[K-Risk] 힐슨박사 기획연제(2) - 전반적 프로젝트리스크의 관리

전반적인 프로젝트 리스크 관리하기

Managing overall project risk

 

CONFERENCE PAPER Risk Management 5 May 2014

Hillson, David

The Risk Doctor Partnership

 

번역 및 편집: 김홍연 박사 (K-Risk 뉴스레터발간사업분과장) 

 

발췌 : Hillson, D. (2014). Managing overall project risk. Paper presented at PMI® Global Congress 2014—EMEA, Dubai, United Arab Emirates. Newtown Square, PA: Project Management Institute.

 

요 약

 

주요 프로젝트 리스크 관리 지침에는 개별 리스크와는 다른 "전반적인 프로젝트 리스크"라고 하는 프로젝트에서 상위 수준의 리스크에 대한 정의가 포함되어 있다. 예를 들어, PMI PMBOK (Project Management Body of Knowledge) (PMBOK ® Guide) — 5판 (PMI, 2013)은 개별 리스크를 “불확실한 사건이나 상태가 발생하는 경우 그것이 하나 이상의 프로젝트 목표에 긍정적 또는 부정적인 영향을 미칠 불확실한 사건 또는 조건”으로 정의한다. 반면, 전반적인 프로젝트 리스크는 “프로젝트 전체에 대한 불확실성의 영향… 프로젝트 내 개별 리스크의 합보다 더 큰 것은 프로젝트 불확실성의 모든 원인을 포함하기 때문… 이해 관계자에게 노출되는 프로젝트 결과의 변동에 미치는 긍정 또는 부정적인 모든 영향”을 나타낸다.

 

불행하게도 전반적인 프로젝트 리스크의 개념은 대부분의 조직에서 채택한 프로젝트 리스크관리 접근법에서 간과된다. 이는 우리의 리스크 프로세스가 개별 리스크에만 초점을 맞추고 프로젝트와 관련된 전체 리스크 노출을 식별하거나 사전에 관리하지 않고 있음을 의미한다.

 

현재 프로젝트 리스크 관리 지침에서는 이에 대하여 거의 도움을 주지 못하거나 제공되지 않고 있으며, 프로젝트 리스크 관리 프로세스 동안 전반적 프로젝트 리스크를 해결하는 방법에 대해 단지 개념에 대한 정의 이외에는 자세히 설명하지 않고있다.

 

본 논문에서는 전반적인 프로젝트 리스크의 개념과 그 중요성을 설명하며 그것이 어떻게 식별, 평가 및 관리될 수 있는지를 설명한다. 이러한 점을 포함하기 위해 리스크 접근방식을 넓혀야만 프로젝트 스폰서, 이해 관계자 및 고객이 제기하는 다음 두 가지의 주요 질문에 대한 답변을 할 수 있다. “이 프로젝트는 얼마나 위험합니까? 또 그것을 위하여 무엇을 하고 있습니까?”

 

"전반적인 프로젝트 리스크"의 정의

 

현재의 리스크 표준

프로젝트의 리스크를 고려할 때 프로젝트 관리자와 프로젝트 스폰서의 책임과 권한의 범위로 대표되는 두 가지의 관심사항이 있다.

●       프로젝트 관리자는 프로젝트 목표의 전달(delivery)에 대한 책임이 있으며, 따라서 긍정적 또는 부정적으로 그 전달에 영향을 줄 수 있는 리스크를 인식할 필요가 있다. 그의 관심 범위는 프로젝트 내 특정 불확실성의 원인에 중점을 둔다. 이러한 원인은 어느 정도 미래에 발생할 수 있는 특정 사건이나 일련의 상황일 가능성이 높으며, 발생했을 경우 프로젝트에 어느 정도 영향을 줄 수 있다. 프로젝트 관리자는 “내 프로젝트에서 개별 리스크는 무엇입니까?”라고 묻고 그에 대한 답은 일반적으로 리스크 등록부와 같은 문서에 기록된다.

