[K-Risk 전문가견해] Lavanya and Malarvizhi (2008) 리스크 분석 및 관리 : 효과적인 프로젝트 관리의 핵심 열쇠

 

발표문헌: CONFERENCE PAPER Risk Management 3 March 2008

필자: Lavanya, N. | Malarvizhi, T.  Program Managers, Nokia Siemens Networks
역자: 김홍연 운영위원

발췌 : Lavanya, N. & Malarvizhi, T. (2008). Risk analysis and management: a vital key to effective project management. Paper presented at PMI® Global Congress 2008—Asia Pacific, Sydney, New South Wales, Australia. Newtown Square, PA: Project Management Institute.

 

요약

리스크 분석 및 관리는 프로젝트가 진행되는 동안 최소한의 충격(surprises)이 발생하도록 하는 주요 프로젝트 관리의 실제이다. 확실하게 미래를 예측할 수는 없지만 간단하고 능률화된 리스크 관리 프로세스를 적용하여 프로젝트의 불확실성을 예측하고 이러한 불확실성의 발생확률 또는 영향을 최소화 할 수 있다. 이는 성공적인 프로젝트 완료 가능성을 개선하고 이러한 리스크의 결과를 줄여준다.

 

이 논문에서는 Nokia Siemens Networks에서 위기 상황을 피하고 과거 실수로부터의 학습을 통합하는데 도움이 되는 구조화된 리스크 관리 프로세스를 제시한다. 효과적인 초기의 리스크 식별 및 관리가 프로젝트 목표 달성을 보장하여 재 작업 비용을 줄인다는 점을 강조한다.

 

소개

다양한 수준의 프로젝트 팀원은 다양한 성향의 리스크를 식별하고 처리한다. 그러나 이는 구조화된 리스크관리 프레임워크가 없으면 효과가 없다. 불완전한 임팩트 평가로 다음과 같은 손실이 발생할 수 있다.

• 범위, 시간, 비용 및 품질과 같은 프로젝트 목표에 대한 전반적인 영향에 대한 지식

• 이미 식별된 리스크로 인해 발생하는 2차 또는 새로운 리스크 식별

• 투명성 부족 및 팀 안팎의 커뮤니케이션 격차

따라서 모든 프로젝트 조직은 효과적인 리스크관리 프레임워크를 설정하는 것이 매우 중요하다. 프로젝트 팀 문화와 같은 실무 활동을 잘 정립하면 다음이 보장된다.

• 의식적이고 집중된 리스크 식별 및 관리

• 최소한의 편차 또는 충격으로 프로젝트 진행과 프로젝트 목표 및 조직 목표에 따라 진행

• 조직 및 프로젝트 이해 관계자에게 프로젝트 문제를 조기에 효과적으로 전달

• 팀의 인수 및 승인이 보장되는 효과적인 팀 구축 도구

아래 그림 1은 리스크관리가 반복적인 과정이며 프로젝트의 각 단계에서 리스크관리의 각 측면을 계획하고 따라야 한다는 것을 보여준다.

 

그림 1 – 리스크 관리 프로세스

 

Nokia Siemens Networks에서 따르는 리스크관리 프레임워크는 다음과 같은 지침(가이드라인)을 제공하고 있다.

• 지속적인 리스크 식별

• 리스크 평가

• 리스크 완화 및 컨틴전시 대책 정의

• 리스크 모니터링 및 제어

• 리스크 식별 효율성 측정

리스크관리 프레임워크는 다음과 같은 템플릿 및 도구도 제공한다.

• 식별된 리스크 및 문제를 추적하기 위한 각 프로젝트의 리스크 레지스터

• 프로젝트 수명주기 단계를 기반으로 리스크를 식별하기 위한 지침인 리스크 점검 목록

• 지금까지 프로젝트 전체에서 식별된 모든 리스크를 담은 리스크 저장소

 

리스크관리 프레임워크

 

리스크 관리 계획

조직이 규정한 리스크관리 프레임워크를 검토하고 프로젝트가 시작될 때 프로젝트 리스크관리 계획을 정의하도록 조정된다. 리스크 관리 계획에는 다음 정의 및 지침이 포함된다.

