Zarządzanie ryzykami

Zarządzanie ryzykami
Autor: dr Tadeusz Lis
Zarządzanie ryzykiem jest jednym z najmniej rozumianych procesów w projektach – a
jednocześnie wiedza, umiejętności i szczęście są w nim krytyczne dla kariery każdego
Kierownika Projektu.
Żeby zrozumieć, jak dużą wartość wniosła metodyka TenStep™ do rozwoju wiedzy na temat
profesjonalnego zarządzania przedsięwzięciami popatrzmy jak historycznie zmagaliśmy się z
tym zagadnieniem. Cofnijmy się zatem do czasów stosunkowo nieodległych, to jest do VXII
wieku (tak, tak! – dyscyplina którą uprawiamy ma faktycznie kilka tysięcy lat historii – na
przykład pierwsze spisane algorytmy tworzenia WBS powstały 2500 lat przed narodzinami
Chrystusa, jako elementy systemu zarządzania programem budowy piramid).
Zacznijmy systematycznie od zastanowienia się przez chwilę, co jest istotą zarządzania
ryzykiem. Oddaje to najtrafniej sama etymologia słowa ryzyko. Nazwa pochodzi od
starowłoskiego słowa risicare, które oznacza zachowywać się zuchwale lub wyzywać kogoś
na pojedynek.
Gdy słowo to weszło w powszechne użycie przez renesansowych kierowników projektów –
zaczęła się nowa epoka w zarządzaniu przedsięwzięciami, w której dostrzeżono, że
podejmowanie ryzyka jest pewną opcją (swobodnym wyborem o kontrolowanych
konsekwencjach), a nie tylko biernym, fatalistycznym oczekiwaniem na coś, co się musi
nieuchronnie wydarzyć.
Przywołajmy zatem nazwiska kolegów, którym to zawdzięczamy. Pierwsze z nich to Mere
(1654) – szlachetnie urodzony francuski rycerz, które chwile wolne od walki (liczne) i kobiet
(raczej niepoliczalne) wykorzystywał do zgłębiania tajemnic gier hazardowych (a teoretykiem
bynajmniej w tym nie był!). Otóż Mere pochylił się nad zagadnieniem, które 200 lat wcześniej
sformułował Paccioli, które brzmiało tak:
Jakiej wygranej może oczekiwać każdy z uczestników gry hazardowej, jeżeli wiadomo, że
jeden z nich wygrywa – ale też pozostałym też coś się może dostać, jeśli grają dostatecznie
długo?
1
Z pytaniem tym zwrócił się do swego uczonego przyjaciela-matematyka Blaise’a Pascal’a,
który zaraz potem zaprzągł do pracy kolejną sławę epoki Pierra de Fermata. Obu panów
pieniądze nie interesowały prawie wcale (o kobietach wiemy niewiele) – za to intelektualne
awanturnictwo – jak najbardziej. Tak narodził się teoria prawdopodobieństwa – fundament
współczesnej nauki o zarządzaniu ryzykiem.
XVIII wiek to epoka w której żeglujące na krańce świata statki były z drewna, a ludzie ze stali
(teraz włócząc się małą, drewnianą łódką po morzach widzę, że jest jakby nieco odwrotnie) –
a te potrzebowali ubezpieczeń. Zatem zaczęto stawiać pytania - jak wyznaczyć optymalną
stawkę ubezpieczeniową? Jak wycenić ryzyko projektowe, że dotarłszy szczęśliwie do
brzegów Afryki Południowej nie zostanie się zjedzonym na dzień dobry?
Odpowiedzi udzielił niemiecki matematyk polskiego pochodzenia Gottfried Leibniz oraz
Bernoulli – formułując podstawowe prawa statystyki.
Potem poszło już łatwiej. Abraham de Moivre przeprowadził cały szereg eksperymentów w
dziedzinie rozkładów normalnych (znany Wam z MS Project kształt krzywej dzwonowej
wykorzystywanej w analizie PERT zawdzięczamy właśnie Jemu).
Musimy również oddać należne miejsce Thomasowi Bayes, od którego nauczyliśmy się, jak
w projektach wykorzystywać informacje przeszłe z informacjami bieżącymi – dla
precyzyjnego prognozowania ryzyk projektowych w sposób kroczący – patrz 10 proces
zarządczy metodyki TenStep.
