Managementul riscului este un termen utilizat pe scară largă în lumea software engineering de astăzi. Aproape fiecare proiect suferă amenințări care îi pot afecta într-un mod negativ costul, termenii de livrare sau calitatea. Conform unui studiu IBM doar 40 % din proiecte ajung să își atingă obiectivele de buget, termenii de livrare și de calitate. Alte analize au concluzionat că între 65 și 80 % din proiectele IT nu reușesc să își atingă obiectivele, și ajung să coste în mod semnificativ mai mult decât a fost planificat sau sunt livrate cu întârziere.
Pentru a evita deviațiile critice la costul, termenii de livrare sau calitatea proiectului, este important ca fiecare manager de proiect și nu numai, să recunoască faptul că există amenințări, că lucrurile ar putea merge prost, și în consecință să fie pregătiți să acționeze, fie prin reducerea probabilității potențialei amenințări fie prin reducerea pierderilor în cazul în care aceasta se va materializa.
Un risc reprezintă o potențială problemă, un eveniment incert care, în cazul în care se produce, va avea un efect asupra obiectivelor proiectului. Efectul evenimentului ar putea să fie benefic sau dăunător. Când discutăm despre managementul riscului, care include atât efectele pozitive, cât și cele negative ale unui eveniment incert, managerul de proiect trebuie să diferențieze între amenințări și oportunități. În articolul curent, ne vom concentra doar asupra riscurilor care amenință obiectivele proiectului, adică a celor care au un impact negativ asupra obiectivelor de succes ale acestuia.
Orice risc implică trei atribute care trebuie să fie cuantificate :
Putem diferenția patru tipuri de riscuri:
Activitățile de gestionare a riscurilor sunt în responsabilitatea managerului de proiect, dar identificarea lor este responsabilitatea fiecăruia și toate aceste activități trebuie să fie efectuate într-un mod proactiv. Obiectivul managementului riscurilor este de a oferi managerului de proiect cunoștințele și instrumentele necesare pentru a fi în măsură să facă față oricăror evenimente care ar putea avea un impact negativ asupra obiectivelor proiectului. Multe dintre problemele care apar în dezvoltarea de software au fost mai întâi cunoscute ca riscuri de către cineva din echipa de proiect. Identificate la timp, riscurile pot fi evitate, negate sau se poate acționa în vederea reducerii impactului acestora. Gestionarea proactivă a riscurilor implică stabilirea unei strategii care previne materializarea riscului și transformarea lui într-o problemă sau îi limitează impactul în cazul în care acesta se materializează. Strategia de gestionare a riscurilor include, de obicei, reducerea efectului negativ sau a probabilității de apariție a riscului, transferul amenințării către o altă parte, evitarea amenințării sau chiar acceptarea ei.
În timpul fazei de inițiere a proiectului și apoi în mod continuu în timpul ciclului de viață al întregului proiect, riscurile trebuie să fie identificate, analizate și ulterior trebuie planificate măsuri adecvate, iar apoi evaluate și puse în aplicare cand este nevoie. În derularea acestor pași, managerul de proiect este asistat de către părțile interesate în succesul proiectului.
O mare parte din riscurile unui proiect pot fi identificate în faza de inițiere a proiectului, unele dintre ele chiar în faza de ofertare. Există o serie de instrumente și modalități care îl pot ajuta pe managerul de proiect pentru a efectua în mod eficient această activitate. Se pot utiliza liste de verificare sau chestionare unde răspunsurile la întrebări vor dezvălui riscuri. Software Engineering Institute (SEI) a dezvoltat o taxonomie a riscurilor legate de dezvoltarea de software și un chestionar pe baza acestei taxonomii (TBQ-Taxonomy Based Questionnaire), care oferă condițiile pentru identificarea, organizarea și studierea diferitelor aspecte ale riscurilor în dezvoltarea de software.
