranego elementu. Na przykład przy ustalonym modelu czasu trwania projektu, składającego się, jak to zwykle z wielu czynności, można zbadać wpływ przedłużania lub skracania czasu trwania wybranej, zasadniczej czynności na łączny czas. Analiza taka może być ciekawa, szczególnie wtedy, gdy czynności są ze sobą powiązane w skomplikowany, nieliniowy sposób.

Wyniki analizy ilościowej powinny służyć do wskazania najbardziej znaczących ryzyk projektu. Ubocznymi skutkami są ogólna probabilistyczna ocena projektu oraz trendy w wynikach analizy ilościowej (jeśli analiza jest powtarzana). Wyniki stosowania technik probabilistycznych oraz symulacyjnych mogą być także wykorzystywane do oszacowania prawdopodobieństwa osiągnięcia celów projektu.

Praktyka CMMI:Ocena, Kategoryzacja i Priorytetyzacja Ryzyk opisuje tylko bardzo ogólne zasady wykonywania analizy ryzyka. Można powiedzieć, że wszystkie wymagania stawiane praktyce są wymienione w jej nazwie. Wspomina się, że na podstawie prawdopodobieństwa i wpływu może być wyliczony poziom narażenia na ryzyko – na tym parametrze nie były wykonywane działania praktyki CMMI:Określenie Parametrów Ryzyk, co wydaje się dziwne, ponieważ zwykle w analizach ryzykach, wartości tego właśnie parametru decydują o akcjach wykonywanych na ryzyku. Pewnym uzupełnieniem procesu analizy z PMI jest wprowadzenie kategorii grup ryzyk, dla których można opracowywać wspólne sposoby reakcji.

W PRINCE mówi się, że należy wykonać szacowanie i ocenę ryzyka. Opis tych czynności wspomina tylko o konieczności określenia prawdopodobieństwa i wpływu ryzyka oraz wskazaniu ryzyk podlegających dalszym działaniom. Elementem oceny ryzyka jest określenie możliwych akcji zmniejszających ryzyko. Szacowanie i ocena ryzyka powinny być wykonywane zawsze bezpośrednio po wykonaniu identyfikacji ryzyka.

Planowanie reakcji na ryzyko

Celem procesu PMI:Planowanie Reakcji na Ryzyko jest określenie, w jaki sposób będą obsługiwane ryzyka, które wcześniej zostały określone jako ważne dla przebiegu projektu. Według PMI istnieją cztery podstawowe strategie reakcji na ryzyko:

• Zmniejszanie

Próba zmniejszenia prawdopodobieństwa i/lub wpływu do wymaganego progu.

Np. testowanie oprogramowania w projekcie „Rok 2000”, stosowanie sprawdzonego oprogramowania, zwiększenie obsady zespołu testów, zatrudnienie bardziej wykwalifikowanego personelu. Zmniejszenie wpływu ryzyka to np. redundantne dublowanie wdrażanego systemu.

• Unikanie

Szczególny rodzaj zmniejszania, prowadzący do osiągnięcia zerowego poziomu prawdopodobieństwa lub wpływu na projekt. Eliminacja ryzyka lub ochrona celów projektu przed jego wpływem.

Np. zwiększenie płac zespołu, dodawanie zasobów lub czasu, unikanie nieznanego podwykonawcy.

• Przeniesienie.

Przeniesienie konsekwencji ryzyka razem z reakcją na to ryzyko na inny podmiot.

Najczęściej stosowane do przeniesienia ryzyka finansowego. Np. ubezpieczenia.

• Akceptacja

Nie zmienianie planu projektu w celu przeciwdziałania ryzyku lub brak możliwości stworzenia takiego planu.

Akceptacja czynna jest to opracowanie planów awaryjnych. Plany awaryjne są uruchamiane przez wyzwalacze (symptomy ryzyka). Plany mogą być uruchamiane gdy pojawią się wczesne sygnały ostrzegawcze – wtedy ich celem jest zapobieżenie ostatecznej materializacji ryzyka, albo gdy ryzyko wystąpi – wtedy ich celem jest przywrócenie projektu do normalnego procesu realizacji. Ten drugi rodzaj planów awaryjnych jest opracowywany jeśli ryzyko ma duży wpływ lub jeśli wybrana strategia może nie być w pełni skuteczna.

