Jak zwinnie i tradycyjnie zarządzać ryzykiem

Jak zwinnie i tradycyjnie zarządzać ryzykiem

Ryzyko

Ryzyko i zarządzanie nim jest opisywane w wielu książkach. Jedną z nich jest standard zatwierdzony przez Rząd Wielkiej Brytanii czyli Management of Risk (w skrócie M_o_R®).

Podręcznik opisuje zarządzanie ryzykiem z punktu widzenia całej organizacji identyfikując cztery perspektywy:

  1. Strategiczną – dotyczącą ryzyk dotyczących „być albo nie być organizacji” czyli jej długookresowego przetrwania
  2. Programu – biorącą pod uwagę zdarzenia mogące mieć wpływ na wprowadzanie zmian w organizacji w dłuższej perspektywie
  3. Projektu – dotycząca realizacji przedsięwzięć w krótkiej perspektywie
  4. Operacyjna – mająca na celu zapewnienie ciągłości funkcjonowania organizacji, oraz jej bieżącego funkcjonowania.

W tym artykule zajmiemy się ryzykiem w perspektywie projektu, analizując na czym polega różnica pomiędzy tradycyjnym, a zwinnym zarządzaniem ryzykiem.

Tradycyjne zarządzanie ryzykiem w projekcie omówimy na podstawie PRINCE2®.

Zarządzanie ryzykiem w PRINCE2®

PRINCE2® to metodyka i standard zarządzania projektami stworzony w Wielkiej Brytanii, oraz rozwijany od 1975 roku. Metoda jest własnością AXELOS.

Elementy konstrukcyjne PRINCE2® to:

  1. procesy – działania opisujące zarządzanie projektem,
  2. tematy – obszary, którymi trzeba się w projekcie zająć,
  3. pryncypia – zasady, których trzeba przestrzegać zarządzając projektem,
  4. sposób dopasowania PRINCE2® do konkretnego projektu i jego otoczenia.

Jednym z tematów jest Ryzyko, które opisuje jak należy ryzykiem w projekcie zarządzać.

Standard definiuje ryzyko jako zdarzenie lub zdarzenia, które mogą mieć wpływ na realizację naszych celów. Cele te różnią się w zależności o której perspektywie mówimy.

Na dodatek sama definicja ryzyka nie mówi jaki ten wpływ na cele ma być:

  • Jeśli jest on negatywny ryzyko takie nazywamy zagrożeniem,
  • Jeśli jest on pozytywny wtedy ryzyko takie nazywamy szansą lub okazją.

Oznacza to, że ryzyko może być również czymś pozytywnym czymś co może nam również pomóc w osiągnięciu celów. A to oznacza, że zamiast się ryzyka wystrzegać możemy również go aktywnie poszukiwać. To wymaga jednak zmiany nastawienia i postrzegania ryzyka.

Nie jest to bez sensu, jeśli weźmiemy pod uwagę fakt, że niektóre części organizacji takie jak „marketing” i „sprzedaż” odpowiedzialne są za wyszukiwanie w otoczeniu organizacji właśnie okazji i szans. Chociaż nie nazywamy tego zarządzaniem ryzykiem to właśnie o to chodzi.

Zarządzanie ryzykiem polega na:

  1. Identyfikowaniu – czyli nazwaniu i opisaniu ryzyka w taki sposób, by było tak samo rozumiane przez osoby, które tego ryzyka dotyczą,
  2. Ocenianiu – określeniu jak istotne jest dla nas dane ryzyko, by można było dobrać w dalszym kroku odpowiednie reakcje,
  3. Planowaniu – czyli dobraniu odpowiednich reakcji,
  4. Wdrożeniu – określeniu, kto te reakcje wdroży i zrealizowaniu ich tak by wpłynąć na zidentyfikowane ryzyko.

Działania te realizowane są w sekwencji, jednak powinny być powtarzane cyklicznie. Kolejnym działaniem, które realizowane jest w trakcie ww. kroków jest komunikacja. Polega ona na informowaniu odpowiednich osób o stanie ryzyka lub skuteczności podjętych działań. Co ma zwłaszcza znaczenie, jeśli to ryzyko wpływa na cele innych np. ryzyko projektu może wpływać na cele strategiczne organizacji.

Takie przykłady jak niezamknięcie dachu nad Stadionem Narodowym w trakcie meczu Polska – Anglia podczas opadów deszczu pokazują nam, że te kroki mają znaczenie, a brak komunikacji może być bardzo bolesny dla wizerunku organizacji (nawet kraju), który ryzykiem nieumiejętnie zarządza.

