ABONAMENTE VIDEO REDACȚIA
RO
EN
×
▼ LISTĂ EDIȚII ▼
Numărul 24
Abonament PDF

Riscul de a nu avea riscuri

Ramona Muntean
Measurements & Best Practices
@ISDC
MANAGEMENT


Managementul riscului este un termen utilizat pe scară largă în lumea software engineering de astăzi. Aproape fiecare proiect suferă amenințări care îi pot afecta într-un mod negativ costul, termenii de livrare sau calitatea. Conform unui studiu IBM doar 40 % din proiecte ajung să își atingă obiectivele de buget, termenii de livrare și de calitate. Alte analize au concluzionat că între 65 și 80 % din proiectele IT nu reușesc să își atingă obiectivele, și ajung să coste în mod semnificativ mai mult decât a fost planificat sau sunt livrate cu întârziere.

Pentru a evita deviațiile critice la costul, termenii de livrare sau calitatea proiectului, este important ca fiecare manager de proiect și nu numai, să recunoască faptul că există amenințări, că lucrurile ar putea merge prost, și în consecință să fie pregătiți să acționeze, fie prin reducerea probabilității potențialei amenințări fie prin reducerea pierderilor în cazul în care aceasta se va materializa.

Ce este un risc?

Un risc reprezintă o potențială problemă, un eveniment incert care, în cazul în care se produce, va avea un efect asupra obiectivelor proiectului. Efectul evenimentului ar putea să fie benefic sau dăunător. Când discutăm despre managementul riscului, care include atât efectele pozitive, cât și cele negative ale unui eveniment incert, managerul de proiect trebuie să diferențieze între amenințări și oportunități. În articolul curent, ne vom concentra doar asupra riscurilor care amenință obiectivele proiectului, adică a celor care au un impact negativ asupra obiectivelor de succes ale acestuia.

Orice risc implică trei atribute care trebuie să fie cuantificate :

  • Probabilitatea ca riscul să se întâmple: de obicei exprimată în procente sau categorii: mica, medie, mare.
  • Impactul: pierderea care va avea loc în cazul în care riscul devine o realitate, poate fi exprimat prin categorii: scăzut, mediu, ridicat.
  • Proximitatea este exprimată în termeni de timp (data cea mai probabilă la care evenimentul ar putea avea loc) sau categorii (de exemplu iminentă, pe termen scurt, pe termen lung), având în vedere intervalul de timp din momentul în care riscul este identificat până în momentul cel mai probabil în care riscul ar avea un impact asupra obiectivelor proiectului.

Diferența între risc și problemă

  • Riscul este un eveniment viitor care poate avea un impact negativ asupra obiectivelor proiectului. Aspectul cheie este acela că evenimentul de risc nu s-a întâmplat încă și s-ar putea să nici nu se întâmple.
  • Problema este un rezultat al unui eveniment care se întâmplă chiar acum sau s-a întâmplat deja. O problemă are un impact negativ asupra proiectului. O problemă nu este un risc, dar un risc poate deveni o problemă atunci când nu îi mai putem evita impactul.

Putem diferenția patru tipuri de riscuri:

  • Riscuri de proiect - cele care amenință planul de proiect; acestea sunt în mare parte legate de potențialele probleme legate de buget, termeni de livrare, personal, resurse, cerințe funcționale, client;
  • Riscurile tehnice - cele care amenință calitatea și posibilitatea software-ului de a fi produs; acestea sunt în mare parte legate de potențialele probleme legate de proiectare, implementare, interfață, verificare, întreținere. Ambiguitatea cerințelor, incertitudinile tehnice, uzura morală tehnică, tehnologia "de vârf" sunt factorii de risc in această categorie.
  • Riscurile de produs - cele care sunt legate de consecințele potențialelor probleme care privesc produsul (de exemplu, riscuri de securitate). Aceste riscuri pot fi legate de utilizarea incorectă a produsului, sau defecte ale produsului care afectează rezultatele prin erori de calcul sau logice.
  • Riscurile de business - sunt cele care amenință viabilitatea sau succesul proiectului; acestea privesc în mare parte potențialele probleme legate de piață, strategia companiei, forței de vânzare, management.