●       반면 프로젝트 스폰서는 또 다른 종류의 리스크에 관심이 있다. 프로젝트 내 특정 리스크에 대한 관심이 적고 전체 상황에 더 관심이 있다. 질문은 "내 프로젝트는 얼마나 위험합니까?"이며, 그에 대한 답은 대개 리스크 등록부에서 나온 것이 아니다. 프로젝트 스폰서는 구체적인 리스크에 대해 알고 싶어하지 않고 프로젝트의 전체 리스크에 대해 우려한다. 이는 프로젝트 전체에서 불확실성의 영향에 대한 노출을 나타낸다.

이 두 가지 관점은 프로젝트의 맥락에서 리스크 본질의 중요한 이분법적 사고를 보여준다. 프로젝트 관리자는 "개별 리스크"에 관심이 있고 스폰서는 "전반적인 리스크"에 대해 알고 싶어한다. 프로젝트 관리자는 프로젝트의 구체적인 리스크에 대한 세부 사항을 검토하지만 프로젝트 스폰서는 프로젝트의 전반적 리스크에 관심이 있다. 리스크 등록부에는 각 리스크에 할당된 대응책 및 그 소유자와 함께 식별된 모든 리스크 (주의 및 조치 우선 순위)가 나열된다. 그러나 하나의 리스크 목록은 스폰서의 "얼마나 리스키합니까?"라는 질문에 답을 줄 수 없다. 프로젝트의 전체 리스크 노출을 설명하려면 다른 개념이 필요하며, 이는 관리해야하는 개별 리스크와는 다르다.

 

“개별 리스크”와 “전반적인 리스크”

PMI (Project Management Institute)는 프로젝트 리스크 관리 실무 표준 (PMI, 2009, p. 10)과 PMBOK ® Guide- Fifth Edition (PMI, 2013 ) 에서 전체 리스크 및 개별 리스크에 대한 이중적 관점을 다루고 있으며 (PMI, 2009, p. 310), 두 가지 리스크에 대하여 명확하게 정의하고 있다.

●       "개별 리스크"는 "불확실한 이벤트나 조건이 발생할 때 프로젝트 목표에 긍정적 또는 부정적인 영향을 미치는 것"으로 정의된다.

●       "전반적인 프로젝트 리스크"는 "프로젝트 전체에 대한 불확실성의 영향"으로 정의된다.

또한 영국 프로젝트 관리 협회 (APM)는 Project Risk Analysis & Management (PRAM) Guide (Association for Project Management, 2004, p. 17)와 최신 버전의 APM BOK (Association for Project Management, 2012, p. 178)에서 두 가지 유사한 리스크 정의를 내리고 있다.

●       "리스크 이벤트"는 "불확실한 사건 또는 상황 발생시 하나 이상의 프로젝트 목표 달성에 영향을 미칠 수 있는 상황"으로 정의된다.

●       "프로젝트 리스크"는 "성과물에 있어서 변동의 결과에 따른 이해 관계자의 노출"로 정의된다.

두 전문 협회는 그림 1에서 볼 수 있듯이 두 가지 수준의 차이에 대하여 자세한 내용을 제공한다.

그림 1 : 프로젝트 리스크 관리 지침에서 개별 리스크(RISKS)와 전반적인 리스크(RISK)

 

이러한 이중적인 리스크 개념은 프로젝트에서 리스크를 관리하는 방법을 고려할 때 중요하고 유용하다. 어떤 한 수준에서 프로젝트 관리자는 리스크 등록부에 기록된 개별 리스크를 식별, 평가 및 관리할 책임이 있다. 또 다른 상위 수준에서 프로젝트 관리자는 프로젝트의 전반적인 리스크 노출에 대하여 프로젝트 스폰서, 프로젝트 소유자 및 기타 이해 관계자에게 설명해야 한다.

 

이러한 두 가지 수준은 프로젝트 내의 개별 리스크 (risks)와 전반적인 프로젝트 리스크 (risk)로 구분될 수 있다. 이것은 단순한 의미론이나 단수 및 복수형의 문제 그 이상이다. 두 용어는 서로 다른 수준의 프로젝트에서 발생하고 영향을 미치며 경영진으로 하여금 근본적으로 다른 접근법을 요구하는 완전히 다른 (그러나 관련이 있는) 리스크 개념을 의미한다.

