مدیریت ریسک؛ چگونه ریسـک‌ها را در پـروژه مدیریــت کنیم؟

 مدیریت ریسک پروژه فرآیندی نظام‌مند برای شناسایی، تحلیل (ارزیابی ریسک) و پاسخ به رویدادهای نامطمئن یا فرصت‌هایی است که می‌توانند بر اهداف پروژه تأثیر بگذارند. اهمیت مدیریت ریسک در تضمین موفقیت پروژه بسیار بالاست؛ شواهد نشان می‌دهد که مدیریت مؤثر ریسک «مهم‌ترین ابزار مدیریتی» برای افزایش احتمال موفقیت پروژه است. در واقع با پیش‌بینی ریسک‌ها و تدوین برنامه پاسخ، از تأخیرات هزینه‌بر و مشکلات پیش‌بینی نشده جلوگیری می‌شود. بر اساس استاندارد PMBOK (نسخه ۶)، خروجی مراحل برنامه‌ریزی مدیریت ریسک شامل دسته‌بندی ریسک‌ها (از جمله ساختار شکست ریسک) و تعریف ماتریس احتمال-اثر می‌شود. استفاده از ابزارهای مدیریت ریسک مانند ماتریس احتمال-اثر و Risk Register، همراه با تکنیک‌های ساختارمند و بروزرسانی دائمی آن‌ها جهت هدایت پروژه به سوی موفقیت ضروری است.

درک مفهوم ریسک در محدوده پروژه

در پروژه‌ها، ریسک به هر رویداد یا وضعیتی گفته می‌شود که وقوع یا عدم وقوع آن قطعی نیست، اما در صورت وقوع، می‌تواند بر اهداف پروژه اثرگذار باشد؛ این اثر می‌تواند منفی، مثبت یا حتی ترکیبی از هر دو باشد. به زبان ساده، ریسک همان چیزی است که «ممکن است پیش بیاید» و پروژه را از مسیر پیش‌بینی‌شده خارج کند—چه به سمت بهتر، چه به سمت بدتر.

ریسک‌ها به صورت کلی به دو دسته تقسیم می‌شوند:

ریسک‌های منفی (تهدید): عواملی که در صورت وقوع، مانع تحقق اهداف پروژه می‌شوند یا باعث افزایش هزینه، تأخیر در زمان، کاهش کیفیت یا نارضایتی ذی‌نفعان خواهند شد. برای مثال، در پروژه ساخت یک پل، احتمال خراب شدن دستگاه حفاری در مراحل ابتدایی، یک ریسک منفی است که می‌تواند روند پروژه را مختل کند.

ریسک‌های مثبت (فرصت): عواملی که اگر به‌درستی مدیریت شوند، می‌توانند به نفع پروژه تمام شوند؛ مانند کاهش هزینه‌ها، بهبود عملکرد یا تسریع زمان اجرا. مثلاً اگر در یک پروژه نرم‌افزاری، تیم توسعه با یک کتابخانه متن‌باز آشنا شود که زمان برنامه‌نویسی را ۳۰ درصد کاهش می‌دهد، این یک ریسک مثبت است که باید برای بهره‌برداری از آن برنامه داشت.

از منظر میزان آگاهی نسبت به ریسک، آن‌ها به دو دسته دیگر نیز تقسیم می‌شوند:

• ریسک‌های شناخته‌شده (Known Risks) : مواردی که از وجود آن‌ها آگاه هستیم و می‌توانیم برایشان برنامه‌ریزی کنیم، مانند تأخیر در تحویل مواد اولیه از سوی تأمین‌کننده.
• ریسک‌های ناشناخته (Unknown Risks) : عواملی که از قبل قابل پیش‌بینی نیستند و تنها در صورت بروز مشخص می‌شوند، مثل بروز یک بحران جهانی یا تغییر ناگهانی در سیاست‌های دولت.

برای ریسک‌های شناخته‌شده، معمولاً از ابزارهایی مانند تحلیل احتمال و اثر، ماتریس ریسک، و ذخیره احتیاطی استفاده می‌شود. برای ریسک‌های ناشناخته، وجود «ذخایر مدیریتیManagement  Reserve برنامه‌ریزی پروژه ضروری است تا در صورت بروز شرایط پیش‌بینی‌نشده، پروژه دچار وقفه جدی نشود.