Cu toate acestea, riscurile există și apar de-a lungul întregului ciclu de viață al unui proiect; de aceea, ele trebuie să fie identificate în mod continuu, nu doar în faza de start-up. Identificarea riscurilor trebuie să facă parte din rutina proiectului. Este responsabilitatea profesională și morală a fiecărui membru al echipei să raporteze riscuri de îndată ce sunt identificate, chiar dacă acestea par să aibă o importanță redusă sau sună atipic.
Odată identificate, riscurile trebuie să fie înregistrate, comunicate, împărtășite prin intermediul unui jurnal de risc (risk log) sau orice alt instrument care permite înregistrarea riscurilor.
Odată ce riscul a fost identificat, managerul de proiect (sau cineva care acționează în calitate de manager de risc pentru proiect) va evalua probabilitatea sa, impactul și proximitatea. În unele cazuri, acest pas necesită și o analiză de impact, care va lua în considerare toate obiectivele ce pot fi afectate de posibila apariție a riscului. În mod ideal, managerul de proiect ar trebui să determine și valoarea riscului, adică costul problemei în cazul în care riscul se materializează. Valoarea riscului = probabilitate x costurile pentru proiect (în cazul în care s-ar produce riscul). În absența cifrelor o clasificare relativă a valorii riscului va fi de asemenea utilă.
Managerul de proiect trebuie să se asigure că răspunderea pentru toate riscurile importante este atribuită în mod explicit unei persoane (risk owner). Aceasta va fi persoana cu profilul cel mai potrivit pentru a gestiona riscul respectiv în intervalul în care este posibil să se materializeze. Această responsabilitate poate fi atribuită unei persoane care nu este implicată direct în proiect, cum ar fi managerul de unit/departament, de vânzări, de infrastructură, etc..
Odată ce probabilitatea, impactul și proximitatea unui risc au fost evaluate, managerul de proiect va colabora cu părțile interesate pentru a defini și a planifica măsuri adecvate gestionării riscului. Măsurile pe care un manager de proiect le poate lua în considerare atunci când va răspunde la un risc sunt:
Măsurile definite pentru a răspunde la riscuri generează costuri suplimentare pentru proiect. Măsurile de atenuare a riscului sunt eficiente atunci când câștigul obținut prin reducerea riscului depășește pierderea potențială care ar fi fost înregistrată în cazul în care riscul s-ar fi materializat.
Altfel spus, managementul riscului îl provoacă pe project manager să decidă cât de mult timp, bani, efort este dispus să investeasca pentru rezolvarea unei probleme care ar putea să nu apară niciodată. O practică înțeleptă în managementul de proiect este aceea de a lua întotdeauna în considerare un buget de risc, atunci când se calculează bugetul inițial al proiectului.
Riscurile trebuie să fie monitorizate și revizuite periodic pentru a stabili dacă răspunsurile planificate mai sunt sau nu de actualitate și dacă e necesar a fi planificate măsuri noi. În timpul ciclului de viață al unui proiect pot fi identificate sute de riscuri. Este imposibil ca toate acestea să poată fi monitorizate în mod regulat. De aceea, recomandarea este ca doar primele 10 riscuri (luând în considerare prioritățile stabilite) să fie monitorizate regulat. O matrice de Impact/Probabilitate poate ajuta managerul de proiect să decidă care dintre riscuri au nevoie de atenția lui.
Pentru a implementa cu succes un proiect, managerul de proiect trebuie să identifice și să își concentreze atenția asupra riscurilor moderate și extreme.
Riscurile din colțul dreapta sus (de mare impact și cu grad ridicat de probabilitate) sunt de importanță crucială, iar managerul de proiect trebuie să le acorde o atenție deosebită. Este posibil ca la un moment dat un risc moderat să necesite mai multă atenție decât unul extrem, a cărui proximitate este pe termen lung, din motiv că cel moderat este posibil să se materializeze în curând.
Riscurile cu probabilitate și impact redus pot fi de cele mai multe ori ignorate.
Deoarece contextul proiectului se poate schimba, răspunsurile deja planificate pentru un anumit risc s-ar putea să nu mai fie adecvate și prin urmare sunt necesare corecții la planurile și acțiunile de diminuare a riscului. Uneori chiar riscul în sine trebuie să fie re-analizat.