 

현재 실무의 한계

이러한 두 가지 수준의 리스크 노출을 고려할 때 프로젝트의 리스크 관리에 대한 모든 접근 방식은 프로젝트 관리자와 프로젝트 스폰서의 질문에 대답할 수 있어야 한다. 효과적인 프로젝트 리스크 관리 프로세스는 프로젝트 내 개별 리스크 이벤트를 식별하고 이를 적절히 관리할 수 ​​있어야 하며, 전반적인 프로젝트 리스크 노출에 대한 표시도 제공해야 한다. 이들 중 두 번째 측면은 현재의 사고와 실무에서 잘 발달되지 않고 있지만, 실무자들 (예 : Hillson & Simon, 2012)과 전문기관의 적극적인 연구 주제이다.

 

효과적으로 리스크를 관리하려면 두 가지 수준 모두에서 조치가 필요하다. 그러나 일반적인 프로젝트 리스크 관리 프로세스는 프로젝트 내에서 낮은 수준의 개별 리스크를 처리하며 리스크 등록부에 기록된다. 전반적인 프로젝트 리스크 노출을 전반적으로 고려하거나 그보다 높은 수준에서 리스크를 관리하기 위한 구조화된 접근방식을 사용하는 것은 일반화 되어있지 않다.

 

그렇다면 전반적인 프로젝트 리스크를 어떻게 식별, 평가 및 관리할 수 ​​있을까? 전반적인 프로젝트 리스크를 해결하는 가장 간단한 방법은 프로젝트의 범위와 목표가 명확해지고 합의되고 있는 사전 프로젝트 또는 개념 단계 중에 있다. 여기서 프로젝트 스폰서 또는 소유자는 전체 프로젝트 내에서 허용 할 수 있는 리스크 정도와 함께 프로젝트가 제공할 것으로 예상되는 이점을 정의한다. 리스크-보상 균형에 대한 각 결정에는 특정 프로젝트 범위 및 예상 이익과 관련된 고유 리스크를 나타내는 전반적인 프로젝트 리스크 평가가 포함된다. 이 수준에서 전반적인 프로젝트 리스크는 프로젝트의 범위, 구조, 내용 및 상황에 대한 결정을 통해 암시적(implicitly) 으로 관리된다.

 

이러한 결정이 내려지고 프로젝트가 시작되면 전통적인 프로젝트 리스크 관리 프로세스를 사용 하여 프로젝트 내에 있는 개별 리스크를 명시적(explicitly)으로 처리할 수 ​​있다. 프로젝트 내 주요 지점에서 프로젝트 내 개별 리스크 관리 작업으로 돌아가기 전에 정의된 리스크 임계값 (thresholds)을 위반하지 않았는지 확인하기 위해 전체 프로젝트 리스크 평가로 다시 들어가야 한다.

 

따라서 그림 2에 나와있는 것처럼 프로젝트에서는 두 가지 수준의 리스크 관리가 중요하다.

 

●       암시적 리스크 관리는 특히 프로젝트 전 단계에서 프로젝트의 구조, 범위, 내용 및 상황에 대한 결정을 통해 전체 프로젝트 리스크를 해결한다.

●       명시적 리스크 관리는 대부분 프로젝트 생애주기의 나머지 기간 동안 리스크를 식별, 분석, 대응, 통제하기 위한 표준 리스크 관리 프로세스를 통해 개별 프로젝트 리스크를 다룬다.

그림 2 : 암시적(implicit) 및 명시적(explicit) 리스크 관리

 

그러나 프로젝트 범위에 대한 결정을 통해 암시적으로 해결하는 것보다 프로젝트 생애주기 전반에 걸쳐 전체 프로젝트 리스크를 관리하는 보다 자세한 접근방법이 있다. 이 논문의 나머지 부분에서는 이러한 보다 자세한 접근방식에 대해 자세히 설명한다.

