Narzędzia oceny i reagowania na ryzyko

KARTA WARUNKÓW REALIZACJI PRZEDMIOTU

 

Materiał stanowiący podstawę do zaliczenia zajęć z zarządzania ryzykiem. Na jego podstawie zostanie opracowany test egzaminu dla studentów studiów II stopnia.

Zarządzanie ryzykiem – materiały dla studentów.

 

Struktura projektu zaliczeniowego:

1. Opis projektu do zarz. ryzykiem, w tym:
tytuł projektu, cel projektu, uzasadnienie potrzeby realizacji projektu, model fazowy projektu (etapy projektu, kamienie milowe),
2. Identyfikacja ryzyk metodą burzy mózgów (dla projektu opisanego w pkt. 1),
3. Ocena zidentyfikowanych ryzyk, z uwzględnieniem wagi ryzyka i prawdopodobieństwa wystąpienia ryzyka,
4. Kwalifikacja ryzyk metodą profilu ryzyka, (do dalszej analizy wybrać 5 najistotniejszych ryzyk) – profil-ryzyka,
5. Pogłębiona analiza wybranych ryzyk w oparciu o techniki:
– analizy przyczyno-skutkowej: metodą analizy muchy – analiza-muchy,
– analizy przyczyno-skutkowej: metodą diagramu Ishikawy – analiza-ishikawy,
– uproszoczonej metody FMEA – fmea
5. Karta ryzyka – karta-ryzyka
– opis reacji na ryzyko – reakcje-na-ryzyko
7. Opracuj listę kontrolną ryzyk – lista-kontrolna

 

 

 

Ciekawe publikacje:

1. Prywata M., Zarządzanie ryzykiem w małych projektach, Polska Agencja Rozwoju Przedsiębiorczości (PARP), Warszawa 2010. [pobierz publikację w formacie PDF]

2. Bart Jutte, 10 Golden Rules of Project Risk Management, www.projectsmart.co.uk [link do artykułu]

3. Śliwa M., Zarządzanie ryzykiem – jak zacząć? [link do artykułu]

4. Zbiór ciekawych artykułów w serwisie www4PM Project management [link do strony dot. zarządzania ryzykiem]

 

Informacje podstawowe

Zarządzanie ryzykiem w projekcie – to zarządzanie polegające na monitorowaniu i obniżaniu ryzyka do poziomu akceptowalnego przez menedżera projektu.

Zarządzanie ryzykiem w projekcie to działania zmierzające do:

  • identyfikacji ryzyka,
  • oszacowania skutków i prawdopodobieństwa jego zaistnienia,
  • przygotowania planów neutralizacji i planów postępowania z ryzykiem,
  • zaplanowanie rezerw w zakresie budżetu i czas realizacji projektu.

Zarządzanie ryzykiem w projekcie jest jednym z ważniejszych aktywności w projekcie, ponieważ pozwala na osiąganie sukcesów niezależnie od występowania przypadkowych utrudnień.Zarządzanie ryzykiem w projekcie jest tak naturalne, jak naturalne jest występowanie ryzyk w projekcie – w praktyce nie występują projekty, których realizacja nie jest warunkowana żadnymi wpływami zewnętrznymi i wewnętrznymi.

Według metodyki PMBOK zarządzanie ryzykiem składa się z następujących procesów głównych:

  1. Planowanie zarządzania ryzykiem
  2. Identyfikacja ryzyka
  3. Jakościowa analiza ryzyka
  4. Ilościowa analiza ryzyka
  5. Planowanie reakcji na ryzyko
  6. Monitorowanie i kontrolowanie ryzyka