• 가능한 리스크 소스 및 카테고리 목록

• 임팩트 및 확률 매트릭스

• 리스크 감소 및 행동 계획

• 컨틴전시 계획

• 리스크 임계값 및 지표

리스크 식별

프로젝트에서는 가능한 한 빨리 리스크를 식별하고 처리해야 한다. 리스크 식별은 주요 마일스톤 동안 특별히 강조하여 프로젝트 수명 주기 전반에 걸쳐 수행된다.

 

리스크 식별은 정기적인 프로젝트 상태 및 보고 회의에서 핵심 주제 중 하나이다. 일부 리스크는 프로젝트 팀에게 명확할 수 있다 - 인지된 리스크; 다른 것들은 노출되기까지 더 많은 노력을 기울일 것이지만 여전히 예측이 가능하다.

 

프로젝트 전체에서 식별된 모든 리스크를 기록하는 매체는 리스크 레지스터이며 중앙 프로젝트 서버에 저장된다.

 

다음과 같은 툴과 지침은 구조적이고 체계적인 방식으로 리스크를 식별하는데 사용되므로 중대한 잠재적 리스크가 간과되지 않는다.

 

    1. 리스크 소스(sources)

그림 2 – 리스크 소스

 

    2. 리스크 카테고리

리스크 카테고리는 리스크 이벤트가 발생하기 쉬운 영역의 목록을 제공한다. 조직에서는 프로젝트 유형에 따라 확장해야 하는 고급의 표준 카테고리를 권장한다.

그림 3 – 조직에 제공되는 표준 리스크 카테고리

 

리스크 분석

리스크 분석에는 리스크 이벤트의 영향으로 인해 프로젝트 결과 및 목표가 어떻게 변경 될 수 있는지 조사하는 작업이 포함된다. 리스크가 식별되면 리스크가 프로젝트에 미치는 영향의 정성적 및 정량적 영향을 식별하여 리스크를 완화하기 위한 적절한 조치를 취할 수 있다. 다음 지침은 리스크를 분석하는 데 사용된다.

 

   3. 리스크 발생 가능성 (probability)

a.      높은 확률 – (80 % ≤ x ≤ 100 %)

b.      중간 확률 – ( 60 % ≤ x <80 %)

c.      중간-낮은 확률 – (30 % ≤ x <60 %)

d.      낮은 확률 (0 % <x <30 %)

 

   4. 리스크 임팩트

a.      높음 – 치명적 (등급 A – 100)

b.      중간 – 임계 (등급 B – 50)

c.      낮음 – 미미 (등급 C – 10)

영향 분류에 대한 지침으로 다음 매트릭스가 사용된다.

그림 4 – 영향 분류 지침

 

이 점수는 "정상" 조건을 가정한 리스크 분류에 대한 최저 임계 값을 나타낸다. 리스크가 다음과 같은 중요한 요소에 의해 영향을 받는 경우 다음 또는 심지어 +1 레벨로 점수를 업그레이드 해야 한다

• 특정 고객의 중요도
• 프로젝트가 고객과의 관계를 발전시키는데 중요한지 여부
• 이미 고객에게 초점이 맞춰져 있는 리스크
• 프로젝트 목표와의 편차에 대한 구체적인 패널티가 고객과의 계약에 동의되어 있다

     5. 리스크 노출

리스크 노출 또는 리스크 점수는 그림 5에 표시된 것처럼 영향 등급과 리스크 확률을 곱한 값이다.

그림 5 – 영향(impact)-확률 매트릭스

 

색상은 리스크 대응 계획의 긴급성을 나타내며 보고 수준을 결정한다.

 

    6. 리스크 발생 기간

리스크가 영향을 미치는 기간을 파악한다. 이것은 다음 중 하나로 분류된다.

그림 6 – 리스크 발생 기간

 

위의 지침에 따라 리스크를 분류하는 것 외에도 리스크의 특성에 따라 가능한한 상세하게 비용, 일정, 범위 및 품질에 미치는 영향을 설명해야 한다.

 

     7. 리스크 분류 예 :

그림 7 – 리스크 분류 예

 

리스크 대응 계획

프로젝트가 직면하고 있는 모든 리스크를 줄이거나 제거할 수 있는 신속한 해결책이 없을 수 있다. 일부 리스크는 장기간에 걸쳐 전략적으로 관리하고 줄여야 할 수도 있다. 따라서 이러한 리스크를 줄이기 위해 조치 계획을 세워야 한다. 이러한 조치 계획에는 다음이 포함되어야 한다.