در نهایت، مدیریت ریسک نه به‌معنای حذف خطرات، بلکه به معنای آمادگی برای مواجهه هوشمندانه با آن‌هاست.

فرآیندهای مدیریت ریسک در PMBOK 6

راهنمای PMBOK6 شش فرآیند اصلی برای مدیریت ریسک پروژه تعریف می‌کند. این مراحل پیوسته و تکرارشونده‌اند و در طول چرخه حیات پروژه تکرار می‌شوند. به‌طور خلاصه این شش فرآیند عبارتند از:

برنامه‌ریزی مدیریت ریسک (Plan Risk Management)

تعیین سیاست‌ها و روش‌های مدیریت ریسک؛ در این مرحله چارچوب کلی مدیریت ریسک (شامل سطح پذیرش ریسک، نقش‌ها و مسئولیت‌ها و منابع مورد نیاز) تدوین می‌شود. مثلاً در یک پروژه ساختمان‌سازی، تیم پروژه در این مرحله تمپلیت‌ها و دسته‌بندی‌های ریسک (غیرمترقبه فنی، مالی، محیطی و…) را مشخص می‌کند.

شناسایی ریسک‌ها (Identify Risks)

جمع‌آوری لیست رویدادها یا شرایط احتمالی که در صورت وقوع، بر اهداف پروژه اثر می‌گذارند. برای این کار از ابزارهایی مانند جلسات بارش فکری، بررسی سوابق پروژه‌های مشابه و فهرست‌های کنترلی (چک‌لیست) استفاده می‌شود. به عنوان مثال، در پروژه ساخت یک پل ممکن است ریسک‌هایی مانند تأخیر در حمل مصالح یا تغییرات مقررات ساختمانی شناسایی شود و در یک پروژه نرم‌افزاری، ریسک‌هایی مثل تغییر نیازمندی یا ضعف امنیتی مطرح گردند. خروجی مهم این مرحله سند ثبت ریسک (Risk Register) است که شامل فهرست ریسک‌ها، توضیح آنها، بازه زمانی، مالک ریسک و اطلاعات اصلی دیگر است.

تحلیل کیفی ریسک‌ها (Perform Qualitative Risk Analysis)

ارزیابی اثر و احتمال هر ریسک با هدف اولویت‌بندی سریع ریسک‌ها. در این مرحله ریسک‌ها بر اساس ماتریس احتمال-اثر بررسی می‌شوند تا اولویت‌ها تعیین شوند. مثلاً اگر در پروژه ساختمانی تأخیر در تأمین بتن هم احتمال بالا و هم اثر زیادی داشته باشد، در رده اولویت بالاتر قرار می‌گیرد. ماتریس احتمال-اثر کمک می‌کند ریسک‌های با اولویت بالا به‌صورت گرافیکی مشخص شوند و تیم پروژه انرژی خود را روی مهم‌ترین آنها متمرکز کند.

تحلیل کمی ریسک‌ها (Perform Quantitative Risk Analysis)

تحلیل عددی و آماری ریسک‌های عمده برای برآورد اثر کلی آنها بر زمان یا هزینه پروژه. این تحلیل معمولاً برای چند ریسک مهم انجام می‌شود. مهم‌ترین روش‌ها شامل تحلیل حساسیت (مثل نمودار تَرَنِدو) و شبیه‌سازی مونت‌کارلو است. شبیه‌سازی مونت‌کارلو با تولید هزاران سناریوی احتمال‌دار، توزیع نتایج ممکن برای زمان‌بندی یا بودجه پروژه را پیش‌بینی می‌کند. به‌عنوان مثال، در یک پروژه IT ممکن است با اجرای شبیه‌سازی مونت‌کارلو روی مدت زمان تکمیل ماژول‌های کلیدی، احتمال تمام شدن پروژه در موعد مقرر برآورد شود.