 

“전반적 프로젝트 리스크” 관리

 

전반적 프로젝트 리스크의 원인 식별

“전반적인 프로젝트 리스크”에 대한 PMI 정의를 “프로젝트 전체에 대한 불확실성의 영향”으로 간주할때 (PMI, 2009, 2013), 전체 프로젝트 리스크를 식별하려면 일반적인 리스크 식별 프로세스와는 다른 관점이 필요하다.

 

표준 리스크 식별에서는 하나 이상의 구조화된 기법을 사용하여 잠재적 리스크 요인 (간혹 계층적 리스크 분석 구조에서 정의됨)과 프로젝트에 미치는 잠재적 임팩트의 영역 (작업 분석 구조, 비용 분석 구조, 프로젝트 분석 구조 등에 정의된) 사이의 상호관계를 다루는 것이 일반적이다. 이 접근방식은 특정 요인에서 발생하고 특정 프로젝트 요소에 영향을 미치는 세부적인 리스크에 초점을 맞춘다 (Hillson, Rafele, & Grimaldi, 2006). 이러한 세부적인 개별 리스크는 프로젝트의 목표 달성 능력에 큰 영향을 줄 수 있기 때문에 물론 중요하다.

 

그러나 전반적인 프로젝트 수준에서 리스크를 식별하려면 더 상위의 관점이 필요하다. 실제로 프로젝트에는 이와 관련된 여러 가지 개별 리스크가 있지만 전체 프로젝트 리스크는 단일 개념이다. 각 프로젝트에는 특정 시점에 주어진 전체 리스크 수준이 하나씩 있다. 이는 전체 프로젝트 리스크에 대한 식별 단계에 실제로 리스크 자체가 아니라 원인과 결과에 초점을 두고 있음을 의미한다.

 

개별 리스크와 마찬가지로 전반적인 프로젝트 리스크는 하나 이상의 원인에서 발생하며 하나 이상의 영향을 미치지만 전반적인 프로젝트 리스크의 원인과 결과는 개별 리스크보다 더 높은 수준으로 존재한다.

 

전반적 프로젝트 리스크의 원인

개별 리스크의 원인이 계층적 리스크 분석 구조에서 상세하게 설명될 수 있는 경우 (Hillson, 2002), 전반적인 프로젝트 리스크는 환경과 프로젝트 상황에 더 큰 영향을 미친다. 리스크 식별 기술은 다음과 같은 다양한 프레임 워크를 사용하여 전반적인 프로젝트 리스크에 대한 검색을 구성할 수 있다.

 

●       PESTLE – 정치, 경제, 사회, 기술, 법률, 환경

●       PESTLIED – 국제 (또는 정보 제공) 및 인구 통계가 추가된 PESTLE

●       STEEPLE – 윤리를 추가한 PESTLE

●       조사 – 혁신, 사회, 정치, 경제, 통신, 기술

●       스펙트럼 – 사회 문화, 정치, 경제, 경쟁, 기술, 규제 / 법적, 불확실성 / 리스크, 시장

●       TECOP – 기술, 환경, 상업, 운영, 정치

●       VUCA – 변동성, 불확실성, 복잡성, 모호성

 

이러한 각 프레임 워크는 전반적인 프로젝트 리스크의 잠재적인 원인을 제시하는 신속한 리스트 역할로 작동할 수 있다. 이들은 구조화된 브레인스토밍 또는 리스크 워크샵에 대한 입력으로 사용되거나 SWOT 분석 또는 Ishikawa 분석의 일부로 사용되거나 리스크 인터뷰 또는 델파이 그룹의 의제를 구성하기 위해 사용될 수 있다.

 

전반적 프로젝트 리스크의 영향

개별 리스크와 마찬가지로 전반적인 프로젝트 리스크는 긍정적이거나 부정적일 수 있으며 전체 프로젝트에 대한 기회 또는 위협을 나타낸다. 그러나 개별 리스크와 달리 전체 프로젝트 리스크의 영향은 프로젝트의 목표가 아니라 프로젝트 자체에 영향을 미친다. 즉, 개별 리스크로 인해 마일스톤 또는 종료 날짜가 지연되거나 가속화 될 수 있고 또는 예산 초과나 미달 지출이 발생할 수 있다. 허용할 수 없을 정도로 높은 수준의 부정적인 전체 프로젝트 리스크로 인해 프로젝트가 취소되거나 상당한 범위가 축소될 수 있으며, 긍정적인 전체 리스크에 노출된 프로젝트의 범위가 확장되거나 추가 혜택이 식별될 수도 있다.