Activitățile de gestionare a riscurilor sunt în responsabilitatea managerului de proiect, dar identificarea lor este responsabilitatea fiecăruia și toate aceste activități trebuie să fie efectuate într-un mod proactiv. Obiectivul managementului riscurilor este de a oferi managerului de proiect cunoștințele și instrumentele necesare pentru a fi în măsură să facă față oricăror evenimente care ar putea avea un impact negativ asupra obiectivelor proiectului. Multe dintre problemele care apar în dezvoltarea de software au fost mai întâi cunoscute ca riscuri de către cineva din echipa de proiect. Identificate la timp, riscurile pot fi evitate, negate sau se poate acționa în vederea reducerii impactului acestora. Gestionarea proactivă a riscurilor implică stabilirea unei strategii care previne materializarea riscului și transformarea lui într-o problemă sau îi limitează impactul în cazul în care acesta se materializează. Strategia de gestionare a riscurilor include, de obicei, reducerea efectului negativ sau a probabilității de apariție a riscului, transferul amenințării către o altă parte, evitarea amenințării sau chiar acceptarea ei.

Paradigma managementului riscurilor

În timpul fazei de inițiere a proiectului și apoi în mod continuu în timpul ciclului de viață al întregului proiect, riscurile trebuie să fie identificate, analizate și ulterior trebuie planificate măsuri adecvate, iar apoi evaluate și puse în aplicare cand este nevoie. În derularea acestor pași, managerul de proiect este asistat de către părțile interesate în succesul proiectului.

Identificarea

O mare parte din riscurile unui proiect pot fi identificate în faza de inițiere a proiectului, unele dintre ele chiar în faza de ofertare. Există o serie de instrumente și modalități care îl pot ajuta pe managerul de proiect pentru a efectua în mod eficient această activitate. Se pot utiliza liste de verificare sau chestionare unde răspunsurile la întrebări vor dezvălui riscuri. Software Engineering Institute (SEI) a dezvoltat o taxonomie a riscurilor legate de dezvoltarea de software și un chestionar pe baza acestei taxonomii (TBQ-Taxonomy Based Questionnaire), care oferă condițiile pentru identificarea, organizarea și studierea diferitelor aspecte ale riscurilor în dezvoltarea de software.

Cu toate acestea, riscurile există și apar de-a lungul întregului ciclu de viață al unui proiect; de aceea, ele trebuie să fie identificate în mod continuu, nu doar în faza de start-up. Identificarea riscurilor trebuie să facă parte din rutina proiectului. Este responsabilitatea profesională și morală a fiecărui membru al echipei să raporteze riscuri de îndată ce sunt identificate, chiar dacă acestea par să aibă o importanță redusă sau sună atipic.

Odată identificate, riscurile trebuie să fie înregistrate, comunicate, împărtășite prin intermediul unui jurnal de risc (risk log) sau orice alt instrument care permite înregistrarea riscurilor.

Analiza

Odată ce riscul a fost identificat, managerul de proiect (sau cineva care acționează în calitate de manager de risc pentru proiect) va evalua probabilitatea sa, impactul și proximitatea. În unele cazuri, acest pas necesită și o analiză de impact, care va lua în considerare toate obiectivele ce pot fi afectate de posibila apariție a riscului. În mod ideal, managerul de proiect ar trebui să determine și valoarea riscului, adică costul problemei în cazul în care riscul se materializează. Valoarea riscului = probabilitate x costurile pentru proiect (în cazul în care s-ar produce riscul). În absența cifrelor o clasificare relativă a valorii riscului va fi de asemenea utilă.

Managerul de proiect trebuie să se asigure că răspunderea pentru toate riscurile importante este atribuită în mod explicit unei persoane (risk owner). Aceasta va fi persoana cu profilul cel mai potrivit pentru a gestiona riscul respectiv în intervalul în care este posibil să se materializeze. Această responsabilitate poate fi atribuită unei persoane care nu este implicată direct în proiect, cum ar fi managerul de unit/departament, de vânzări, de infrastructură, etc..

