1- عبارت ریسک بر اساس استاندارد مدیریت پروژه PMBOK ویرایش ششم موسسه PMI، در زبان فارسی بار معنایی منفی دارد، در حالی که در ادبیات مدیریت پروژه به معنای اتفاقاتی غیر قطعی در آینده است که می توانند یک فرصت (Opportunity) یا تهدید (Threat) برای پروژه باشد.
اگر بنا باشد فرصت ها و تهدیدها به حال خود گذاشته شوند، بسیاری از مشکلات که می شد با هزینه یا توجه مختصر از بین بروند گریبان گیرمان خواهند شد و فرصت های با ارزشی که می توانستند تبدیل به منفعت شوند از بین خواهند رفت. به همین خاطر باید اقداماتی برای جذب و دفع آن ها انجام داد. این مجموعه اقدامات مدیریت ریسک را تشکیل می دهند.
2-مدیریت ریسک امری اجتناب ناپذیر است. حتی در پروژه هایی که سازمان یافته مدیریت نمی شوند نیز مدیریت ریسک به شکل غیر سیستماتیک و شهودی انجام می شود .آنچه اهمیت دارد این است که با سیستماتیک کردن مدیریت ریسک، بیشترین نتایج مثبت از پیاده سازی مدیریت ریسک، حاصل شود.
3- طبق استاندارد مدیریت پروژه PMBOK در این حوزه باید ابتدا شیوه مدیریت ریسک را تعیین کرد. پس از آن باید ریسک ها را شناسایی کرد و پس از تحلیل، ریسک هایی که مهم تر هستند را انتخاب کرد. در ادامه مشخص می شود که برای تحت کنترل داشتن ریسک های مهم چه کارهایی باید انجام داد و نتایج این بخش معمولا در برنامه های دیگر مانند زمان و هزینه لحاظ می شوند. در پایان باید نتایج این اقدام ها را سنجید تا در صورت بروز انحراف در قالب درخواست های تغییر اصلاح شوند.
4- استاندارد PMBOK مدیریت ریسک را نیز با برنامه ریزی مدیریتی آغاز می کند. برنامه مدیریت ریسک مانند تمام برنامه های مدیریتی دیگر، مشخص می کند که اقدامات این حوزه به چه ترتیبی انجام خواهند شد. علاوه بر روش شناسی، باید نقش ها و مسئولیت های مرتبط با ریسک و پارامترهایی که در آینده برای شناسایی و تحلیل ریسک به کار خواهند رفت را مشخص کرد. پس از فرآیند برنامه ریزی مدیریت ریسک (Plan Risk Management)، باید ریسک ها را در زمان های مناسب و با ابزار مناسب شناسایی کرد و یک راه برای بهبود آن مرحله، این است که ساختاری سلسله مراتبی برای ریسک ها در نظر گرفت. این مجموعه را ساختار شکست ریسک (RBS: Risk Breakdown Structure) می نامند. با انجام این کار، احتمال جا افتادن ریسک ها کاهش یافته و کنترل کردن آن ها نیز ساده تر خواهد کرد. اگر قرار است از ساختار شکست ریسک استفاده شود، باید در زمان برنامه ریزی تدوین گردد. البته واضح است که در مرحله شناسایی ممکن است اصلاحاتی برای ساختار شکست ریسک پیشنهاد شود.
شکل ۱: مراحل مدیریت ریسک
در مراحل بعد باید میزان تاثیر و احتمال وقوع ریسک ها را هم تعیین کرد. این دو پارامتر با مقادیری کمی یا کیفی مشخص می شوند و این مقادیر را نیز باید در مرحله برنامه ریزی تعریف کرد. به عنوان مثال اگر قصد داریم احتمال وقوع را با عبارت هایی مانند کم، متوسط و زیاد مشخص کنیم، در مرحله برنامه ریزی باید این سه عبارت را به وضوح و به شیوه ای موثر تعریف کنیم تا در آینده که قصد داریم از آن ها استفاده کنیم دچار مشکل نشویم.