 

전반적 프로젝트 리스크 평가 – 정성적

전반적인 프로젝트 리스크에 대하여 “프로젝트 전반에 대한 불확실성의 영향”(PMI, 2009, 2013) 또는 “성과물 변동의 결과에 대한 이해 관계자의 노출”(Association for Project Management, 2004, 2012)의 두 가지 보완적인 정의는 전반적인 프로젝트 리스크가 개별 리스크와 같은 두 가지 차원, 즉 불확실성과 중요도를 가지고 있음을 보여준다. 사실, 전체 프로젝트 리스크는 "중대한 불확실성"이라는 리스크의 본래 정의에 대한 또 다른 표현일 뿐이다 (Hillson, 2009).

 

"불확실성" 차원은 확률, 빈도 또는 가능성과 같은 용어를 사용하여 설명할 수 있다. "중대성" 차원은 일반적으로 효과, 임팩트 또는 결과로 표시된다. 프로젝트 스폰서나 소유자의 리스크 선호도와 리스크 기준 및 더 넓은 조직의 리스크 능력을 개별 리스크 평가에 공통적으로 반영하기 위해 전체 프로젝트 리스크에 대한 평가 규모(높음, 중간, 낮음)를 정의할 수 있다. 그러나, 임팩트 규모는 시간, 비용 또는 성과와 같은 특정 프로젝트 목표보다는 전반적인 프로젝트의 관점에서 정의될 것이다.

 

전반적인 프로젝트 리스크에 대한 이러한 2차원성은 개별 리스크에 일반적으로 사용되는 것과 마찬가지로 정성적 평가 접근방식을 허용한다. 즉, 중요도에 대한 불확실성을 나타내는 일종의 매트릭스를 통해 가능하다. 이를 개별 리스크에 사용하는 경우 일반적으로 "확률-임팩트 매트릭스"라고 하지만 이 이 명칭은 다른 유형의 불확실성은 제외된다. 보다 일반적인 명칭은 "likelihood-consequence matrix"일 수 있다. 원칙은 높은 / 중간 / 낮은 리스크 (또는 빨강 / 황색 / 녹색 또는 최고 / 중간 / 낮은 우선 순위)에 대하여 매트릭스 내에 정의된 영역으로 전반적인 프로젝트 리스크를 평가할 때와 동일하다. 그러나 전반적인 프로젝트 리스크의 단일성은 각 프로젝트가 주어진 시간에 매트릭스에서 한 위치만 차지한다는 것을 의미한다. 이것은 제한적으로 사용되는 것처럼 보이지만 시간이 지남에 따라 전반적인 프로젝트 리스크의 추세를 계획할 수 있게 해주며, 프로젝트 전체가 더 위험해지는지 또는 덜 위험해지는지를 보여준다.

 

이러한 단순한 매트릭스 접근법의 매력에도 불구하고 전체 프로젝트 리스크를 평가하는데 사용하는 것은 개별 리스크와 동일한 결함과 단점이 있으며, 리스크 관리에 보다 성숙한 접근방식을 가진 조직은 대안을 고려해야한다 (Association for Project Management, 2008).

 

전반적 프로젝트 리스크 평가 – 정량적

“프로젝트 전반에 미치는 불확실성의 영향”(PMI, 2009, 2013) 또는 “성과물 변동의 결과에 대한 이해 관계자 노출”(Association for Project Management, 2004, 2012)이라는 전체 프로젝트 리스크"의 정의로 돌아가보면, 정량적 리스크를 가지고 있는 전반적인 프로젝트 리스크에 대하여 명확하게 질문을 할 수 있다. 예를 들어, “결과의 잠재적 변동 범위는 무엇입니까?” 또는 "이 프로젝트는 어느 정도로 성공 (또는 실패) 할까요?"라는 질문에 답하기 위해서는 프로젝트 전체에 대한 불확실성의 영향을 모델링하고 결과의 잠재적 변동 크기를 결정하기 위해 정량적 리스크 분석 방법을 사용해야 한다 (Vose, 2008).