Planowanie zarządzania ryzykiem

Jest to zbiór czynności, które mają na celu z jednej strony skłonienie menedżera projektu do przygotowania i zorganizowania procesu zarządzania ryzykiem, z drugiej zaś mają one doprowadzić do powstania infrastruktury organizacyjnej, której zadaniem będzie podjęcie działań zmierzających do: izolowania i zmniejszenia ryzyka, eliminowania ryzyka (jeśli jest to możliwe i uzasadnione), przy-gotowania alternatywnych sposobów działania oraz określenia rezerw czasowych i pieniężnych w celu zabezpieczenia przed zagrożeniami mogącymi pojawić się podczas planowania i wykonywania prac projektowych. Materiałami wejściowymi do planowania procesu zarządzania ryzykiem są: karta projektu, polityka organizacji w zakresie zarządzania ryzykiem, ewidencja ról i obowiązków pracowników, wytyczne dotyczące tolerancji interesariuszy (udziałowców projektu) wobec możliwych ryzyk, szablony planu zarządzania ryzykiem w firmie (jeżeli takie istnieją) oraz struktura podziału pracy. Materiały te powinny być wykorzystane podczas spotkań, których celem będzie stworzenie planu zarządzania ryzykiem. Plan taki powinien zawierać:

  • metodykę określającą sposoby, narzędzia i źródła danych, które należy wykorzystać w zarządzaniu ryzykiem,
  • opis ról i obowiązków poszczególnych zespołów roboczych jak i indywidualnych pracowników organizacji względem procesu zarządzania ryzykiem,
  • całkowity budżet projektu oraz kwotę przeznaczoną na proces zarządzania ryzykiem,
  • listę terminów określających wszystkie działania związane z procesem zarządzania ryzykiem na wszystkich etapach projektu,
  • system oceny i interpretacji zdarzeń mogących wywołać niepożądany przebieg projektu,
  • progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące odpowiedzią na zaistniałe ryzyko,
  • sposoby tworzenia dokumentacji procesu zarządzania ryzykiem oraz
  • charakterystykę procesu śledzenia ryzyka w czasie realizacji projektu.

Identyfikacja ryzyka

Najprostszą metodą identyfikacji ryzyka jest określenie kompletnej listy możliwych ryzyk, które prawdopodobnie wystąpią w przypadku zaistnienia nie planowanych okoliczności. W zależności od poziomu wpływu sponsora projektu, doświadczenia kierownika projektu, umiejętności uczestników projektu oraz bieżącego otoczenia projektu lista ryzyk może być zupełnie różna dla realizacji projektu o tym samym budżecie, czasie realizacji oraz zakresie.

Celem identyfikacji ryzyka jest wykrycie jego źródeł, a następnie ich usystematyzowanie według przyjętych kategorii. Identyfikacja ryzyka w metodyce PMBOK jest procesem iteracyjnym, wykonuje się ją wielokrotnie zarówno podczas planowania, jak i w trakcie realizacji projektu. Materiałami wejściowymi do identyfikacji ryzyka są:

  • plan zarządzania ryzykiem będący efektem poprzedniego etapu,
  • rezultaty procesów planowania projektu, do których należą: karta projektu, struktura podziału pracy, opis wytwarzanego produktu, harmonogram i szacunki kosztów, plany użycia zasobów, plany zamówień, listy zagrożeń i ograniczeń,
  • zdefiniowane kategorie ryzyka. Są to nazwy grup, do jakich będzie można zakwalifikować wszystkie niekorzystne zdarzenia mogące pojawić się podczas planowania i realizacji przedsięwzięcia. Wprowadzenie kategorii (niekiedy nazywanych profilami) umożliwia systematyzację wszystkich ryzyk projektowych. Ważne jest, by przyjęte kategorie były prawidłowo dobrane w zależności od specyfiki projektu i tym samym odpowiadały typowym źródłom ryzyka dla danej branży lub obszaru wykorzystania wytwarzanego produktu. Do często wyróżnianych kategorii ryzyka należą: ryzyko techniczne, ryzyko związane z zarządzaniem projektami ryzyko organizacyjne oraz ryzyko zewnętrzne,
  • dane historyczne dotyczące wcześniejszych realizacji projektów.