برنامه‌ریزی پاسخ به ریسک‌ها (Plan Risk Responses)

انتخاب و تدوین استراتژی پاسخ به هر ریسک بر اساس اولویت. برای ریسک‌های منفی (تهدیدها) از استراتژی‌هایی مثل اجتناب (Avoid)، انتقال (Transfer)، کاهش (Mitigate) یا پذیرش (Accept) استفاده می‌شود؛ برای ریسک‌های مثبت (فرصت‌ها) استراتژی‌هایی مانند بهره‌برداری (Exploit)، اشتراک‌گذاری (Share) و تقویت (Enhance) در نظر گرفته می‌شود. مثلاً در پروژه ساختمانی برای ریسک سیل‌خیزی ممکن است مسیر اجرای کار تغییر کند یا بیمه عمر کارگران خریداری شود، و در پروژه نرم‌افزاری برای ریسک از دست دادن نیروی کلیدی، برنامه مستندسازی دانش تیم تدوین گردد.

مراقبت و کنترل ریسک‌ها (Monitor and Control Risks)

پیگیری وضعیت ریسک‌ها در طول اجرای پروژه، بازنگری مداوم ریسک‌ها و اعمال پاسخ‌های برنامه‌ریزی‌شده. در فواصل منظم (مثلاً هفتگی یا ماهانه) وضعیت پروژه مرور و ریسک‌های جدید شناسایی می‌شوند. مستندات ریسک (مانند ثبت‌نام ریسک‌ها و فهرست تحت نظر) به‌روزرسانی و اولویت‌بندی مجدد می‌گردد. این چرخه تکراری تضمین می‌کند که تیم پروژه همواره در جریان تغییرات احتمالی قرار داشته باشد و واکنش سریع به ریسک‌ها امکان‌پذیر باشد.

اصول مدیریت ریسک در PMBOK 7

استاندارد PMBOK نسخه ۷ از رویکردی مبتنی بر اصول (Principles) استفاده می‌کند و حوزه عملکرد «عدم قطعیت (Uncertainty)» را به مدیریت ریسک اختصاص داده است. در PMBOK7، اصول مرتبط با ریسک تأکید دارند که تیم پروژه باید همواره فرصت‌ها را افزایش و تهدیدها را کاهش دهد، نسبت به دیدگاه‌های مختلف ریسک (مانند تحمل ریسک و آستانه پذیرش) آگاه باشد و مدیریت ریسک را به‌صورت مستمر در تمام مراحل انجام دهد. دامنه عملکرد «عدم قطعیت» نیز به عواملی مثل ناپایداری، ابهام و پیچیدگی محیط پروژه پرداخته و پیشنهادهایی مانند جمع‌آوری اطلاعات، طراحی جایگزین (Set-based Design) و تقویت تاب‌آوری تیم را ارائه می‌دهد. به‌طور خلاصه، PMBOK7 ریسک را در گستره‌ای از عدم قطعیت‌های پیرامون پروژه می‌بیند و تاکید می‌کند که پاسخ‌های ریسک باید همزمان باعث بهره‌برداری از فرصت‌ها و کاهش تهدیدها گردد.

تکنیک‌های کلیدی مدیریت ریسک

از جمله تکنیک‌های رایج در مدیریت ریسک پروژه می‌توان به موارد زیر اشاره کرد:

شناسایی ریسک‌ها

استفاده از تکنیک‌هایی مانند جلسات بارش فکری، کارگاه‌های سناریوپردازی، بررسی سوابق و چک‌لیست‌ها برای کشف ریسک‌های احتمالی. برای مثال در صنعت ساختمان با بررسی سابقه، ریسک‌های مربوط به تغییر ناگهانی قیمت مصالح یا مشکلات آب‌وخاک شناسایی می‌شود، و در پروژه‌های IT، ریسک‌هایی مانند فقدان نیروی متخصص یا تغییر سریع تکنولوژی مدنظر قرار می‌گیرند. ثبت این ریسک‌ها و ترکیب نظرات ذینفعان در «سند ثبت ریسک» به تکمیل فهرست ریسک‌ها کمک می‌کند.