 

주요 결과는 각 값의 확률에 대하여 가능한 결과의 범위를 나타내기 때문에 표준 몬테카를로 시뮬레이션 접근법은 이러한 유형의 분석

에 이상적이다. 이것은 일반적으로 누적확률밀도 그래프 또는 S-curve로 표시되며, 비용 분석의 예시를 그림 3에 나타내었다.

 

 

그림 3 : 총 프로젝트 비용에 대한 예시 S-curve

 

이 예시는 목표 예산 220 만 달러 대비 총 프로젝트 비용의 잠재적 변동이 520 만 달러이며, 가능한 값의 범위는 210 만 달러 (5 번째 백분위 수)에서 260 만 달러 (95 번째 백분위 수)이다. 이는 프로젝트 스폰서에게 프로젝트 비용의 전체 변동성이 5 천만 달러 (예상 프로젝트 가치의 22 %)이며, 최상의 경우 예산을 0.1 백만 달러 (4 % 미달) 절감할 것으로 예상하지만, 최악의 경우 프로젝트는 예산을 0.4 백만 달러 (18 % 초과) 초과 할 수 있다. 그림 3의 S-curve는 또한 220 만 달러의 프로젝트 비용 목표를 달성할 확률이 23 %이며 예산의 77 %를 초과하는 것으로 나타났다. 분석 결과 기대치는 235 만 달러로 예상되며 이는 0.15 백만 달러 또는 7 %를 초과하는 것이다. 결국, 프로젝트 스폰서는 선택된 신뢰수준에 해당하는 총 프로젝트 비용의 값을 결정할 수 있다. 예를 들어, 수정된 예산 254 만 달러를 달성할 확률은 85 %이다. 이를 통해 프로젝트 스폰서는 성공 확률 (23 %에서 85 %)에 대하여 증가된 비용 (+0.25 백만 달러)에 대한 리스크 정보 의사 결정을 내릴 수 있다.

 

이러한 유형의 분석을 통해 “이 프로젝트는 얼마나 리스키합니까?”라는 질문에 정량적으로 답변할 수 있다. 따라서 그림 3의 예에서 두 개의 추가 질문에 대해 다음과 같이 자세히 답변할 수 있다.

 

●       결과의 잠재적 변동 범위는 무엇입니까?

o   총 잠재 범위 = $ 0.5 million (= 프로젝트 가치의 22 %)

o   현실적인 최상의 경우 = 210 만 달러 (– 4 %)

o   현실적인 최악의 경우 = 260 만 달러 (+ 18 %)

 

●       이 프로젝트가 성공할 가능성은 얼마나 됩니까?

o   220 만 달러 목표 달성 가능성 = 23 %

o   예상 가치 = $ 2.35 million (+ 7 %)

 

전반적인 프로젝트 리스크에 대한이 정량적 리스크 분석의 결과는 히트맵에 표시될 수 있으며, 결과적으로 잠재적인 결과 변동성에 대한 실패 확률을 정성적 우연성-결과 (likelihood-consequence) 매트릭스와 유사하게 표시할 수 있다. 정량적 평가의 경우, 시간별 전체 프로젝트 리스크의 변화를 계획하기 위해 히트맵을 사용하면 리스크 노출 경향을 나타내므로 프로젝트 스폰서와 기타 이해 관계자가 프로젝트의 미래에 대해 적절한 결정을 내릴 수 있다.

 

위에서 논의한 그림 3의 예제는 프로젝트 예산에만 초점을 맞추고 전체 프로젝트 리스크를 비용 측면에서만 설명하고 있다. 물론 시간, 성과, 투자 수익률 (ROI) 등과 같은 다른 프로젝트 결과에 대해 유사한 정량적 리스크 분석을 수행할 수 있다. 실제로 현재의 모범사례 (best practice)는 전체 프로젝트 리스크를 하나의 통합된 리스크 모델에서 비용과 시간 측면에서 함께 분석하는 것이다 (Hulett, 2011). 이 경우, 그림 4와 같이 두 결과의 변동성이 단일 결과물로 표시될 수 있어 프로젝트 이해 관계자가 전체 프로젝트 리스크를 비용 및 시간 측면에서 시각화할 수 있다.

