در این مطلب سعی کردم یک خلاصه خیلی کلی از حوزه دانش مدیریت ریسک پروژه ارائه بدم. بنابراین اگر به مبحث مدیریت ریسک علاقه دارید اما حوصله یا وقت خواندن کتابهای سنگین مدیریت ریسک پروژه یا متن سخت راهنمای PMBOK را ندارید، مطلب زیر میتواند یک آشنایی کلی برای شما در زمینه مدیریت ریسک پروژه ایجاد کند.
تعریف ریسک:
ریسک یک رویداد احتمالی است که ممکن است رخ بدهد یا رخ ندهد. (An uncertain event)
ریسک اگر اتفاق بیافتد دیگه بهش نمیگیم ریسک.
ریسک اگر اتفاق بیافتد روی یکی از اهداف پروژه ما اثر میگذارد.
اگر ریسک بعد از اتفاق روی یکی از اهداف پروژه ما اثر نگذارد، ریسک هست اما ریسک پروژه ما نیست.
مثلن ریسک انفجار یک مخزن کروی یک پتروشیمی در هنگام بهره برداری ریسک هست اما ریسک پروژه ساخت اون مجتمع پتروشیمی نیست و جزو ریسکهای دوره بهرهبرداری هست.
اما نکته مهم اینه که بدونید ریسک در صورت رخ دادن حتمن باید روی یکی یا چند تا از اهداف پروژه ما اثر بذاره.
ریسک مترادف با عدم قطعیت یا همون Uncertainly نیست. هر جا که Uncertainly وجود داره امکان وقوع یک ریسک هم وجود دارد. به عبارتی عدم قطعیت ممکن است دلیل ایجاد یک ریسک باشد و نه خود ریسک.
مشکل در تفاوت دو مفهوم “عدم قعطیت” و “ریسک” است. این دو با هم فرق دارند. تعریف معروفی است که میگوید: “ریسک یعنی این که احتمالات معلوماند. عدم قطعیت یعنی احتمالات نامعلوماند”
ریسک، عدم قطعیتی است که امکان اندازه گیری آن وجود دارد.
عدم قطعیت، مقوله ای غیر قابل اندازه گیری است.
دکارت متعقد است که هیچ قطعیتی در جهان وجود ندارد. یعنی تنها موضوع قطعی این است که هیچ قطعیتی وجود ندارد. یک سری فلاسفه دیگر معتقدند فقط گذشته شامل قطعیت است و آینده کلن عدم قطعیت یا uncertainty است
حالا با تعاریف بالا که عدم قطعیت و ریسک با هم فرق دارند و فیلسوفان معتقدن تمام موضوعات جهان هستی دچار عدم قطعیت هستند یک مورد سوم هم اضافه کنید و آن این است که عدم قطعیت ها دلیل ایجاد ریسکها هستند.
قدیمها میگفتن ریسک ها دو دسته هستند:
- ریسک های تجاری Business Risk: که در صورت وقوع، یک عده خوشبخت میشن و یک عده هم بدبخت. (مثل گرون شدن قیمت دلار یا طلا)
- ریسکهای خالص یا Pure risk: که در صورت وقوع برای همه اثرات بدی داره مثل زلزله یا آتش سوزی جنگل
اثر ریسک:
۱- اثر مثبت Positive Risk, Opportunities
۲- اثر منفی Negative Risk, Threats
تهدید و فرصت مسائل مجزایی هستند و به هم تبدیل نمیشوند. تهدید به فرصت و فرصت به تهدید تبدیل نمیشود. (مثلن دیدید مسئولین میگن ما همه تهدیدها رو به فرصت تبدیل خواهیم کرد! از نظر PMBOK این کار غیرممکنه)
بیان حرفه ای ریسک:
Because of “one or more cause”, “risk” might occur, which would to “one or more effects”
به دلیل AAA ممکن است BBB که در آن صورتCCC.
هر ریسکی باید حتمن به شکل جمله بالا بیان بشه. در این جمله AAA همون علت وقوع ریسک هست، BBB خود ریسک و CCC نیز اثر ریسک.
AAA: Cause of Risk
BBB: Risk
CCC: Impact of risk
بنابراین ریسک با بیان دلیل و اثر بیان میشود. چون اگر ریسک را با این ادبیات بیان نکنید، ممکن است Cause و Effect را با خود ریسک اشتباه بگیریم.
مهمترین کار ما در مدیریت ریسک این است که کاری کنیم تهدیدها اتفاق نیافتند و کاری کنیم که فرصتها اتفاق بیافتند.
چهارفاکتوری که همراه ریسک شناسایی میشوند:
۱- Probability احتمال وقوع ریسک
۲- Impact میزان اثر ریسک
۳- When زمان احتمالی وقوع ریسک
۴- How often چند بار ممکن است ریسک در پروژه تکرار شود.
فاکتورهای اول و دوم مهم تر هستند، چون برای اولویتبندی ریسک از آنها استفاده میشود.
