Niemal wszystkie opracowania przedstawiają zgodnie jednolitą strukturę ZR, na którą składają się cztery elementy:
1. IDENTYFIKACJA RYZYKA,
2. ILOŚCIOWA OCENA RYZYKA,
3. PLANOWANIE OBSŁUGI RYZYKA,
4. MONITOROWANIE I KIEROWANIE ZAGROŻENIAMI
Trzy pierwsze elementy dotyczą głównie aktywnego zarządzania ryzykiem, zaś element czwarty to z reguły działanie reaktywne. Podział ten nie jest jednak ścisły, ponieważ niektóre ryzyka można zidentyfikować dopiero w czasie realizacji projektu i jeśli nastąpi to dostatecznie wcześnie, to można podjąć działania aktywne – w przeciwnym razie pozostają jedynie działania reaktywne. Ważne jest natomiast to, że wymienione elementy ZR nie stanowią procedury jednorazowej, którą wystarczy wykonać na etapie planowania projektu.
ZARZĄDZANIE RYZYKIEM TRWA PRZEZ CAŁY CZAS REALIZACJI PROJEKTU!
IDENTYFIKACJA RYZYKA
Identyfikacja ryzyka polega na specyfikacji przyszłych zdarzeń, które mogą mieć negatywny wpływ na projekt oraz na udokumentowaniu każdego z nich. Nie jest to działanie jednorazowe i powinno być podejmowana w regularnych odstępach przez cały czas trwania projektu. Identyfikacja obejmuje wszystkie rodzaje ryzyka: zarówno wewnętrzne, jak i zewnętrzne, ryzyka właściwe, subiektywne i obiektywne.
Najczęściej stosowaną techniką identyfikacji ryzyka jest szczegółowa analiza kontraktu, harmonogramu i produktu końcowego. Stosuje się również z powodzeniem indywidualne rozmowy z bezpośrednimi wykonawcami zadań, dyskusje w gronie ekspertów, burze mózgów, itp. W niektórych firmach (IBM) wszyscy uczestnicy projektu są zobowiązani do pisemnego zgłaszania zagrożeń na każdym etapie realizacji projektu. Zgłoszenia te składane są na specjalnych formularzach do biura projektu i tam podlegają dalszym procedurom ZR. Inne firmy (np. ICL) stosują specjalne systemy RMS wewnętrznej, komputerowej wymiany informacji o ryzykach. Powstaje przy tym baza danych, która stanowi wartościowy zbiór informacji, jakie można wykorzystać w przyszłości. Stosowana jest też niekiedy forma anonimowego zgłaszania zagrożeń, co pozwala łatwiej obnażyć „wstydliwe” niekompetencje zespołu. Ocenia się, że w ten sposób zespół jest w stanie zgłosić do 50% potencjalnych zagrożeń. W niektórych przypadkach ryzyko może być identyfikowane z wykorzystaniem doświadczeń własnych i innych, dotyczących projektów już ukończonych, ale ze względu na niepowtarzalność projektów nie należy takich informacji przeceniać. Stosuje się także znane metody identyfikacji przyczyn: metoda diagramów fish-bone, analiza SWOT (z naciskiem na „W” i „T”) i inne.
W szczególności w wyniku identyfikacji ryzyka należy określić :
· Źródła ryzyka – kategorie możliwych sytuacji ryzyka (np. działania uczestników, niewłaściwe szacunki, zmiany w zespole), które mogą wpływać na projekt negatywnie lub pozytywnie. Lista źródeł powinna być kompletna (wyczerpująca), tzn. powinna obejmować wszystkie zidentyfikowane zdarzenia, niezależnie od częstotliwości, prawdopodobieństwa wystąpienia lub skali zagrożeń.
Najpowszechniejsze źródła ryzyka to: zmiany w założeniach lub zmiany wymagań i zakresu projektu, błędy wykonania, niezrozumienie lub pominięcie istotnych elementów projektu, źle zdefiniowane lub zrozumiane role i odpowiedzialność, złe oszacowania, niekompetencja lub brak doświadczenia zespołu, zależność od zdarzeń i zespołów zewnętrznych. Należy ponadto szczególnie dokładnie ocenić ryzyka dla sytuacji, gdzie stwierdza się ograniczoną liczbę zasobów i gdzie takie zasoby są w pełni obciążone, albo mogą stać się niedostępne. W grupie zadań o wysokim ryzyku są zwłaszcza te z wieloma poprzednikami (im więcej zależności ma zadanie, tym większe prawdopodobieństwo jego opóźnienia) oraz zadania z długimi czasami realizacji albo z dużą różnorodnością zasobów (prawdopodobieństwo nieścisłości oszacowania takich zadań jest z reguły dość duże).