• 리스크 평가를 포함한 리스크 설명
• 리스크를 줄이기 위한 조치 설명
• 오너의 리스크 조치
• 리스크 조치의 예정된 완료 날짜
• 모든 리스크 조치 계획은 계획을 수행하도록 확인된 사람에게 할당됨.

   1. 리스크 대응 계획

각 리스크에 대하여 이해 관계자와 합의하여 리스크 대응책을 리스크 기록부에 문서화해야 한다. 프로젝트 관리자는 이를 보장해야한다.

리스크 대응 계획은 리스크 제거,  리스크 발생 가능성 감소,  프로젝트 목표에 대한 리스크의 영향 감소

리스크 대응 계획은 일반적으로 시간과 비용에 영향을 미친다. 따라서 정의된 대응 계획에 대한 시간과 비용을 가능한한 정확하게 계산해야 한다. 이는 또한 대안으로부터 대응 계획을 선택하고, 대응 계획이 리스크 자체보다 비용이나 프로젝트 목표 중 하나에 더 큰 영향을 미치는지 검증하는 데에도 도움이 된다.

일련의 대응 계획을 성공적으로 이행한 후 이해 관계자와의 협의를 통해 리스크 점수를 낮출 수 있다.

예 :

그림 8 – 리스크 대응-예

 

   2. 리스크 촉발 요인

각 리스크에 대한 촉발 요인은 리스크 레지스터에 문서화되어야 한다. 촉발 요인은 리스크 증상 또는 경고 신호를 식별한다. 그것은 리스크가 발생했거나 발생할 조짐을 나타낸다. 리스크 촉발 요인은 또한 특정 리스크가 발생할 것으로 예상되는 시기를 나타낸다.

예 :

그림 9 – 리스크 촉발 요인 사례

 

  3. 리스크 오너쉽

기본 규칙은 프로젝트의 모든 리스크를 관리하는 책임이 프로젝트 관리자에게 있다는 것이다.

이 기본 규칙에 따라 리스크 오너 (프로젝트 관리자 일 필요는 없음)를 리스크 등록부에서 결정하고 이름을 지정해야한다. 리스크 오너는 일반적으로 리스크 유발상황을 가장 잘 모니터링 할 수 있는 사람이지만 정의된 대응책을 가장 잘 추진할 수 있는 사람 일 수도 있다. 리스크 오너는 리스크 유발상황의 변경 사항을 즉시 보고하고 정의된 대응책을 추진해야 한다.

예 :

그림 10 – 리스크 오너 예

리스크 모니터링 및 제어

리스크 모니터링 및 제어에는 다음이 포함된다.

• 새로운 리스크 식별 및 계획

• 다음을 확인하기 위해 기존 리스크를 추적한다.

• 리스크 재평가가 필요함

• 모든 리스크 조건이 유발됨

• 시간이 지남에 따라 더욱 중요해질 수 있는 리스크를 모니터링

• 리스크 행동 계획을 통해 장기적이고 계획적이며 관리된 접근 방식이 필요한 나머지 리스크에 대처

• 리스크 재분류

종료할 수 없는 리스크의 경우, 실행 계획을 구현하여 일정 기간 동안 중요도가 낮아져야 한다. 그렇지 않은 경우 조치 계획이 효과적이지 않을 수 있으므로 다시 검토해야 한다.

---

리스크 보고

리스크 식별, 리스크 모니터링 및 제어 중 리스크 대응 계획 및 상태 업데이트를 통해 리스크 레지스터가 지속적으로 업데이트 된다. 이 프로젝트 리스크 레지스터는 주요 리스크 보고의 도구이며 모든 이해 관계자가 접근할 수 있는 중앙 프로젝트 서버에서 사용할 수 있다.

리스크 모니터링 및 제어 또는 리스크 검토는 진행 상태 보고서와 제공 가능한 상태를 사용하여 리스크를 모니터링 및 제어하는 ​​반복 프로세스이다. 이는 품질 보고서, 진행 보고서, 후속 보고서 등과 같은 다양한 상태 보고서에 의해 가능하다.