Identificarea și gestionarea riscurilor este esența supraviețuirii și dezvoltării afacerii. În cele mai multe dintre companiile românești de IT, practicile de gestionare a riscurilor nu sunt formalizate iar acest lucru devine un risc în sine. Cu toate că managerul de proiect identifică riscurile pe baza experiențelor anterioare, a lecțiilor învățate sau doar pe bază de intuiție, riscurile sunt rareori gestionate sau monitorizate în mod corespunzător. Iar atunci când lucrurile pot merge prost ele vor merge prost (dacă nu se vor lua măsuri). De câte ori ați auzit expresia: "Știam eu că asta se va întâmpla", după ce s-a întâmplat ceva rău? Și aceasta se datorează faptului că o persoană din echipa a intuit că ceva poate merge prost, dar nu a acționat pentru a preveni acel eveniment. Faptul că alegem să comunicăm și celorlalți îngrijorarea noastră și acționăm pentru a evita riscul este un semn de maturitate și arată că ne pasă. Este responsabilitatea noastră să împărtășim riscurile cu persoana care poate acționa pentru a le evita sau pentru a le diminua impactul. Fiecare dintre noi are propria sa perspectivă, cunoaștere și înțelegere a ceea ce se întâmplă, vede lucruri pe care alții nu le văd sau nu le pot vedea. Se spune că, în medie, fiecare dintre noi identificăm aproximativ cinci riscuri pe zi, dar, de obicei, le uităm la scurt timp după aceea dacă nu le notăm.
Având în vedere contextul companiei în care lucrați și aspectele prezentate în acest articol prevedeți vreun risc datorat faptului că "nu există" riscuri? Sau altfel spus: "Având în vedere că nu există implementat un proces de management al riscului există riscul ca afacerea să eșueze? Sau de a pierde proiecte? Sau de a pierde angajați?
Este o provocare pentru fiecare dintre noi de a identifica și de a reacționa la aceste riscuri. Unii dintre noi pot identifica aceste riscuri, alții pot acționa pentru a răspunde la ele. Cu toate acestea, o gestionare eficientă a riscurilor începe de la nivelul de top-management, a board-ului, unde trebuie să existe claritate cu privire la strategia de risc și de guvernare, o înțelegerea corectă și responsabilități clare privind managementul riscului la nivel de board și la nivel executiv.
La ISDC, noi am înțeles importanța managementului riscurilor ca și proces, ca și mentalitate, ca și atitudine față de riscuri și acționăm continuu pentru eliminarea "riscului de a nu avea riscuri" prin :
În scopul facilitării procesului de management al riscurilor, în ISDC am dezvoltat propriul nostru sistem Risk Manager. Risk Manager este o aplicație web care permite înregistrarea riscurilor, urmărirea și analiza lor. Matricea Probabilitate / Impact este prezentată foarte vizual, pe un ecran în care riscurile sunt ușor de urmărit în funcție de probabilitatea, proximitatea și impactul lor. Risk Manager poate fi accesat de către toate părțile interesate pe baza permisiunilor și drepturilor acordate anterior. Următorul pas este de a încorpora partea de Business Intelligence și Analytics pentru a avea o raportare eficientă a riscurilor, o analiză aprofundată a datelor și tablouri de bord (dashboards) care afișează indicatori cheie ai riscurilor.
Toate aceste activități au fost și sunt în continuare de succes datorită programului ISDC de îmbunătățire continuă și de contribuția valoroasă a lui Peter Leeson (www.qpit.net). Peter ne-a inspirat prin sesiunile sale de training, evaluările CMMI pe care le-a condus, consultanța și suportul acordat de-a lungul ultimilor patru ani.
Putem concluziona că managementul riscului este un element esențial al succesului unei organizații. Secretul unui proiect de succes este în strânsă legătură cu capacitatea de asumare a riscurilor, gestionarea corectă a acestora și comunicarea rezultatelor. Totodată, împărtășirea experienței la nivel de organizație va oferi proiectelor viitoare o bibliotecă de bune practici la care pot apela atunci când va fi nevoie.