Planificarea

Odată ce probabilitatea, impactul și proximitatea unui risc au fost evaluate, managerul de proiect va colabora cu părțile interesate pentru a defini și a planifica măsuri adecvate gestionării riscului. Măsurile pe care un manager de proiect le poate lua în considerare atunci când va răspunde la un risc sunt:

  1. Atenuarea riscului - presupune reducerea impactului și / sau a probabilității de apariție a riscului. Este strategia primară, una proactivă, care gestionează riscurile într-o manieră controlată și eficientă. Este de cele mai multe ori realizată printr-o atenuare, care include, de asemenea și un plan de intervenție în cazul în care riscul se produce.
  2. Evitarea riscului - prespune eliminarea completă a riscului. Acest lucru înseamnă că nu se vor desfășura activitățile ce sunt purtătoare de risc. Evitarea riscurilor înseamnă, de asemenea, a pierde potențialul câștig care ar fi putut fi obținut în cazul în care riscul ar fi fost acceptat.
  3. Transferul riscului - presupune transferarea sau distriburea impactului riscului cu un terț, de exemplu cu compania de asigurări.
  4. Rezerva riscului, cunoscut de asemenea și sub numele de plan de urgență, oferă o alternativă pentru situația în care riscul se va materializa.
  5. Acceptarea riscului - presupune că nici un răspuns nu va fi implementat, riscul este lăsat să se producă.

Măsurile definite pentru a răspunde la riscuri generează costuri suplimentare pentru proiect. Măsurile de atenuare a riscului sunt eficiente atunci când câștigul obținut prin reducerea riscului depășește pierderea potențială care ar fi fost înregistrată în cazul în care riscul s-ar fi materializat.

Altfel spus, managementul riscului îl provoacă pe project manager să decidă cât de mult timp, bani, efort este dispus să investeasca pentru rezolvarea unei probleme care ar putea să nu apară niciodată. O practică înțeleptă în managementul de proiect este aceea de a lua întotdeauna în considerare un buget de risc, atunci când se calculează bugetul inițial al proiectului.

Monitorizarea

Riscurile trebuie să fie monitorizate și revizuite periodic pentru a stabili dacă răspunsurile planificate mai sunt sau nu de actualitate și dacă e necesar a fi planificate măsuri noi. În timpul ciclului de viață al unui proiect pot fi identificate sute de riscuri. Este imposibil ca toate acestea să poată fi monitorizate în mod regulat. De aceea, recomandarea este ca doar primele 10 riscuri (luând în considerare prioritățile stabilite) să fie monitorizate regulat. O matrice de Impact/Probabilitate poate ajuta managerul de proiect să decidă care dintre riscuri au nevoie de atenția lui.

Pentru a implementa cu succes un proiect, managerul de proiect trebuie să identifice și să își concentreze atenția asupra riscurilor moderate și extreme.

Riscurile din colțul dreapta sus (de mare impact și cu grad ridicat de probabilitate) sunt de importanță crucială, iar managerul de proiect trebuie să le acorde o atenție deosebită. Este posibil ca la un moment dat un risc moderat să necesite mai multă atenție decât unul extrem, a cărui proximitate este pe termen lung, din motiv că cel moderat este posibil să se materializeze în curând.

Riscurile cu probabilitate și impact redus pot fi de cele mai multe ori ignorate.

Corectarea / Ajustarea

Deoarece contextul proiectului se poate schimba, răspunsurile deja planificate pentru un anumit risc s-ar putea să nu mai fie adecvate și prin urmare sunt necesare corecții la planurile și acțiunile de diminuare a riscului. Uneori chiar riscul în sine trebuie să fie re-analizat.

Riscul de a nu avea riscuri

Identificarea și gestionarea riscurilor este esența supraviețuirii și dezvoltării afacerii. În cele mai multe dintre companiile românești de IT, practicile de gestionare a riscurilor nu sunt formalizate iar acest lucru devine un risc în sine. Cu toate că managerul de proiect identifică riscurile pe baza experiențelor anterioare, a lecțiilor învățate sau doar pe bază de intuiție, riscurile sunt rareori gestionate sau monitorizate în mod corespunzător. Iar atunci când lucrurile pot merge prost ele vor merge prost (dacă nu se vor lua măsuri). De câte ori ați auzit expresia: "Știam eu că asta se va întâmpla", după ce s-a întâmplat ceva rău? Și aceasta se datorează faptului că o persoană din echipa a intuit că ceva poate merge prost, dar nu a acționat pentru a preveni acel eveniment. Faptul că alegem să comunicăm și celorlalți îngrijorarea noastră și acționăm pentru a evita riscul este un semn de maturitate și arată că ne pasă. Este responsabilitatea noastră să împărtășim riscurile cu persoana care poate acționa pentru a le evita sau pentru a le diminua impactul. Fiecare dintre noi are propria sa perspectivă, cunoaștere și înțelegere a ceea ce se întâmplă, vede lucruri pe care alții nu le văd sau nu le pot vedea. Se spune că, în medie, fiecare dintre noi identificăm aproximativ cinci riscuri pe zi, dar, de obicei, le uităm la scurt timp după aceea dacă nu le notăm.