Proces identyfikacji ryzyka w metodyce PMBOK może być wspierany wieloma narzędziami i technikami. Wydaje się to oczywiste, gdyż przewidzenie, jakie zdarzenia mogą istotnie wpłynąć na niezrealizowanie planowanych zadań projektowych jest czynnością trudną i nie zawsze w pełni możliwą do wykonania. Do najważniejszych technik należą:

  • przegląd dokumentacji. Jest to zwyczajowo pierwszy krok w procesie identyfikacji ryzyka. Zespół zajmujący się zarządzaniem analizuje plany i założenia projektu doszukując się potencjalnych zagrożeń,
  • techniki gromadzenia informacji o źródłach zagrożeń, do których zalicza się: burzę mózgów, technikę delficką, ankiety oraz analizę mocnych stron, słabych stron, szans i zagrożeń (SWOT),
  • listy kontrolne. Należą do narzędzi tworzonych na podstawie danych historycznych oraz wiedzy gromadzonej w podczas realizacji podobnych projektów w przeszłości. Są to proste i skuteczne narzędzia identyfikacji ryzyka. Główną wadą ich jest to, że nie można stworzyć ewidencji wszystkich potencjalnych zagrożeń projektowych,
  • analiza założeń projektowych – ma na celu identyfikację ryzyka wynikającą z niedokładności, niespójności lub niekompletności założeń,
  • techniki oparte na diagramach. Umożliwiają łatwą identyfikację symptomów ryzyka oraz przejrzyste ułożenie schematów przyczynowo skutkowych. Do popularnych technik diagramowych należą: diagramy przyczynowo-skutkowe (np. diagramy Ishikawy, rybich ości), schematy blokowe systemu, diagramy wpływu.

W wyniku użycia jednej bądź wielu powyższych technik zespół zarządzający ryzykiem otrzymuje: listę zidentyfikowanych źródeł ryzyka usystematyzowaną według określonych kategorii oraz spis czynności wyzwalających (symptomów, sygnałów ostrzegawczych) wskazujących, że wkrótce może dojść lub że już doszło do wystąpienia niekorzystnego zdarzenia.

Szacowanie ryzyka

Sposób oceny wartości ryzyka powinien być również zależny od wartości projektu w stosunku do wartości portfela projektów. Projekty, których wartość jest bardzo duża w stosunku do wartości portfela projektów mogą w wyniku zaistnienia ryzyk łatwo zachwiać płynność finansową organizacji realizującej projekt, ponieważ poniesione straty mogą nie zostać skompensowane zyskami z innych projektów. Projekty o dużej wartości należy więc szacować bardziej „pesymistycznie” – czyli rozpatrywać wszelkie scenariusze skrajne, a przy projektach o mniejszej wartości „optymistycznie” – czyli szacować najbardziej prawdopodobne scenariusze.

Brak adekwatnej oceny skutków ryzyka w kluczowych projektach zostało wielokrotnie zakończone bankructwem lub przejęciem firmy, wskutek brak możliwości sfinansowania strat i utracie płynności finansowej. W przypadku, gdy portfel projektów jest zrównoważony skutek wystąpienia ryzyka w jednym projekcie może się rozkładać na zyski z innych projektów.

TPLV = \sum_{i=1}^n PLV_i = \sum_{i=1}^n MPLV_i * RP_i

  • TPLV – całkowita wartość planowanej strata.
  • PLVi – wartość planowane straty dla jednego z ryzyk.
  • MPLVi – najbardziej przewidywana wartość straty dla jedno z ryzyk.
  • RPi – szanse na wystąpienie ryzyka.

 