W latach 50-tych Harry Markowicz udowodnił, że wkładanie wszystkich jajek do jednego
koszyka nie jest rozsądne – czego ślady w metodyce TenStep znajdziecie w postaci strategii
dywersyfikacji ryzyka.
Piszę o bliskich mi intelektualnie ludziach, gdyż sprawny aparat pojęciowy w zarządzaniu
ryzykami zawdzięczamy w dużej mierze właśnie im.
Czy jest zatem ryzyko według TenStep? Czy słowo to jest używane w niej w sposób
potoczny? Nie.
Ryzyko jest zdarzeniem o następujących koniunkcji cech:
a) prawdopodobieństwo jego zaistnienia jest w przedziale niedomkniętym (0, 1),
b) jego zmaterializowanie się jest szkodliwe dla projektu,
2
c) pozostaje poza kontrolą Kierownika Projektu.
Jeśli prawdopodobieństwo wynosi 0 – nie mamy do czynienia z ryzykiem. Jeśli 1 – to
zdarzenie pewne – i musimy się zająć jego obsługą.
Jeśli potencjalne wydarzenie jest straszne (tsunami w Azji), ale jego wpływ na nasz projekt
warszawski jest nikłe – nie jest to ryzyko.
I najtrudniejsza rzecz – musimy mieć pewność, że to co nam zagraża pozostaje poza naszą
kontrolą jako szefów projektu. Dlatego, też proszę Was – nie wymieniajcie na liście ryzyk
„niekompetencji i niskiej motywacji członków zespołu”- którym zarządzacie. Niezbyt to
dobrze świadczy o poziomie zawodowym autora analizy ryzyk...
Jak zatem profesjonaliści, którzy biegle opanowali metodykę TenStep kontrolują ryzyka w
prowadzonych przez siebie projektach?
Przede wszystkim działając w sposób systematyczny i uporządkowany. Zazwyczaj swoje
działania dzielą na dwa umowne procesy:
a) Analizy i planowania reakcji na potencjalną materializację zidentyfikowanych ryzyk
b) Bieżącej kontroli ryzyk oraz podejmowania ewentualnych działań kompensujących
Jak to zrobić w sposób najprostszy?
Na samym początku powinieneś zidentyfikować wszystkie czynniki ryzyka w Twoim
konkretnym projekcie – i nie pomieszać ich z samymi ryzykami. Przykład:
a) Czynnikiem ryzyka jest nowa technologia programowania użyta w projekcie
informatycznym wdrożenia systemu sterowania lotami oraz brak wsparcia dla niej ze
strony lokalnego dystrybutora,
b) Ryzykiem jest istotne opóźnienie terminu końcowego
eksploatacji, spowodowanym przez ten czynnik ryzyka.
oddania
sytemu
do
Dokonujemy teraz szybkiego sprawdzenia, czy to co zidentyfikowaliśmy jest faktycznie
ryzykiem. Zadajemy sobie następujące pytania:
3
1. Czy jest prawdopodobne, że z nową technologią będziemy mieli kłopoty?
Zapewne tak. Ale... Jak oszacować prawdopodobieństwo tych kłopotów? Jest kilka
standardowych chwytów:
a) Telefon do przyjaciela – sprawdź opinię u tych, którzy już przeszli ten szlak – ale
uwaga, ma sens pod warunkiem, że projekt, zespół oraz jego szef są
porównywalni do Twojego przedsięwzięcia,
b) Fora internetowe – sprawdź częstotliwość postów oraz wagę tematów, które są
poruszane,
c) Dojrzałość technologii – w sensie ilości dokonanych wdrożeń oraz wagi projektów
– zwłaszcza jeśli mają już swoją pewną historię (3 lata w technologiach
informatycznych to ocieranie się o wieczność)
2. Pytanie drugie brzmi: czy wystąpienie niespodzianek jest szkodliwe dla projektu? Tu
nie mamy wątpliwości – każda nowa technologia zwiększa poziom ryzyka.
3. Pytanie trzecie: czy te niespodzianki są poza kontrolą Was, jako szefów? Nie ma
wątpliwości, że tak – każdy, kto przeżył gehennę bibliotek funkcji działających
niezgodnie z opisem wie o czym mówię.