Identyfikacja

Pierwszym i kluczowym krokiem na drodze do zarządzania ryzykiem jest Identyfikacja ryzyka. Jest ona o tyle istotna, że bez odpowiedniego zauważenia ryzyk (nie tylko zagrożeń, ale też okazji) nie można odpowiednio nim zarządzać.

Jest bardzo istotne by identyfikując ryzyko odpowiednio je nazwać. Czasami zamiast ryzyka (czyli zdarzenia, które może wystąpić) wymieniamy jego skutek np. mówimy, że ryzykiem jest przekroczenie budżetu. Problem z tak zidentyfikowanym ryzykiem polega na tym, że nie można na nie właściwie zareagować, bo jak można zareagować na przekroczenie budżetu, skoro może je spowodować dziesiątki różnych zdarzeń. Mogą to być np. awaria urządzenia lub wzrost kosztów jednostkowych. Na każde z tych zdarzeń będziemy reagować inaczej, więc mówiąc o ryzyku musimy właśnie dotrzeć do nich. Jeszcze lepiej byłoby dotrzeć do przyczyn samego zdarzenia, bo dzięki temu będziemy mogli określić na ile prawdopodobne wystąpienia takiego ryzyka jest.

Staramy się więc dojść do takiego ciągu „przyczyna – zdarzenie(ryzyko) – skutek” by być w stanie ocenić ryzyko i odpowiednio na nie zareagować. Na przykład: „ponieważ dachu nad Stadionem Narodowym nie można zamknąć kiedy pada deszcz – to jeśli zacznie padać deszcz przy otwartym dachu – nie będziemy mogli go zamknąć i będziemy musieli przerwać mecz”.

Nie należy w tym kroku zapominać również o szansach/okazjach do zidentyfikowania np. „ponieważ robimy wiele zakupów – jeśli uzyskamy rabat od dostawcy – to obniżymy budżet tego projektu”. To czy będziemy chcieli takie okazje identyfikować i nimi zarządzać zależy jednak w dużej mierze od tego czy system wynagrodzeń w organizacji premiuje nas za to by zarządzać okazjami czy raczej każe nas za brak zarządzania zagrożeniami. Moje obserwacje pokazują jednak, że zarządzanie okazjami jest w mniejszym stopniu premiowane i częściej się o nim zapomina.

Ocena

Kolejnym krokiem jest ocena ryzyka w trakcie której ocenia się trzy parametry:

  • Prawdopodobieństwo – jak możliwe jest wystąpienie ryzyka,
  • Wpływ – czyli skutki wystąpienie ryzyka np. na czas, koszt, zakres,
  • Bliskość – określająca kiedy danego ryzyka możemy się spodziewać.

Wszystkie te cechy są ważne, ponieważ dopiero razem pokazują, jak istotne jest dane ryzyko. Na przykład moglibyśmy powiedzieć, że ryzyko awarii samolotu w trakcie jego lotu jest bardzo istotne. Jednak kiedy spojrzymy na prawdopodobieństwo zobaczymy, że nie jest wysokie (samoloty sprawdza się przed wylotem), chociaż wpływ takiej awarii w locie byłby dla nas tragiczny. W przypadku awarii samochodu w trakcie jazdy prawdopodobieństwo jest już większe (zależy od wieku samochodu, marki i jego stanu technicznego), jednak wpływ będzie mniejszy jeśli możemy się zatrzymać. Czyli te dwa parametry razem, prawdopodobieństwo i wpływ – pokazują istotność. Dodatkowy parametr bliskości pokazuje, kiedy się ryzyka możemy się spodziewać, a kiedy nie ma ono już dla nas znaczenia, bo nie może się zmaterializować np. ryzyko spóźnienia się na pociąg kiedy już w tym pociągu siedzimy.

Ocena może jeszcze oceniać łączny wpływ wszystkich ryzyk na dany projekt, co może nam pomóc w oszacowaniu budżetu ryzyka.

Planowanie

Planowanie ryzyka polega na określeniu odpowiednich reakcji na zidentyfikowane ryzyka (zarówno zagrożenia jak i szanse).