ماتریس احتمال-اثر (probability and impact matrix)

این ماتریس یک ابزار گرافیکی است که احتمال وقوع هر ریسک را در برابر شدت تاثیر آن (در زمان یا هزینه) رسم می‌کند. با رده‌بندی ریسک‌ها در این ماتریس، ریسک‌های دارای احتمال و تاثیر بالا در اولویت قرار می‌گیرند. به‌عنوان مثال، اگر در یک پروژه ساخت‌وساز «تأخیر در دریافت مجوز شهرداری» هم احتمال زیادی داشته باشد و هم تأثیر زیادی روی زمان پروژه بگذارد، در خانه با رنگ قرمز (ریسک بحرانی) قرار می‌گیرد. ماتریس احتمال-اثر به تیم پروژه دید شفافی می‌دهد تا منابع خود را اولویت‌بندی‌شده روی مهم‌ترین ریسک‌ها متمرکز کند.

ساختار شکست ریسک (RBS)

ساختار شکست ریسک (Risk Breakdown Structure) یک نمایش سلسله‌مراتبی از ریسک‌های شناسایی‌شده است که آنها را در طبقه‌بندی‌های مختلف گروه‌بندی می‌کند. این ساختار، مشابه ساختار شکست کار (WBS)، کمک می‌کند حوزه‌های اصلی ریسک پروژه (مثل ریسک‌های فناوری، سازمانی، محیطی و انسانی) به‌خوبی مشخص و دسته‌بندی شوند. برای مثال، در پروژه ساختمانی ممکن است ریسک‌ها در دسته‌های «هوایی-محیطی»، «فناوری ساخت»، «تأمین مواد» و… سازماندهی شوند، و در یک پروژه IT دسته‌هایی مانند «معماری نرم‌افزار»، «تیم پروژه» و «وابستگی‌های خارجی» تعریف گردند. ساختار شکست ریسک امکان می‌دهد تمرکز تیم بر شناسایی و تحلیل ریسک‌های هر دسته بصورت منظم باشد.

شبیه‌سازی مونت‌کارلو (Monte Carlo method)

یک تکنیک کمی پیشرفته که با استفاده از نمونه‌گیری تصادفی و اجرای سناریوهای متعدد، توزیع احتمال نتایج پروژه را شبیه‌سازی می‌کند. به کمک این روش، می‌توان تخمین زد که مثلاً پروژه در چه درصدی از سناریوها در موعد مقرر تمام می‌شود یا چقدر اضافه‌بودجه ممکن است نیاز باشد. نرم‌افزارهایی مانند @RISK و Crystal Ball به صورت گسترده برای این کار استفاده می‌شوند. برای مثال در پروژه ساخت پل، شبیه‌سازی مونت‌کارلو روی مدت زمان فعالیت‌های کلیدی اجرا و احتمال تأخیر پروژه به‌دست می‌آید.

پاسخ به ریسک‌ها (Risk Responses)

تدوین برنامه پاسخ برای هر ریسک اولویت‌دار. برای تهدیدها، استراتژی‌هایی مانند اجتناب، انتقال (مثلاً بیمه کردن ریسک) و کاهش (نظیر استفاده از نیروی فنی بیشتر) و پذیرش (نگهداری بودجه ذخیره) بکار می‌رود. برای فرصت‌ها نیز استراتژی‌هایی نظیر بهره‌برداری (سرمایه‌گذاری بیشتر برای توسعه فرصت)، اشتراک‌گذاری (شراکت) و تقویت (افزایش احتمال وقوع فرصت) پیشنهاد می‌شود. خروجی این مرحله تکمیل «طرح مدیریت ریسک» و به‌روزرسانی دفتر ثبت ریسک با برنامه‌های پاسخ است.

ثبت ریسک (Risk Register)

نگهداری سوابق ریسک‌ها در قالب جداول یا فرم‌های مشخص. این ثبت شامل اطلاعات کلیدی هر ریسک است: شناسه، توضیح ریسک، مالک، احتمال، تأثیر، پاسخ پیشنهادی و وضعیت اجرای پاسخ. برای مثال، یک سطر در ثبت‌نام ریسک می‌تواند به ریسکی درباره تأخیر حمل و نقل مصالح اختصاص یابد که در آن «احتمال وقوع بالا، تأثیر بالا (افزایش ۳۰ روز بر زمان پروژه)، استراتژی پاسخ: برآورد منابع جایگزین» نگهداری می‌شود. داشتن یک ثبت‌نام ساخت‌یافته، به‌روزرسانی مداوم و شفافیت بین اعضای تیم کمک می‌کند.