گام های مدیریت ریسک:
Step1: Plan Risk Management
Step2: Identify Risks
Step3: Perform Qualitative Risk Analysis
Step4: Perform Quantitative Risk Analysis
Step5: Plan Risk Responses
Step6: Implement Risk Responses
Step7: Monitor Risks
این گامها رو میتونید در شکل های پایین ببینید:
گام اول: Plan Risk Management
قراره تصمیم بگیریم چه جوری و با چه عمقی مدیریت ریسک را در پروژه پیاده کنیم. به عبارتی به قول PMBOK میخواهیم فرآیند مدیریت ریسک رو Tailoring کنیم. یعنی لباسی به اندازه پروژه خودمون برای مدیریت ریسک بدوزیم.
در این فرایند ما روش انجام مدیریت ریسک در پروژه یا همون متدولوژی خودمون رو انتخاب و تعریف میکنیم، مسئولیت ها و نقش های افراد رو در این پیادهسازی مشخص میکنیم، بودجه و زمانی که میخواهیم صرف مدیریت ریسک کنیم رو تعیین و برآورد میکنیم و نوع دستهبندی ریسکها رو انتخاب میکنیم و در پروژه بررسی میکنیم که ذینفعان کلیدی پروژه چقدر روی زمان و هزینه و کیفیت و محدوده حساسیت و تلرانس دارند. (مثلن اگر متوجه شدید ذینفع اصلی و کلیدی پروژه تلرانس کمی روی زمان و هزینه براش قابل قبوله، این فرد یک فرد ریسک گریز هست)
خروجی گام اول: Risk Management Plan
اولین فرآیند مدیریت ریسک: Plan Risk Management
Inputs: PMP/charter/ st register/EEF/OPA
T & T: Analytical techniques/ expert judgment/meeting
Outputs: risk MP
ملحقات و اجزای جدول RISK MP:
RISK CATEGORIES:
از ساختار شکست ریسک در فرایند شناسایی ریسکها استفاده میکنیم.
RBS: Risk breakdown structure
نکته مهم: در RBS ما ریسک نداریم. RBS در شناسایی ریسک ها به ما کمک می کند.
در شکل زیر یک نمونه دسته بندی ریسک رو میتونید ببینید:
RISK MP: definition of impact scale
یک ریسک ممکن است چند تا اثر در پروژه داشته باشد. پس برای هر یکی از محدودیت های STCQ یک اثر ریسک را تعریف میکنیم. از این تعریف در فرایند ارزیابی کیفی ریسک استفاده میکنیم.
این یک خط کش جهت ارزیابی کیفی احتمال و اثر ریسک است.
در شکل زیر می توانید یک نمونه از تعریف احتمال و اثر رو ببینید:
RISK MP: Probability and impact risk
این یک الک است که ما جهت اولویتبندی در فرایند سوم یعنی ارزیابی کیفی احتمال و اثر ریسک ها از آن استفاده میکنیم.
ماتریس احتمال و اثر سه ناحیه دارد: قرمز، زرد، سبز
سوال: محدوده قرمز و زرد و سبز این ماتریس چگونه تعیین می شود؟
بر اساس میزان ریسک گریزی و ریسک پذیری ذینفعان، این محدودهها تعیین میشود.
اگر محدوده قرمز بزرگ بود> ریسک گریز
اگر محدوده قرمز کوچک بود> ریسک پذیر
در شکل زیر می توانید یک نمونه ماتریس احتمال و اثر رو ببینید:
گام دوم: Identify Risks
با ابزارهای مختلف ریسکهای پروژه را شناسایی می کنیم. مثلن ۱۰۰ ریسک یا ۱۰۰۰ هزار ریسک شناسایی میکنیم.
خروجی گام دوم: Risk register
فرآیند دوم: Identify Risk
Input: all MP/all documents/EEF/ OPA
T&T: doc review/ information gathering techniques/assumption analysis/diagramming techniques/SWOT/Expert judgment
Outputs: Risk Register
فرایند شناسایی ریسکها و مستندسازی ویژگیها:
ویژگی ها: cause & effect
نکات:
شناسایی ریسک وظیفه همه در پروژه است.
در شناسایی ریسک، ریسک با کیفیت معنی ندارد. هرچه بیشتر ریسک شناسایی کنیم بهتر است.
از اول تا آخر پروژه باید فرایند شناسایی ریسک انجام شود.
نادیده گرفتن ریسک، ریسک را از بین نمی برد.
در بحث شناسایی ریسک سه نوع نگاه داریم:
۱- Past نگاه به گذشته
۲- Present نگاه به حال
۳- Future نگاه به آینده
در شناسایی ریسک هر سه نگاه بالا را باید داشته باشیم.
گام سوم و چهارم: Perform Qualitative Risk Analysisو Perform Quantitative Risk Analysis
از آنجایی که ارزیابی کیفی ریسک توسط افراد خبره انجام میشود، ارزیابی کیفی دقیقتر است و استاندارد گام سوم را ابزار اولویت بندی معرفی میکند.
علی رغم تبلیغات شرکتهای سازنده نرم افزارهای مدیریت ریسک و نرم افزارهای کمی سازی، PMBOK گام چهارم یعنی ارزیابی کمی ریسک را اختیاری میداند و در غالب پروژه ها نیازی به انجام گام چهارم نیست.