Z zagrożeniami możemy sobie poradzić za pomocą następujących reakcji:

  • Unikać – jeżeli ich wpływ byłby zbyt duży do zaakceptowania możemy wyeliminować elementy powodujące ryzyko,
  • Redukować – zmniejszając prawdopodobieństwo wystąpienia danego ryzyka lub jego wpływ,
  • Przenieść zarządzanie ryzykiem na stronę trzecią np. wykupując polisę ubezpieczeniową w ramach której ubezpieczyciel zobowiązuje się do zarządzania ryzykiem w zamian za składkę,
  • Akceptować – jeżeli nic z ryzykiem nie możemy zrobić np. wybuch 3 wojny światowej lub ryzyko nie jest warte reakcji np. kupowanie 2-giego pendrive’a na wypadek, gdyby właśnie kupiony nie zadziałał,
  • Współdzielić – na przykład realizując przedsięwzięcie z innym sponsorem współdzielimy ryzyka, które go dotyczą,
  • Przygotować plan rezerwowy – czyli plan, który zrealizujemy tylko i wyłącznie wtedy jeśli ryzyko się zmaterializuje. Na taki plan będziemy musieli zarezerwować czas i pieniądze (nazywane budżetem ryzyka). Jeśli ryzyko się nie zmaterializuje plan nie zostanie wykorzystany.

 

Reakcje dotyczące szans to:

  • Wykorzystanie – polegające na wykorzystaniu okazji np. jeśli istnieje okazja, że dostaniemy rabat po prostu o niego prosimy,
  • Wzmocnienie, które nie tylko wykorzystuje szansę, ale również wzmacnia ją i tak np. dzięki uzyskanemu rabatowi możemy oddać pieniądze na inne inwestycje, osiągając dodatkowe korzyści,
  • Współdzielenie – współfinansując przedsięwzięcie współdzielimy również okazje związane z nim czyli np. korzyści, które możemy uzyskać,
  • Odrzucenie – reakcja budząca największe kontrowersje jednak najbardziej popularna, bo stosujemy ją na co dzień. Każdy z nas ma szansę wygrania w grach losowych, ale tylko część z nas wykorzystuje ją, podczas gdy reszta tą okazję odrzuca.

Po określeniu reakcji trzeba jeszcze określić kto te reakcje wdroży, ale tym zajmujemy się w kolejnym kroku.

Wdrożenie

Wdrożenie polega na określeniu odpowiedzialności za wdrożenie wybranych reakcji, przy czym możemy tutaj wyróżnić 2 role:

  1. Właściciela ryzyka – tego kto ryzykiem zarządza.
  2. Wykonawcy reakcji na ryzyko – tego kto realizuje uzgodnione działania.

Możemy więc ustalić, że Kierownik Projektu będzie konkretnym ryzykiem zarządzał czyli np. monitorować jego prawdopodobieństwo, a kiedy ryzyko się zmaterializuje zleci wcześniej określone osobie wykonanie reakcji.

W tym kroku chodzi również o monitorowanie skuteczności działań i podejmowanie innych reakcji jeśli zastosowane nie przyniosły skutku.

Komunikacja

Oznacza, że wcześniej zidentyfikowanym interesariuszom przekazujemy informacje nt. ryzyk, ich stanu, oraz podjętych działań.

Tak opisany cykl w podejściu tradycyjnym do zarządzania projektami ma na celu „zapanowanie nad ryzykiem” i sprawienie by poziom ryzyka był dla projektu akceptowalny.

Teraz spojrzymy jak wygląda zarządzanie ryzykiem w podejściu zwinnym do zarządzania projektem.

Zarządzanie ryzykiem w Agile PM

Termin agile bierze się od Manifestu Agile (Manifest Zwinnego Wytwarzania Oprogramowania), który został podpisany w 2001 roku przez przedstawicieli metodyk zwinnych takich jak: programowanie ekstremalne, scrum, Dynamic Systems Development Method, Adaptive Software Development, Crystal Clear, Feature Driven Development, Pragmatic Programming.

Niektóre z metod nie odnoszą się do zarządzania ryzykiem, dlatego spojrzymy na tą, która mówi o nim w największym stopniu czyli Dynamic Systems Development Method (w skrócie DSDM).

Podzbiór DSDM Atern opisujący projekt z perspektywy Kierownika Projektu został zebrany w podręcznik „Agile Project Management version 1.1.” Agile PM. Agile PM jest własnością Agile Business Consortium.

Jednym z opisanych w podręczniku obszarów na które zwinne zarządzanie projektem ma wpływ książka wymienia Zarządzanie ryzykiem.