Zatem prawidłowo zidentyfikowaliśmy ryzyko. Co dalej? Postępujemy tak systematycznie dla
wszystkich ryzyk – ale uwaga – na tym etapie nie porządkujemy ich, ani dokładnie nie
analizujemy. Celem pracy jest możliwie jak najbardziej pełna lista potencjalnych zagrożeń.
W którymś momencie skończy się Wam wyobraźnia i liczba pomysłów generowanych przez
zespół wyraźnie zmaleje. To znak, że trzeba przerwać.
4
Teraz uporządkujemy listę według prostej macierzy:
Prawdopodobieństwo wystąpienia
Wpływ na projekt
Niskie
Średnie
Wysokie
Niewielki
Zignoruj
Zignoruj
Zignoruj
Średni
Zignoruj
Monitoruj
Aktywnie
kontroluj
Wysoki
Monitoruj
Aktywnie
Kontroluj
Aktywnie
kontroluj
wpisując w każdą z kratek zidentyfikowane ryzyko.
Następnie dla każdego ryzyka z kratek czerwonych dobierzemy jedną z aktywnych strategii
ich kontroli. Są to:
1. Unikanie ryzyka
2. Łagodzenie skutków zmaterializowania się ryzyka
3. Transfer (przeniesienie ryzyka)
Co to oznacza w naszym praktycznym przykładzie? Otóż w formalnym dokumencie TenStep
– Planie Zarządzania Ryzykami znajdą się przykładowo następujące zapisy:
a) Unikanie ryzyka: Po okresie 2 miesięcy zostanie dokonany przegląd problemów i
sposobów ich rozwiązania wywołanych nową technologią. Jeżeli co najmniej 75%
członków zespołu odpowiedzialnych za tworzenie kodu nowego systemu zaakceptuje
nową technologię – pozostaniemy przy niej, jeżeli nie – system powstanie w starej,
ale dobrze opanowanej technologii, a stosowne uzgodnienia zostaną poczynione z
Zamawiającym przed rozpoczęciem projektu.
b) Łagodzenie skutków ryzyka: Równolegle z podzespołem odpowiedzialnym za
napisanie jądra systemu w nowej technologii, zostanie ono napisane w starej
technologii przez zespół nr 2 – ale w taki sposób, że obie wersje jądra będą
współdziałały z pozostałymi modułami systemu.
5
c) Transfer: Zamawiający utworzy dodatkową rezerwę budżetową, z której zostaną
opłacone drogie konsultacje twórców technologii. Rezerwa ta zostanie uruchomiona
decyzją Kierownika Projektu nie później niż w połowie czasu jego trwania, jeśli uzna,
że napotkane problemy mogą rzutować na termin końcowy. Jeżeli rezerwa nie
zostanie uruchomiona, a termin dotrzymany 33% alokowanej rezerwy zostanie
przeniesione do Funduszu Motywacyjnego zespołu projektowego.
Która ze strategii jest optymalna? Pytanie jest źle postawione – wszystko zależy od
konkretnego przypadku. Jako zawodowiec powinieneś zawsze rozważać również wybór
mieszanych strategii aktywnego kontrolowania danego ryzyka – choć bez braku wprawy
może to być nieco trudne.
A co z pozostałymi strategiami? TenStep pragmatycznie radzi – wybierz strategię akceptacji
lub monitoringu danego ryzyka. W szczególności pamiętaj, że strategia monitoringu w
postaci złożonych czynników ryzyka (np. wahań kursów walut) może być bardzo kosztowna
– gdyż polega ona nie tylko na obserwacji trendów w tabelach publikowanych przez banki –
ale przede wszystkim monitoringu stanu gospodarek światowych i praktycznym
przewidywaniu kierunków zmian kursów – a to prawie nigdy nie jest proste (ale za to bardzo
wiele warte, gdy Twój projekt jest przykładowo uzależniony od importu lub eksportu).
Zakończyłeś proces analizy ryzyk i doboru mechanizmów ich kontrolowania. A co robisz w
trakcie bieżącego zarządzania projektem?
Śledzisz uważnie wszystkie ryzyka organizując formalne przeglądy ryzyk i w zależności od
diagnozy podejmujesz odpowiednie kroki.