Akceptacja bierna: jest to nie robienie niczego, czekanie aż ryzyko się wydarzy.

Według PMI dla każdego ryzyka należy wybrać (co najmniej jedną) strategię oraz szczegółowo zaplanować sposób jej realizacji. Dla każdego ryzyka należy wskazać osobę odpowiedzialną za jego monitorowanie oraz podejmowanie decyzji (analogiczne wymaganie znajduje się w CMMI oraz PRINCE). Osoba taka musi mieć zgodne z przyjętą strategią ustalone szczegółowe sposoby działania. Musi mieć także przyznany budżet oraz uprawnienia konieczne do wykonania działań.

PMI zaleca oszacowanie ryzyk pozostających po realizacji strategii zapobiegania ryzyku oraz ryzyk wtórnych, związanych z realizacją tej strategii. Wynikiem planowania reakcji na ryzyko powinno być także ustalenie rezerw kosztu i czasu projektu. Wszystkie te wyniki planowania mogą wpłynąć na wcześniej przyjęte ustalenia dotyczące kosztu, harmonogramu, personelu i innych obszarów zarządzania procesem. W związku z tym po przyjęciu planu reakcji na ryzyko (zawierającego opisane tu wyniki procesu Planowania Reakcji na Ryzyko) konieczne może być ponowne przepracowanie planu projektu, a być może także kontraktu, na podstawie którego projekt jest realizowany.

CMMI wyróżnia pięć opcji (odpowiednik PMI strategii) obsługi ryzyka:

• Unikanie

• Sterowanie
• Przeniesienie
• Akceptacja

Opcje te odpowiadają odpowiednim strategiom PMI. Do opcji obsługi ryzyka CMMI zalicza także:

• Monitorowanie

Obserwowanie i okresowa ponowna ocena ryzyka i jego parametrów.

Klasyfikacja akcji związanych z ryzykiem w, umieszczona w opisie czynności PRINCE:Ocena Ryzyka zawiera:

• Zapobieganie

• Redukcję (wg. nazewnictwa PMI – zmniejszanie)
• Przeniesienie
• Plany awaryjne
• Akceptację

CMMI dopiero do procesu opracowywania planu zmniejszania ryzyka włącza określenie wartości parametrów nakazujących podejmowanie określonych akcji – w PMI wynikiem identyfikacji ryzyka jest zestaw ich wyzwalaczy, zaś progi nakazujące podejmowanie akcji są ustalane w procesie analizy ryzyka. W CMMI w tym momencie pojawiają się także zagadnienia związane z budżetem – należy wykonać analizę kosztów / zysków dla każdego ryzyka. Wyniki tej analizy są podstawą do wyboru najwłaściwszych rozwiązań. Wszystkie plany obsługi ryzyka łącznie tworzą ogólny plan zmniejszania ryzyka, dzięki któremu poszczególne plany są koordynowane. Poza tym planem pozostają plany awaryjne, które są przygotowywane na wypadem zajścia zdarzenia ryzykownego.

PRINCE rozbija planowanie reakcji na ryzyko na dwie czynności: PRINCE:Planowanie i PRINCE:Przydział Zasobów. Głównymi wynikami planowania jest określenie zasobów, opracowanie i włączenie do planu szczegółowego zestawu akcji oraz uzyskanie zatwierdzenia planu przez odpowiednie kierownictwo. Plan ten jest włączany do planu realizacji fazy. Zasadniczą częścią drugiej z tych czynności jest uzyskanie funduszy na realizację akcji obsługi ryzyka (w PRINCE, inaczej niż np. w PMI nie istnieje ogólny budżet zarządzania ryzykiem). Planowanie akcji związanych z obsługą ryzyka powinno się odbywać po wykonaniu oszacowania ryzyka.