Analiza jakościowa ryzyka

Głównym zadaniem tej fazy procesu zarządzania ryzykiem jest oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio ryzyk. Na tym etapie wykonuje się hierarchizację zidentyfikowanych niebezpieczeństw według ich potencjalnego wpływu na proces realizacji przedsięwzięcia. Uzyskane wyniki będą stanowiły podstawę do dalszego planowania reakcji na niekorzystne zjawiska. Jakościowa analiza ryzyka wymaga zastosowania odpowiednich narzędzi. Autorzy metodyki zalecają, by użyć na tym etapie technik macierzowych. Wielokrotne zastosowanie podczas realizacji przedsięwzięcia tych prostych narzędzi umożliwia zaobserwowanie trendów, które mogą stanowić podstawę do podjęcia uzasadnionych decyzji o intensyfikacji lub ograniczeniu działań związanych z zarządzaniem ryzykiem. Materiałami wyjściowymi do jakościowej analizy ryzyka są: plan zarządzania ryzykiem, lista zidentyfikowanych ryzyk wraz z podziałem ich na kategorie, raport o stanie zaawansowania projektu, charakterystyka typu projektu (informacja o tym na ile realizowany projekt jest nowatorski a w czym jest podobny do wykonanych już przedsięwzięć), charakterystyka dokładności danych, na podstawie których dokonano identyfikacji i opisu ryzyka (dane te powinny być ocenione pod kątem ich wiarygodności i dostępności), zestaw przyjętych w firmie skal prawdopodobieństwa i mierników skutków wystąpień zagrożeń oraz listę założeń które zostały przyjęte w procesie identyfikacji i oceny źródeł ryzyka. Podstawowe narzędzia i techniki używane do jakościowej analizy ryzyka to: lista prawdopodobieństw i skutków ryzyka (korzysta się tu ze skal opisowych np. bardzo wysokie, umiarkowane, niskie i bardzo niskie), macierze ocen prawdopodobieństwa i skutków wystąpienia ryzyka (stosuje się w nich w zależności od potrzeb skale liniowe lub logarytmiczne), badanie złożoności projektu (ocenia się stabilność założeń projektowych oraz ewentualne skutki wpływu błędów popełnionych przy ich formułowaniu), ranking dokładności danych (bada się dokładność i obiektywność danych wykorzystanych przy planowaniu projektu). Rezultatem jakościowej analizy ryzyka jest: ogólny ranking projektu pod kątem ryzyka (pozwalający na porównanie poziomu ryzyka z ryzykami występującymi w innych projektach), lista hierarchii ryzyka (umożliwiająca wyszczególnienie źródeł ryzyka o bardzo dużym potencjalnie negatywnym wpływie na projekt, czy też prawdopodobnie nieistotnych dla projektu), trendy wynikające z rezultatów jakościowej analizy ryzyka przeprowadzonej wielokrotnie podczas realizacji projektu.

Ilościowa analiza ryzyka

Proces ten ma na celu określenie wymiernych wartości wielkości prawdopodobieństwa oraz skutków wystąpienia zdarzeń niekorzystnych zarówno dla poszczególnych czynności projektu, jak i dla całego przedsięwzięcia. Pomiar taki pozwala ustalić w wielkościach wymiernych szansę osiągnięcia celów projektu, określić poziomy niezbędnych rezerw, przeprowadzić szczegółową analizę typu, „co-jeśli”. Ilościowa analiza ryzyka często jest poprzedzana badaniami jakościowymi. Materiałami wejściowymi do ilościowej analizy ryzyka są: plan zarządzania ryzykiem, lista zidentyfikowanych ryzyk, lista hierarchii ryzyk, lista ryzyk do dalszej analizy, dane historyczne, opinie ekspertów oraz rezultaty innych procesów planowania w danym projekcie. Narzędzia wykorzystywane do analizy ilościowej różnią się między sobą ze względu na stopień skomplikowania. Do najczęściej używanych należą: ankiety (przeprowadza się je wśród interesariuszy projektu i ekspertów w celu wyznaczenia wielkości prawdopodobieństwa i skutków wystąpienia ryzyka), analiza wrażliwości (pozwala na wyznaczenie, które ryzyka mają potencjalnie największy wpływ na przebieg planowanego projektu), analiza drzew decyzyjnych (ustala diagram następstw wraz z określonym ich prawdopodobieństwem i kosztami, zawiera każdą z możliwych logicznych ścieżek zdarzeń mogących pojawić się w trakcie realizacji projektu) oraz symulacje (najczęściej wykorzystuje się metodę Monte Carlo po to, by określić prawdopodobieństwo osiągnięcia określonego celu projektu i dokonać ilościowego pomiaru wpływu potencjalnych niekorzystnych zdarzeń na projekt, co ma pozwolić na ustalenie wielkości kosztowych i harmonogramowych rezerw, które mogą okazać się niezbędne w trakcie realizacji przedsięwzięcia). Efektem przeprowadzenia analizy ilościowej ryzyka dla danego projektu są: lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, analiza probabilistyczna projektu (zawiera prognozy dotyczące kosztów i czasów realizacji zadań), wielkości prawdopodobieństwa osiągnięcia celów kosztowych i czasowych, trendy charakteryzujące wyniki ilościowej analizy ryzyka (dane te są uzyskiwane na podstawie kilkukrotnego przeprowadzenia analizy ilościowej).