 

 

그림 4 : 통합된 비용-시간 정량적 리스크 분석 결과의 예

 

정량적 리스크 분석은 전반적인 프로젝트 리스크 노출의 정도를 결정하는 주요 수단이므로 리스크 모델링을 잘 수행하는 것이 중요하다. 일부 지침은 PMI 프로젝트 리스크 관리 실무 표준 (PMI, 2009, 7 장)에 나와 있다.

 

모든 리스크 모델 성과물의 품질은 입력 데이터의 품질과 기본 모델의 구조라는 두 가지 요소에 크게 좌우된다. 양질의 입력 데이터에 대한 필요성은 잘 알려져 있지만 강력하고 현실적인 리스크 모델을 생성하는 능력은 여전히 매우 부족하다. 다음과 같은 기본 요구 사항이 종종 누락된다.

 

●       다른 유형의 리스크를 반영하기 위해 적절한 분포를 사용하는 것 (3점 삼각 분포 만이 아니라);

●       계획된 작업 (분포를 통한) 및 이산적 리스크 사건 (확률적 분기를 통한)에 대한 변동성의 모델링

●       작업에 대한 개별 리스크의 “Many : Many” 매핑;

●       관련 요소 간의 모델 링크에 대한 상관 관계 및 종속성 포함

 

이러한 기본 모델링 기술이 없으면 모델 성과물에 의미가 없고 오도될 수 있다.

 

전반적인 프로젝트 리스크에 대한 대응

전반적인 프로젝트 리스크 수준을 이해하면 프로젝트 스폰서와 기타 이해 관계자는 프로젝트의 미래에 대해 적절하고 능동적인 리스크 기반 결정을 내릴 수 있다. 대부분의 경우, 리스크 대응에는 식별 단계에서 얻은 전체 프로젝트 리스크의 원인에 대한 정보가 사용된다. 전체 프로젝트 리스크의 근본 원인을 파악한 후, 프로젝트에 잠재된 부정적인 결과를 제거 또는 감소시키고 잠재적인 상승을 포착 또는 강화시키기 위해 대응 단계에서 구체적으로 목표를 지정할 수 있다.

 

개별 리스크에 대한 표준 대응 (회피 / 활용, 전가 / 공유, 축소 / 강화, 수용)과 유사하지만 전반적인 프로젝트 수준에서 적용되는 다양한 대응 전략을 전체 프로젝트 리스크에 적용할 수 있다.

 

●       회피. 부정적인 전반적인 프로젝트 리스크 노출에 대한 이 대응 전략에는 프로젝트에서 높은 리스크 요소를 제거함으로써 프로젝트가 제공할 수 있는 가치나 이익을 감소시킬 가능성이 있다는 것을 인식한다. 전반적인 프로젝트 수준에서 궁극적인 리스크 회피 대응은 프로젝트를 취소하는 것이다. 이것이 마지막 수단이 될 수도 있지만, 전체 프로젝트 리스크 노출이 용인할 수 없고 지속적으로 높은 수준을 유지하는 것이 올바른 행동 방침인 경우가 많다.

 

●       활용. 전반적인 프로젝트 수준에서 높은 수준의 상승 리스크에 대한 적극적인 대응은 추가 가치 또는 이점이 있는 영역을 활용하기 위해 프로젝트 범위를 늘리는 것이다. 의도적이고 통제된 방식으로 수행된 이 작업은 "scope creep"과 같은 것이 아니라, 상당한 기회에 대한 합리적이고 선택된 관리 대응을 나타낸다.