Ta część podręcznika zaczyna od zaznaczenia, że niektóre przyczyny ryzyk wynikające z tradycyjnego zarządzania projektem mają mniejszy wpływ na projekt zwinny tzn.:

  • „Biznes” nie wie czego dokładnie chce – w podejściu zwinnym zakładamy, że do rozwiązania dochodzimy przyrostowo, więc to nie stanowi wielkiego zagrożenia,
  • „Biznes” zmienia zdanie – ponieważ wymagania definiujemy w trakcie projektu to też nie będzie mieć negatywnego wpływu,
  • Nie posiadanie w 100% zatwierdzonego rozwiązania – w projekcje zwinnym posiadanie takiego rozwiązania dopiero wprowadziłoby ryzyko ponieważ nie moglibyśmy zarządzać wymaganiami w celu zrealizowania projektu we wcześniej zdefiniowanym czasie i koszcie,
  • Brak akceptacji dla produktu końcowego – współpraca z klientem zakłada ciągłe określanie wymagań i akceptowanie ich częściowego spełnienia, więc zatwierdzenie produktu końcowego jest również łatwiejsze,
  • Późne dostarczenie produktu – w podejściu zwinnym zakładamy, że to co jest nieprzekraczalne to czas i koszt, a zarządzanie polega na odpowiednim redukowaniem wymagań.

Z drugiej jednak strony identyfikuje się 4 konkretne ryzyka i określa reakcje, które pozwalają nimi zarządzać:

  • Brak dostępności biznesu w trakcie projektu – bez zaangażowania biznesu określenie wymagań nie będzie możliwe, więc oczekuje się, że dostępność biznesu zostanie zagwarantowana na początku projektu poprzez spisanie wewnętrznej umowy,
  • Posiadanie jednoznacznie określonej specyfikacji wymagań na początku projektu – uniemożliwia redukowanie wymagań, a tym samym nie pozwalają zarządzać projektem tak by budżet i czas nie zostały przekroczone. W tym przypadku sugeruje się omówienie podstaw podejścia zwinnego z biznesem.
  • Oczekiwanie 100% rozwiązania powoduje, że tak jak w podejściu tradycyjnym musimy dostarczyć wszystkie wymagania co zwiększa prawdopodobieństwo przekroczenia czasu i budżetu, więc niweczy korzyści wynikające z podejścia zwinnego. Należy to również omówić z biznesem na początku projektu.
  • Zmienianie składu osobowego w trakcie projektu doprowadzi do tego, że w zespole od 5 do 9 osób cześć uzgodnień nie będzie pamiętanych przez zespół, który będzie tracił wiedzę na temat wymagań.

Wydaje się, że książka wymienia najważniejsze ryzyka. Trzeba wziąć jednak pod uwagę, że nie dostajemy przepisu na radzenie sobie z pozostałymi ryzykami, które nie zostały wymienione. Zaskakujące jest również to, że pomimo tego, że na samym początku pojawia się definicja ryzyka to nie obejmuje ona szans/okazji mówiąc tylko o zagrożeniach. Co zaskakuje o tyle, że właśnie od podejścia zwinnego spodziewany się wykorzystywania okazji.

Podsumowanie

Właściwe zarządzanie ryzykiem jest kluczem do skutecznego zarządzania projektem. To dzięki niemu będziemy w stanie przewidzieć zagrożenia i wykorzystać okazje, ułatwiając realizację projektu. Nie może to być jednak obszar niedodefiniowany, ani spontaniczny, bo będziemy mieli do czynienia z „gaszeniem pożarów”, które wynika właśnie z braku zarządzania ryzykiem.

Literatura w podejściu tradycyjnym jak i zwinnym opisuje zarządzanie ryzykiem, więc możemy skorzystać z gotowych sugestii. Pewnie nie zdziwi nas jednak fakt, że w podejściu tradycyjnym ok. 20 lat starszym przepis jest bardziej dopracowany.

 

Bibliografia:

Agile Project Management Handbook Version 1.1 TSO 2012 Agile PM

PRINCE2™ – Skuteczne zarządzanie projektami, TSO 2010 PRINCE2®

Zarządzanie Ryzykiem: Przewodnik dla praktyków, TSO 2007

Uznanie znaków towarowych:

PRINCE2® i M_o_R® są zarejestrowanymi znakami handlowymi Axelos.
Agile PM jest znakiem handlowym APM Group Limited.

Artykuł został opublikowany w Computerworld w 2014 roku

wrzesień 2021
poniedziałekwtorekśrodaczwartekpiątek
30 sierpnia 202131 sierpnia 20211 września 20212 września 20213 września 2021
6 września 20217 września 20218 września 20219 września 202110 września 2021
13 września 2021 14 września 2021 15 września 2021 16 września 2021 17 września 2021
20 września 2021 21 września 2021 22 września 2021 23 września 2021 24 września 2021
27 września 2021 28 września 2021 29 września 2021 30 września 2021 1 października 2021
Jestem na:

Zostaw wiadomość