Planowanie reakcji na ryzyko

Jest to proces opracowywania wariantów postępowania dotyczących czynności zmniejszających zagrożenia i zwiększających potencjalne korzyści dla sformułowanych celów projektowych. Plan reakcji na ryzyko to kluczowy etap procesu zarządzania ryzykiem, gdyż opracowuje się w nim metody reagowania na zdarzenia korzystne i niekorzystne. Skuteczność planowania reakcji na ryzyka zadań zagrożonych ma bezpośredni wpływ na wzrost lub spadek ryzyka realizacji całego projektu. Planowane reakcje muszą być proporcjonalne do skutków wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagrożenia w sposób kosztowo efektywny oraz być realizowane terminowo. Materiałami wejściowymi do planowania reakcji na ryzyko są: plan zarządzania ryzykiem, lista hierarchii ryzyk, ranking projektu pod względem ryzyka, lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, analiza probabilistyczna projektu, prawdopodobieństwo osiągnięcia celów kosztowych i czasowych, lista potencjalnych metod reakcji, progi ryzyka (są to wielkości akceptowalne ryzyka przyjęte przez organizację), lista dysponentów ryzyka (zestawienie interesariuszy, którzy mają możliwości reakcji na dane ryzyko), lista wspólnych ryzyk (ewidencja zjawisk niekorzystnych, które mogą wywierać wielorakie skutki na proces realizacji projektu) oraz trendy będące wynikami wielokrotnie przeprowadzonej jakościowej i ilościowej analizy ryzyka. W procesie planowania reakcji na ryzyka powszechnie stosuje się kilka strategii. Do każdego z ryzyk należy tak dobrać plan postępowania, by podjęte działania były jak najbardziej skuteczne. Do najbardziej popularnych strategii zalicza się:

  • unikanie ryzyka – polega na takiej modyfikacji planów realizacji projektu, by zlikwidować dane ryzyko (niestety nie można w praktyce wyeliminować wszystkich zdarzeń, z którymi wiążą się niebezpieczeństwa) albo korzystnie zmienić uwarunkowania z nim związane,
  • transfer ryzyka – to działanie polegające na przeniesieniu skutków wystąpienia ryzyka na inny podmiot. Działanie to jest najskuteczniejsze w obszarze finansów, wiąże się ono zazwyczaj z koniecznością wypłacenia premii podmiotowi przyjmującemu ryzyko (np. ubezpieczenie na wypadek włamania do firmy),
  • łagodzenie ryzyka – to najpowszechniejsza ze wszystkich strategii reagowania na ryzyko. Proces ten polega na podejmowaniu określonych działań prowadzących do zmniejszenia prawdopodobieństwa lub skutków ryzyka,
  • akceptacja ryzyka – polega na przyjęciu i udźwignięciu wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Jest to świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać żadnych zmian w planie projektu związanych z wystąpieniem danego niekorzystnego zjawiska. Istnieją dwa podstawowe typy akceptacji ryzyka: aktywna i pasywna. Pasywna akceptacja polega na przyjęciu ryzyka bez podejmowania jakichkolwiek działań w celu rozwiązania problemów jakie się z nim wiążą. Natomiast aktywna akceptacja polega na pogodzeniu się z ryzykiem, ale wymaga stworzenia specjalnego planu działania w razie wystąpienia niekorzystnego zdarzenia, a w niektórych przypadkach tzw. planu odwrotu,
  • plan awaryjny – buduje się tylko dla zidentyfikowanych ryzyk, które mogą pojawić się w trakcie realizacji projektu, wcześniejsze opracowanie planu awaryjnego może w sposób istotny obniżyć koszty działań podejmowanych w reakcji na wystąpienie danego niekorzystnego zjawiska.