· Objawy ryzyka – zespół wydarzeń lub faktów potwierdzających (niekoniecznie bezpośrednio) rzeczywiste zaistnienie danego ryzyka. Dobrze jest wskazać takie objawy, które pozwolą sygnalizować nadchodzące zagrożenie z wyprzedzeniem – zanim ono nastąpi, czyli tzw. objawów wyprzedzających, określanych po angielsku jako triggers = cyngle. „Cyngle” są wskaźnikami ujawniającymi, że dane zagrożenie już nastąpiło lub niedługo się wydarzy. Cyngle uruchamiają odpowiednie procedury, podobnie jak cyngiel broni uruchamia pocisk. Identyfikację cyngli ułatwia dyskusja z ludźmi, którzy są najbardziej odpowiedzialni za spowodowanie zagrożeń i z ludźmi którzy najbardziej je odczują. Należy przy tym określić osoby odpowiedzialne za monitorowanie ryzyk i śledzenie poziomu cyngli.
· Wejścia do innych procesów – procesy identyfikacji mogą określić potrzebę dalszych działań w innych obszarach. Ryzyko jest często wejściem do określania lub zmiany ograniczeń i założeń.
ILOŚCIOWA OCENA RYZYKA
Ilościowa ocena ryzyka polega na oszacowaniu prawdopodobieństwa wystąpienia danego ryzyka, zasięgu możliwych skutków, przewidywanego okresu wystąpienia lub częstotliwości w przypadku ryzyka cyklicznego. Najważniejsze są tu dwa pierwsze elementy, określające prawdopodobieństwo wystąpienia ryzyka (PR) oraz potencjalne skutki ryzyka (SR).
Umożliwia to następnie ilościowe oszacowanie tzw. rangi ryzyka (RR).
PRAWDOPODOBIEŃSTWO WYSTĄPIENIA RYZYKA (PR)
Znając probabilistyczny model, któremu podlega dane ryzyko można prowadzić klasyczną analizę prawdopodobieństwa, wykorzystującą teorię zmiennych losowych. Przydatne mogą być metody symulacyjne (np. Monte Carlo), metoda łańcuchów Markova oraz metoda Bayesa. Niektóre metody sieciowego planowania przedsięwzięć umożliwiają analizę harmonogramu projektu z uwzględnieniem niedeterministycznych oszacowań parametrów zadań (PERT) albo niedeterministycznej struktury sekwencji zadań (GERT). Wyniki takich analiz mogą być przydatne przy ilościowej ocenie prawdopodobieństwa realizacji złożonej struktury zadań. Oszacowanie prawdopodobieństwa ryzyka metodami analitycznymi nie jest jednak łatwe, ponieważ w większości przypadków dotyczy oceny przyszłych zdarzeń o charakterze jednorazowym, które nie mają precedensów i przez to trudno opisać je analitycznie. Tym niemniej konieczne jest oszacowanie tak dokładne, jakie jest dostępne w danej sytuacji. Przy braku ocen ilościowych, wyrażających prawdopodobieństwo liczbą [0; 1], dopuszcza się nawet ocenę typu: „małe, średnie, wysokie”. Przykład bardziej rozbudowanej oceny jakościowo-ilościowej oceny prawdopodobieństwa ryzyka podano w tablicy.
| Poziom | Hasłowy opis prawdopodobieństwa | Opis | Prawdopodobieństwo |
| 1 | Prawie niemożliwe | Zdarzenie może zaistnieć jedynie w wyjątkowych okolicznościach | poniżej 0,01 |
| 2 | Mało prawdopodobne | Istnieje małe prawdopodobieństwo zaistnienia tego zdarzenia | 0,01 – 0,1 |
| 3 | Umiarkowanie możliwe (średnie) | Wydarzenie jest średnio możliwe. W niektórych przypadkach zdarzenie takie może zaistnieć | 0,1 – 0,2 |
| 4 | Prawdopodobne | Wydarzenie jest bardzo prawdopodobne | 0,2 – 0,5 |
| 5 | Prawie pewne | Oczekuje się, iż zdarzenie takie nastąpi | ponad 0,5 |
Przykład jakościowo-ilościowej oceny prawdopodobieństwa ryzyka
Literatura: „Project Managemant Body of Knowledge” – Opracowanie Project Management Institute, Standard Committee, 1996