Teraz krótkie podsumowanie i refleksja końcowa. Nie zawsze i nie w każdym projekcie
można użyć wszystkich z wymienionych strategii. Rozważmy to na przykładzie jednego z
najniebezpieczniejszych przedsięwzięć z dziedziny sportów ekstremalnych które uprawiam –
mam na myśli małżeństwo (a sądzę, że większość mężczyzn ma podobne doświadczenia).
Co jest celem strategicznym projektu? Zapewne większość się zgodzi, że zapewnienie
trwałego szczęścia kobiecie, która Wam powiedziała - TAK. Cel jest jednoznaczny, gdyż jak
wiadomo poza wszystkim, szczęśliwa kobieta u boku mężczyzny jego najpiękniejszą ozdobą
(zaraz po broni, pisanej rzecz jasna z małej litery).
Zatem już na wejściu zastosowaliśmy strategię akceptacji ryzyk. Ale monitoring jest
niezbędny – nasze Najmilsze się zmieniają i my się zmieniamy, a nie ma gorszej rzeczy, niż
6
przeoczenie, że zmieniła się u Twojej kobiety specyfikacja funkcjonalna wymagań względem
Ciebie.
Strategia całościowego unikania ryzyka – owszem – od czasu do czasu spotykam wraki
emocjonalno-intelektualne niedojrzałych dużych chłopców – ale jest to przykład wyraźnego
błędu w zarządzaniu jakością swojego życia. Czy ta strategia jest w ogóle nieprzydatna –
oczywiście jest! W rozpoznawaniu czynników ryzyka, które doprowadzają Twoją kobietę do
szewskiej pasji. Oczywiście jest w tym pewien kłopot, gdyż kobiety jako kategoria są
obiektami o słabo deterministycznych charakterystykach i przewidywanie ich zachowań
wymaga bardzo skomplikowanych, wielowymiarowych modeli – których rezultaty – bądźmy
szczerzy, często nie są najbardziej satysfakcjonujące. Ale próbować trzeba...
Oczywiście strategia łagodzenia skutków tych ryzyk, które pociągnęła decyzja o powiedzeniu
– tak – jest zazwyczaj bardzo skuteczna długoterminowo. Generalnie kobiety regularnie
rozpieszczane według starannie przemyślanego planu o dużym stopniu innowacyjności
zachowują się łagodnie – a nawet, zaryzykujmy to śmiałe stwierdzenie – w sposób
przewidywalny (no, dobrze zagalopowałem się nieco...)
A co z strategią transferu ryzyka – hm, lepiej nie próbuj – bo a nuż się powiedzie realizacja i
będziesz żałował do końca życia....
Podsumowując. To co napisałem – to elementarz każdego zawodowego Kierownika
Projektu. Co robią mistrzowie?
Przede wszystkim wykorzystują zaawansowane techniki heurystyczne (np. synektykę
Gordona lub metodę IDEAL Nadlera) w analizie i projektowaniu działań kontrolujących
ryzyka.
Biegle poruszają się w zagadnieniach modelowania matematycznego prawdopodobieństw
materializacji ryzyk – w szczególności w oparciu o twierdzenie naszego znajomego –
Thomasa Bayesa.
Mają w głowie algorytmy analizy ryzyk harmonogramowych – krytycznie ważnych w ciężkich
projektach inwestycyjnych oraz projektach z dużym komponentem społecznym.
Są niezwykle zręczni w realizacji procesów zarządzania zespołem – mają znakomitą intuicję
co do wczesnego wykrywania zagrożeń związanych na przykład z upadkiem morale
7
współpracowników – i szybko
przewidziane przez metodykę.
podejmują
standardowe
działania
kompensacyjne,
Mają własne, stale doskonalone listy czynników ryzyk – typowych dla danej klasy projektów,
co pozwala im w sposób systematyczny dokonywać przeglądów całej przestrzeni zagrożeń.
I przede wszystkich ciągle się uczą – wierzcie mi, niewiele rzeczy jest dla mnie tak
przyjemnych, jak prowadzenie dla nich zaawansowanych warsztatów i seminariów, gdzie
często poruszamy się w obszarach po których jeszcze nikt nie dotknął myślą.
Dołączysz?
8