Având în vedere contextul companiei în care lucrați și aspectele prezentate în acest articol prevedeți vreun risc datorat faptului că "nu există" riscuri? Sau altfel spus: "Având în vedere că nu există implementat un proces de management al riscului există riscul ca afacerea să eșueze? Sau de a pierde proiecte? Sau de a pierde angajați?

Este o provocare pentru fiecare dintre noi de a identifica și de a reacționa la aceste riscuri. Unii dintre noi pot identifica aceste riscuri, alții pot acționa pentru a răspunde la ele. Cu toate acestea, o gestionare eficientă a riscurilor începe de la nivelul de top-management, a board-ului, unde trebuie să existe claritate cu privire la strategia de risc și de guvernare, o înțelegerea corectă și responsabilități clare privind managementul riscului la nivel de board și la nivel executiv.

La ISDC, noi am înțeles importanța managementului riscurilor ca și proces, ca și mentalitate, ca și atitudine față de riscuri și acționăm continuu pentru eliminarea "riscului de a nu avea riscuri" prin :

  • Implementarea unui proces de management al riscului eficient la nivel de organizație. Acesta include politici, proceduri, instrumente și responsabilități implicate în activitățile de gestionare a riscurilor;
  • Implementarea unei aplicații dezvoltate intern care încurajează și sprijină identificarea riscurilor, urmărirea și analiza lor;
  • Încurajarea comunicării deschise privind identificarea riscurilor;
  • Sesiuni de training de management al riscurilor pentru project manageri, șefi de echipă (team leader-i) și colegii din departamentul de asigurare a calității;
  • Analiza riscurilor din proiecte (număr de riscuri, categorii de riscuri, valoarea cumulată a riscurilor). Astfel suntem capabili să determinăm categoriile care determină cele mai multe riscuri, să identificăm și să înțelegem riscurile "care contează" și avem astfel posibilitatea de a acționa rapid pentru acoperirea lor.

În scopul facilitării procesului de management al riscurilor, în ISDC am dezvoltat propriul nostru sistem Risk Manager. Risk Manager este o aplicație web care permite înregistrarea riscurilor, urmărirea și analiza lor. Matricea Probabilitate / Impact este prezentată foarte vizual, pe un ecran în care riscurile sunt ușor de urmărit în funcție de probabilitatea, proximitatea și impactul lor. Risk Manager poate fi accesat de către toate părțile interesate pe baza permisiunilor și drepturilor acordate anterior. Următorul pas este de a încorpora partea de Business Intelligence și Analytics pentru a avea o raportare eficientă a riscurilor, o analiză aprofundată a datelor și tablouri de bord (dashboards) care afișează indicatori cheie ai riscurilor.

Toate aceste activități au fost și sunt în continuare de succes datorită programului ISDC de îmbunătățire continuă și de contribuția valoroasă a lui Peter Leeson (www.qpit.net). Peter ne-a inspirat prin sesiunile sale de training, evaluările CMMI pe care le-a condus, consultanța și suportul acordat de-a lungul ultimilor patru ani.

Putem concluziona că managementul riscului este un element esențial al succesului unei organizații. Secretul unui proiect de succes este în strânsă legătură cu capacitatea de asumare a riscurilor, gestionarea corectă a acestora și comunicarea rezultatelor. Totodată, împărtășirea experienței la nivel de organizație va oferi proiectelor viitoare o bibliotecă de bune practici la care pot apela atunci când va fi nevoie.

LANSAREA NUMĂRULUI 87

Prezentări articole și
Panel: Project management

Joi, 19 Septembrie, ora 18:00
Hugo (The Office), Cluj-Napoca

Înregistrează-te

Facebook Meetup

În aceeaşi ediţie ... (24)

▼ TOATE ARTICOLELE ▼

Conferință

Sponsori

  • ntt data
  • 3PillarGlobal
  • Betfair
  • Telenav
  • Accenture
  • Siemens
  • Bosch
  • FlowTraders
  • MHP
  • Connatix
  • UIPatj
  • MetroSystems
  • Globant
  • Colors in projects