گام سوم: Perform Qualitative Risk Analysis
Inputs: risk MP/scope baseline/risk register/EEFS/ OPA
T&T: RISK PROBABILITY & IMPACT ASSESSMENT/ PROBABILITY & IMPACT MATRIX/ RISK DATA QUALITY ASSESSMENT/RISK CATEGORIZATION/RISK URGENCT ASSESSMENT/EXPERT JUDGMENT
OUTPUTS: risk register updates
قدمهای گاوم سوم:
۳-۱: ارزیابی کیفی احتمال و اثر
۳-۲: اولویت بندی
۳-۳: ارزیابی فوریت ریسک
در گام سوم ریسک هایی که اولویتشان بالاست مشخص می شود.
ریسک ها با اولویت بالا: top risk
ریسک ها با اولویت پایین: low risk
تاپ ریسک ها یا برای تجزیه و تحلیل بیشتر به گام چهارم می روند یا مستقیم به گام پنجم می روند.
ریسکها با اولویت پایین به watch listمی روند، این ریسکها احتمال و اثرشون پایینه اما درادامه پروژه باید مراقبش باشیم.
گام پنجم: Plan Risk Responses
در اینجا ما برای مصیبتها یا خوشیهای آینده از قبل برنامهریزی میکنیم. یعنی پیشگیری رو زودتر از درمان انجام میدیم یا حداقل اگه نتونیم پیشگیری کنیم، برای زمان واقعه از الان به فکر راه چاره خواهیم بود. به عبارتی علاج واقعه رو قبل از وقوع میکنیم.
در این گام برای top risk ها چارهاندیشی میکنیم و راهکارهای مختلف مقابله با ریسک را استخراج میکنیم
اما استراتژیهای پاسخ به ریسک موارد پایین هستند:
استراتژیهای پاسخ به تهدیدها(ریسک های منفی):
Avoid / Eliminate
Transfer/Deflect/Allocate
Mitigate
Accept
Escalate
استراتژیهای پاسخ به فرصتها(ریسکهای منفی):
Exploit
Share/Partnership /Join Venture
Enhance
Accept
Escalate
گام ششم: Implement risk responses
این فرایند در ویرایش ششم PMBOK اضافه شده و در واقع یک فرایند جدید است. البته نه کاملن جدید، این فرایند در واقع قلب مدیریت ریسک پروژه است. در طول پروژه Risk Register و Risk Report به صورت مستمر مرور میشن، اطمینان حاصل میکنیم که همه از ریسکهای بالقوه آگاه هستند و برای پیادهسازی برنامههای پاسخ به ریسک آمادگی کافی رو دارند.
گام هفتم: Monitor risks
و در گام آخر ما دو کار عمده انجام میدیم.:
Risk Reassessment
Risk Audit
فراموش نکنید مدیریت ریسک در پروژه یک رویکرد پیشگیرانه است، یعنی تمام تلاشمون رو می کنیم تا قبل از وقوع ریسک برنامهریزیهای لازم رو انجام داده باشیم.
تمام اونچه که در بالا گفته شد یک خلاصه خیلی اجمالی و کلی از فرایندهای مدیریت ریسک در پروژه بود و شاید مطالب خیلی زیادی از قلم افتاده باشه، اما سعی کردم به صورت خلاصه و تیتروار کلیت موضوع رو برسونم، امیدوارم موفق بوده باشم.
خواهش میکنم بدون ذکر منبع (نام نویسنده، آدرس سایت و آدرس کانال تلگرام) کپی نکنید!
در همین ارتباط بخوانید:
با سلام
مثل همیشه مطالبی که منتشر میکنید بسیار عالی و با سبک نوشتاری که دارید مطمعنن جذاب تر هم هستن
خواهشی که داشتم اینه که تو بحث “مدیریت ریسک” از نمونه های عملیاتی شده و نتایج بدست آمده نیز مطالبی منتشر کنید. باشد که به این ترتیب “مدیریت ریسک” در پروژه های ایران روند عملیاتی شدن خود را با سرعت بیشتر بپیماید و مدیران پروژه ها در هر سطحی از اهمیت این موضوع مطلع تر باشند.
به امید روزی که مدیریت ریسک در ایران از کتابها، مقالات و کنفرانس ها با اون تعاریف عجیب و غریبش خارج بشه و به میدان عملیاتی پروژه ها و کارگاه ها وارد بشه.
باتشکر
ممنون از لطفتتون. حتمن سعی میکنم گزارش چند نمونه عملیاتی و نتایج به دست آمده از اجرای مدیریت ریسک رو در آینده منتشر کنم.
[…] […]
[…] […]
[…] […]
سلام
مطلب مفید بود و مختصرا بیام شده بود.
ضمن تشکر پیشنهاد می کنم در مورد عددی سازی ریسک (quantitative risk assess ) هم توضیحاتی ارایه نمایید
ممنونم
[…] […]
ممنونم واقعا مفید و کامل بود.
ممنون میشم مقاله مدیریت ریسک ما رو هم مطالعه بفرمایید.
https://behtime.ir/main/مدیریت-ریسک-پروژه