리스크 검토는 중요 시점 회의 및 / 또는 정기 프로젝트 회의의 필수 항목이지만 별도로 계획된 리스크 검토 회의 중에도 실행할 수 있다. 이러한 리스크 검토는 정기적으로 이루어져야 한다. 빈도는 프로젝트의 전체 리스크 수준에 따라 결정될 수도 있다.

 

리스크 임계 값(threshold)

리스크 우선 순위는 가장 중요한 곳에 초점을 맞추도록 설정해야 한다. 리스크 노출 등급이 가장 높은 리스크가 가장 우선 순위가 높다.

노출이 낮은 리스크는 완화 계획에서 제거 할 수 있지만 나중에 프로젝트에서 다시 검토해야 할 수도 있다.

조직의 임무는 프로젝트에 하나 이상의 "매우 높음" 리스크가 있거나 3개 이상의 "높음" 리스크가 있는 경우 프로젝트가 실패할 위험이 높기 때문에 경영진과 이해 당사자에게 지도를 받아야 한다. 이것이 권장되는 리스크 임계 값이다. 프로젝트는 프로젝트 요구에 따라 임계 값을 사용자 위주로 정의 할 수 있다.

 

리스크 효율 측정

리스크 지표

리스크 분석 및 관리의 효율성은 프로젝트 종료 중 다음과 같은 지표를 수집하여 측정된다. 분석 결과는 교훈(lessons learned)을 해석하는데 사용되며 조직의 교훈 데이터베이스에서 업데이트된다.

• 발생한 리스크 수 / 식별된 리스크 수

• 예상만큼 리스크의 영향이 심각 했는가?

• 재발된 리스크는 얼마나 되는가?

• 프로젝트에서 직면한 문제와 실제 문제는 예상되는 리스크와 어떻게 다른지?

리스크 감사

이것은 리스크에 대한 독립적인 전문가 분석이며, 조직에서 리스크 관리의 성숙도 또는 효과를 향상시키기 위한 권장 사항이다. 이것은 다음을 평가한다.

• 우리는 리스크를 얼마나 잘 식별하는가?

• 식별된 리스크의 완벽성과 구체성

• 완화 또는 비상 계획의 효과

• 프로젝트 리스크와 조직 리스크의 연계

이는 "프로세스 준수" 감사가 아니라 리스크 식별 및 리스크 분석의 품질을 향상시키는데 도움을준다. 또한 조직의 다양한 프로젝트에서 리스크 관리에 대한 모범 사례를 벤치마킹하고 식별하기 위한 포럼에 사용된다.

리스크 감사는 독립된 분야 또는 기술 전문가 그룹이 문서 검토와 인터뷰를 통해 수행한다. 리스크 감사의 주요 결과물은 다음과 같다.

• 프로젝트의 리스크를 평가하기 위한 맞춤형 체크리스트

• 프로젝트의 리스크 분석에 중요한 영역의 식별 (리스크 분류)

• 리스크 레이더 – 제품 그룹의 리스크가 발생하기 쉬운 영역

• 검토를 기반으로 식별된 잠재적인 추가 리스크

• 관리상 주의가 필요한 주요 프로젝트로부터의 조직내 상위 10가지 리스크

 

결론

리스크 관리는 소프트웨어 프로젝트 관리의 가장 어려운 측면이 되고 있다. 확실하게 미래를 예측할 수는 없지만 간단하고 능률화된 리스크 관리 프로세스를 적용하여 프로젝트의 불확실성을 예측하고 이러한 불확실성의 발생 또는 영향을 최소화 할 수 있다. 

 

리스크 관리는 위기 상황을 피하는데 도움이 될 뿐만 아니라 과거 실수를 기억하고 배우는데 도움이 된다. 이는 성공적인 프로젝트 완료 가능성을 개선하고 리스크의 결과를 줄인다.

 

효과적인 리스크 관리에 대한 우리의 여정은 끝이 아니다. 프로세스 효율성을 높이기 위해 실무를 지속적으로 개선할 수 있는 것은 지속적인 학습 프로세스이다.

 

참고 문헌

Siemens Quality Management System – Process documents. Available from the company intranet site.