ذخیره احتیاطی (Contingency Reserve)

ذخیره احتیاطی به منابع مالی، زمانی یا فنی اطلاق می‌شود که برای مدیریت ریسک‌های شناخته‌شده (Known Risks) کنار گذاشته می‌شود. هدف این تکنیک، افزایش آمادگی پروژه در برابر اختلالاتی است که پیش‌بینی شده ولی احتمال وقوع آن‌ها قطعی نیست.

به‌عنوان مثال، در یک پروژه ساختمانی ممکن است احتمال تأخیر در حمل برخی تجهیزات سنگین به دلیل شرایط جوی وجود داشته باشد. در این حالت، مدیر پروژه می‌تواند یک ذخیره زمانی (مثلاً ۵ روز اضافی در برنامه زمان‌بندی) در نظر بگیرد. در پروژه‌های فناوری اطلاعات نیز معمول است که ۱۰ تا ۱۵ درصد از بودجه فعالیت‌های توسعه به‌عنوان ذخیره احتیاطی برای رفع اشکالات احتمالی در فاز تست در نظر گرفته شود. این تکنیک هم در برنامه‌ریزی پاسخ به ریسک کاربرد دارد و هم در کنترل پروژه، زیرا استفاده یا عدم استفاده از آن باید مستند، موجه و قابل اندازه‌گیری باشد. ذخیره احتیاطی باید بر اساس تحلیل کیفی و کمی ریسک‌ها محاسبه شود و نباید با ذخایر مدیریت (Management Reserve) اشتباه گرفته شود که برای رویدادهای کاملاً ناشناخته (Unknown Risks) استفاده می‌شود.

تحلیل درخت تصمیم (Decision Tree Analysis)

درخت تصمیم یکی از ابزارهای کاربردی برای تحلیل ریسک‌هایی است که به تصمیم‌گیری‌های پیچیده منجر می‌شوند، به‌ویژه زمانی که هر انتخاب ممکن است نتایج متفاوتی با احتمال وقوع گوناگون داشته باشد. این تکنیک به مدیر پروژه کمک می‌کند با ترسیم گزینه‌ها و پیامدهای هر یک، تصمیم بهینه را از نظر مالی یا زمانی انتخاب کند. در این روش، ابتدا تصمیم اصلی به شکل یک گره (Node) رسم می‌شود، سپس شاخه‌هایی به سمت انتخاب‌های ممکن کشیده می‌شود. در ادامه، برای هر شاخه، حالت‌های مختلف (مثلاً موفقیت یا شکست) با احتمال وقوع و ارزش مالی (یا زمانی) مربوط مشخص می‌شود. در نهایت، با استفاده از فرمول «ارزش مورد انتظار» (Expected Monetary Value – EMV)، بهترین مسیر تصمیم انتخاب می‌شود.

به علاوه، نرم‌افزارهای مدیریت پروژه و ریسک مانند @RISK، Primavera Risk و صفحات گسترده اکسل تخصصی به‌عنوان ابزارهای تکمیلی برای تحلیل کمی و مدیریت ماتریس ریسک‌ها مورد استفاده قرار می‌گیرند، که جمع‌آوری داده‌ها و محاسبات را تسهیل می‌کنند.

مدیریت ریسک در پروژه‌های چابک (Agile/Scrum)

در روش‌های چابک (اجایل)، مدیریت ریسک به‌صورت مستمر و همراه با پیشرفت پروژه انجام می‌شود. برخلاف مدل‌های سنتی که بخش عمده‌ای از مدیریت ریسک در مرحله برنامه‌ریزی اولیه است، در اجایل تمامی رویدادهای اسکرام فرصتی برای کشف و کنترل ریسک‌ها فراهم می‌کنند. به عنوان مثال:

• بک‌لاگ محصول: مالک محصول در الویت‌بندی داستان‌های کاربری، ریسک‌های احتمالی (مانند پیچیدگی نامعلوم یا وابستگی‌های خارجی) را لحاظ می‌کند و آیتم‌های بزرگ را به تعداد بیشتری داستان کوچک تقسیم می‌نماید.
• جلسه برنامه‌ریزی اسپرینت: تیم تنها کارهایی را قبول می‌کند که اطمینان دارد می‌تواند انجام دهد؛ این خود تأمل در توانایی‌ها و ریسک‌های مرتبط با کار را در پی دارد.
• جلسات روزانه (Daily Scrum) : تیم در جلسات روزانه مشکلات یا موانع جاری و ریسک‌های بالقوه را مطرح می‌کند تا اقدام به‌موقع امکان‌پذیر شود.
• بازنگری اسپرینت(Sprint Review): ارائه مداوم خروجی‌ها به ذینفعان، احتمال آشکار شدن نیازمندی‌های اشتباه یا خطرات فنی را کاهش می‌دهد. در این جلسات نیز فرصت شناسایی ریسک‌های جدید فراهم است.
• جلسات گذشته‌نگر (Sprint Retrospective) : تیم پیوسته از تجربیات خود درس می‌گیرد و نقاط ضعف شناسایی شده را اصلاح می‌کند که موجب کاهش ریسک‌های تکرارشونده می‌شود.

ابزارهایی مانند نمودار سوخت‌ریسک (Risk Burndown Chart) نیز در پروژه‌های اجایل رایج است. این نمودار میزان بودجه ذخیره ریسک (Contingency Reserve) باقی‌مانده را نسبت به ریسک‌های مانده نشان می‌دهد. به‌طور کلی روش‌های چابک با توجه به تکرار کوتاه و بازخورد سریع، امکان واکنش سریع به ریسک‌ها را فراهم کرده و انعطاف‌پذیری بیشتری برای تطبیق با شرایط جدید ایجاد می‌کنند.

مدیریت ریسک در پروژه‌های هیبرید

پروژه‌های هیبرید تلفیقی از رویکردهای سنتی و چابک هستند، بنابراین مدیریت ریسک در آن‌ها باید ترکیبی از دو روش را در بر گیرد. یکی از چالش‌های مهم در پروژه‌های هیبرید، «نحوه ادغام برنامه‌ریزی دقیق ریسک در ابتدای کار با فرآیندهای پویا و تکرارشونده اجایل» است. به عبارت دیگر، لازم است مراحل شناسایی و تحلیل ریسک اولیه (فرآیندهای سازمان‌یافته PMBOK) همراه با بررسی مداوم ریسک‌ها در طول چرخه‌های کوتاه تحویل (اسپرینت‌ها) اجرا گردد. مثلاً در پروژه‌ای که مرحله اول آن بصورت شش‌ماهه طراحی سنتی و مرحله دوم بصورت چابک پیش می‌رود، تیم می‌تواند ابتدا ماتریس احتمال-اثر و برنامه پاسخ را بر اساس نیازمندی اولیه تنظیم کند، سپس در هر اسپرینت به بازنگری و اصلاح برنامه ریسک بپردازد. به‌کارگیری بهترین شیوه‌های هر دو رویکرد، تضمین می‌کند که ریسک‌ها هم به صورت پیش‌گویانه و هم تعاملی مدیریت شوند.

جمع‌بندی

مدیریت ریسک مؤثر، اثر استراتژیک زیادی بر موفقیت پروژه‌ها دارد. با مدیریت منظم ریسک‌ها، قابلیت پیش‌بینی‌پذیری پروژه افزایش و از وقوع بحران‌های ناگهانی جلوگیری می‌شود. پروژه‌هایی که به شیوه‌ای سیستماتیک ریسک‌های خود را شناسایی و کنترل می‌کنند، در مقایسه با پروژه‌هایی که این گام را نادیده می‌گیرند، به‌طور قابل‌توجهی در تحقق اهداف زمان، هزینه و عملکرد، موفق‌تر عمل می‌نمایند. در نهایت، تخصیص منابع مناسب برای مدیریت ریسک و ترویج فرهنگ پاسخ به عدم قطعیت، یکی از عوامل کلیدی برای پیشی گرفتن سازمان‌ها در محیط‌های رقابتی است.

در صورتی که می‌خواهید در زمینه مدیریت ریسک پروژه حرفه‌ای شوید، بهتر است در دوره مدیریت ریسک پروژه حرفه‌ای و آمادگی آزمون RMP شرکت کنید. در این صورت برای آزمون موسسه PMI آمریکا نیز آماده می‌شوید و می‌توانید مدرک بین‌المللی مدیریت ریسک پروژه را دریافت نمایید!