5- در روش مدیریت ریسک پس از این که مرحله برنامه ریزی مشخص شد، می توان باقیمانده اقدامات حوزه مدیریت ریسک را براساس استاندارد PMBOK با فرآیند شناسایی ریسک ها (Identify Risk) آغاز کرد. در این فرآیند باید تمام اتفاقات غیرقطعی که ممکن است در آینده بیفتند و در صورت وقوع تاثیری مثبت یا منفی بر پروژه می گذارند را مشخص کرد. باید تمام ذی نفعان را در شناسایی ریسک ها مشارکت داد. بسیاری از ریسک ها پس از برنامه ریزی اولیه و در خلال کار کشف می شوند و به همین خاطر باید این فرآیند را به اقتضای شرایط دوباره اجرا کرد.
باید ریسک ها را همراه با توضیحات و مشخصاتشان در سندی که لیست ریسک ها (Risk Register) نامیده می شود ثبت کرد باید احتمال وقوع و میزان تاثیر ریسک ها را نیز در همین سند وارد کرد. معمولا بهتر است که میزان تاثیر ریسک ها را به تفکیک محدودیت هایی مانند زمان، هزینه و کیفیت سنجید.
6- پس از شناسایی ریسک ها طبق استاندارد PMBOK باید آن ها را از دو بعد کمی و کیفی تحلیل کرد. در فرآیند تحلیل کیفی ریسک ها (Perform Qualitative Risk Analysis) ، هدف انتخاب ریسک های مهم برای برنامه ریزی واکنش به ریسک است.
معمولا تعداد ریسک هایی که شناسایی می شوند بسیار زیاد هستند به همین دلیل فقط ریسک هایی که مهم تر هستند، انتخاب می شوند و فقط برنامه واکنش به این ریسک ها طراحی می شود.
معیار تعیین اهمیت ریسک ها، ترکیبی از احتمال وقوع و میزان تاثیر است .می توان حاصل ضربی وزنی از این دو معیار را مبنای تعیین اهمیت قرار داد و ریسک هایی که اهمیتشان از حدی بیشتر بود را به فرآیند برنامه ریزی واکنش به ریسک فرستاد. اما در تحلیل کمی نوع پیشرفته تری از تحلیل ریسک است که نیاز به انرژی، هزینه و زمان بیشتری دارد و به همین خاطر انجام آن الزامی نیست. اگر فرآیند تحلیل کمی ریسک (Perform Quantitative- Risk Analysis) نیز در برنامه مدیریت ریسک انتخاب شده باشد، باید ریسک های مهمی که در تحلیل کیفی انتخاب شده اند را به شیوه عددی تحلیل کرد و میزان تاثیر ترکیبی آن ها را در زمان، هزینه و سایر پارامترهای پروژه پیش از اعمال برنامه های واکنش به ریسک ها و پس از اعمال آن ها به دست آورد.
بعد از این فرآیند برنامه ریزی واکنش به ریسک انجام می شود. وضعیت ریسک ها بعد از برنامه ریزی واکنش به ریسک ها تغییر می کند و در آن زمان باید دوباره تحلیل کمی را انجام داد تا مشخص شود که واکنش های برنامه ریزی شده چه تاثیری بر کل پروژه می گذارند و به عبارت دیگر برنامه ریزی ها تا چه حد موثر بوده اند. تحلیل کمی با روش های مختفلی مانند تحلیل مونت کارلو و در نرم افزارهای مناسبی مانند پرت مستر (Pert Master) انجام می شود.
7- پس از این که ریسک های مهم با تحلیل کمی و کیفی مشخص شدند، بر اساس استاندارد PMBOK باید آن ها را طی فرآیند برنامه ریزی واکنش به ریسک ها (Risk Management Plan) برنامه ریزی کرد. اکنون که می دانیم اتفاقی ممکن است در آینده بیفتد و در صورت وقوع تاثیر قابل توجهی بر پروژه می گذارد، از هم اکنون قصد داریم چه کاری در قبال آن انجام دهیم؟ پاسخ به این سوال برنامه واکنش به ریسک را مشخص می کند.
نکته مهمی که در آخر باقی می ماند، این است که هر کار باید مسئولی داشته باشد. همانطور که باید مسئول هرکدام از فعالیت های پروژه مشخص باشد، باید مسئول هرکدام از ریسک ها نیز تعیین شود. این فرد باید پیاده سازی برنامه واکنش به ریسک و سایر اقدامات مربوط به آن ریسک را پیگیری کند.