Rezultatami procesu planowania reakcji na ryzyka są: plan reakcji na ryzyka, ewidencja ryzyk rezydualnych (lista ryzyk, które jeszcze pozostają w projekcie po wdrożeniu strategii unikania, przenoszenia i łagodzenia ryzyka), ewidencja ryzyk wtórnych (są to ryzyka, które powstają w wyniku wdrożenia strategii reagowania na ryzyko), postanowienia kontraktowe (umowy wraz zakresami odpowiedzialności, jakie przejmują na siebie inne podmioty współuczestniczące w realizacji projektu), wielkości niezbędnych kwoty rezerw projektowych (są to tzw. bufory finansowo-zasobowe zarezerwowane przez menedżerów na wypadek wystąpienia sytuacji niekorzystnych), materiały wyjściowe do innych procesów oraz materiały wejściowe do weryfikacji całości planu projektu (rezultaty planowania reakcji na ryzyko powinny być uwzględnione w ostatecznym planie projektu).

Monitorowanie i kontrola ryzyka

Jest to proces wdrożenia planu zarządzania ryzykiem, nieustannej obserwacji i nadzorowaniu zidentyfikowanych ryzyk, identyfikacji nowo powstałych zagrożeń oraz systematycznego oceniania skuteczności podejmowanych działań prewencyjnych. To właśnie monitorowanie i kontrola ryzyka dostarcza informacji niezbędnych do podejmowania decyzji wyprzedzających pojawienie się niekorzystnych zdarzeń. Celem monitorowania ryzyka jest ustalenie czy:

  • wdrożono zgodnie z planem strategie reakcji na ryzyka,
  • działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują oczekiwanymi rezultatami,
  • przyjęte założenia projektu są aktualne,
  • podczas realizacji projektu nie doszło do zmian w szczególnym i ogólnym poziomie ryzyka (np. zgodnie z analizą trendów),
  • wystąpiły czynniki wyzwalające zidentyfikowane ryzyka,
  • wystąpiły nowe ryzyka nierozpoznane uprzednio.

Materiałami wejściowymi do procesu monitorowania i kontroli ryzyka są: plan zarządzania ryzykiem, plan reakcji na ryzyko, raporty będące wynikiem komunikacji podczas planowania i realizacji projektu, zestawienia dodatkowych wyników identyfikacji i analiz ryzyka (wykrycie nowych źródeł ryzyka), ewidencje proponowanych lub już wdrożonych zmian zakresów projektu. Do narzędzi i technik stosowanych do monitorowania oraz kontroli ryzyka są zaliczane: audyty reakcji na ryzyko, okresowe przeglądy ryzyka w projekcie, analizy wartości wypracowanej, zestawienia pomiarów technicznych (ewidencja planowanych i osiągniętych wyników podczas przebiegu realizacji projektu) oraz opisy dodatkowo planowanych reakcji na ryzyko. W wyniku wykonania procesu monitorowania i kontroli ryzyka powstają: plany improwizacyjne (ewidencja reakcji na zagrożenia wcześniej nie zidentyfikowane), listy działań korygujących, aktualizacje planów reakcji na ryzyko, baza danych o ryzykach w danym projekcie (jest to bardzo cenne repozytorium wiedzy, umożliwiające prawidłowe planowanie zarządzania ryzykiem w przyszłych projektach) oraz uaktualnione listy kontrolne zidentyfikowanych ryzyk.

O charakterze każdego rodzaju ryzyka decydują trzy podstawowe składniki: zdarzenie, prawdopodobieństwo oraz straty/dotkliwość. Niskie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko. Wysokie prawdopodobieństwo oraz bardzo dotkliwe skutki oznaczają wysokie ryzyko. Wysokie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko dla ostatecznego powodzenia projektu.

Przykład zarządzania ryzykiem