Sterowanie ryzykiem

Proces PMI:Monitorowanie i Śledzenie Ryzyk trwa przez cały projekt. Składają się na niego śledzenie zidentyfikowanych ryzyk – w szczególności monitorowanie spodziewanych symptomów, monitorowanie ryzyk pozostających, identyfikowanie nowych ryzyk, zapewnienie wykonania planów ryzyk oraz ocena ich efektywności w redukowaniu ryzyk. Zmiana statusu ryzyka lub wykrycie nowego ryzyka może spowodować konieczność ponownego planowania elementów lub całości projektu. Konieczna jest komunikacja z odpowiednimi udziałowcami żeby oceniać akceptowalność poziomów ryzyka. Jeśli przyjęto kilka alternatywnych wariantów zmniejszania ryzyka, jego właściciel musi podejmować decyzje. Realizowane czynności muszą być dokumentowane.

Konieczne jest wykonywanie okresowych przeglądów ryzyk, których głównym celem jest wykonanie statusu zidentyfikowanych ryzyk. Całość procesu monitorowania i śledzenia ryzyka powinna być audytowana, aby zweryfikować efektywność przyjętych metod zarządzania ryzykiem i sposobów ich realizacji. Konkretnymi źródłami nowych ryzyk może być analiza wartości uzyskanej i wykonywane prace techniczne (mające na celu wytworzenie produktów projektu). Wystąpienie nieprzewidywanych zdarzeń może spowodować konieczność planowania i wykonywania dodatkowych prac na bieżąco. Zgodnie z przyjętymi dla projektu procedurami może to spowodować konieczność przygotowania dokumentu żądania zmiany.

Na potrzeby następnych projektów PMI nakazuje tworzenie bazy ryzyk. Występujące zaburzenia w realizacji projektu powinny stanowić podstawę do modyfikacji kontrolnych list ryzyk (patrz podrozdz. Analiza ryzyka).

W CMMI praktyki związane ze sterowaniem ryzykiem znajdują się w dwóch obszarach. Elementem obszaruCMMI:Zarządzanie Projektami jest praktyka CMMI:Monitorowanie Ryzyk Projektu. Do obszaru CMMI:ZarządzanieRyzykiem należy praktyka CMMI:Wdrożenie Planu Zmniejszania Ryzyka, podobna do PMI:Monitorowanie i Śledzenie Ryzyk. Status ryzyk ma być okresowo monitorowany, ich dokumentacja powinna być modyfikowana a znaczące zmiany w ryzykach powinny być komunikowane osobom zainteresowanym. Należy uruchamiać akcje związane z zarządzaniem ryzykiem, gdy ryzyko przekracza ustalone wcześniej wartości graniczne. W porównaniu z PMI jest to włączenie jednego więcej kroku pośredniego: sytuacja w projekcie, czyli symptomy ryzyka, muszą wcześniej być przetworzone na wartość parametru ryzyka, żeby możliwe było podjęcie akcji. Takie podejście wydaje się niepotrzebnie spowalniać akcje związane z ryzykiem. Realizowane akcje powinny być śledzone – należy wykonywać okresowe przeglądy akcji związanych z obsługą ryzyka, m. in w momencie osiągania kamieni milowych projektu (praktyka CMMI:Prowadzenie Przeglądów Kamieni Milowych). Należy w sposób ciągły zapewniać dostępność zasobów koniecznych do realizacji akcji. I w końcu miary związane z ryzykiem powinny być kolekcjonowane na potrzeby realizowanego i następnych projektów.

Czynność PRINCE:Monitorowanie Ryzyka zawiera sprawdzanie czy wystąpiły sygnały ostrzegawcze, sprawdzanie ich wykonania i efektywności oraz raportowanie. W PRINCE ciągle wyszukiwanie nowych ryzyk nie jest częścią monitorowania ryzyka, ale częścią wykonywanej w sposób ciągły czynności Identyfikacja Ryzyka. PRINCE:Sterowanie Akcjami Związanymi z Ryzykiem jest to powodowanie wykonania zaplanowanych akcji.