 

●       전가 / 공유. 이 두 가지 대응 유형은 현재 프로젝트 팀보다 유능한 전체 프로젝트 리스크를 관리하기 위해 제3자가 참여하는 개별 리스크 공간의 대응 유형과 일치한다. 전가를 위해서는 누군가 프로젝트의 잠재적인 단점을 감수하고 전반적인 프로젝트 리스크를 최소화 할 책임이 있다. 공유는 창출된 부가가치의 일부에 대한 대가로 잠재력을 상승시킬 책임을 파트너에게 제공한다. 전반적인 프로젝트 수준에서 이 두 가지 전략은 간혹 합작투자, 특수 목적차량 또는 합병과 같은 협업 비즈니스 구조를 설정하거나 프로젝트를 완전히 하청 또는 판매하는 것을 포함한다.

 

●       축소 / 강화. 축소 전략은 다운 사이드 리스크 노출을 최소화하고 업 사이드 극대화를 목표로 한다. 간혹 프로젝트 재 계획, 범위 변경, 프로젝트 우선 순위 수준 수정, 자원 할당 변경 등이 포함된다. 축소와 강화의 목표는 두 가지 핵심 질문, 즉 "결과 변동성의 잠재적 범위는 얼마인가?"와 "이 프로젝트가 성공할 가능성은 어느 정도인가(또는 실패할 가능성이 있는가)"에 대한 답을 다음과 같이 개선하는 것이다.

o   결과의 변동성. 전반적인 프로젝트 리스크에 대한 대응은 전체 잠재적 변동성 범위를 좁혀 불확실성을 줄이는 것을 목표로 해야한다. 가능한 경우, 대응은 변동성의 분포를 위쪽으로 향하게 하는 것을 목표로 해야한다. 총 프로젝트 비용의 전체 변동성이 22 % (– 4 % / + 18 %) 인 그림 3의 예를 살펴보면 효과적인 축소 대응은 전체 변동성을 15 %로 줄이고, 강화 대응의 사용은 확산범위를 – 10 % / + 5 %로 전환하여 비용 절감 가능성을 높인다.

o   프로젝트 성공 가능성. 여기서의 목표는 정량적 리스크 분석 모델에서 예측한대로 성공 가능성을 높이는 것이다.

 

●       수용. 개별 리스크에 대하여, 기존의 전반적인 프로젝트 리스크 수준을 수용한다는 것은, 현재 정의된 대로 사업을 계속한다는 것을 의미하며, 리스크가 어느 정도 이행되고 있는지 인식하고, 프로젝트가 진행됨에 따라 전체 프로젝트 리스크의 변화를 감시하고, 전체 프로젝트 수준에서 적절한 수준의 컨틴전시를 확보하는 것을 의미한다.

 

대부분의 리스크 대응은 비용이 들지 않으며, 선택한 대응은 비용 효율적(잠재적 절감액이 대응 비용을 초과함)이고 리스크 효율적(대응이 전반적인 프로젝트 리스크 노출을 유의하고 비례적으로 변화시킴)으로 모두 유지되도록 하는 것이 중요하다. 이를 위해서는 구현에 가장 적합한 대응을 선택하기 전에 둘 이상의 후보 리스크 대응 전략을 고려해야 한다.

 

전체 프로젝트 리스크 보고 및 모니터링

다음을 포함하여 전체 프로젝트 리스크 상태를 프로젝트 수명 기간 동안 주요 이해 관계자에게 알리는 것이 중요하다.

●       전체 프로젝트 리스크 수준

●       전체 프로젝트 리스크의 주요 원인

●       진행 중이거나 계획된 주요 대응책

●       프로젝트 시작 이후 전체 프로젝트 리스크 추세

●       다음 보고 시점에서 예상되는 전체 프로젝트 리스크 수준

리스크 대응의 효과적인 구현, 시간 경과에 따른 프로젝트 내부 개발, 조직 및 외부 환경의 변화로 인해 전반적인 프로젝트 리스크는 역동적으로 변화한다. 그 결과, 전체 프로젝트 리스크 수준을 정기적으로 모니터링하고, 선택된 대응의 효과성을 판단하며, 전반적인 프로젝트 리스크 노출 추이를 추적하고, 프로젝트가 성공할 수 있도록 유지해 나가는 것이 필수적이다.

 

전체 프로젝트 리스크 관리에 대한 책임

리스크 관리의 주요 원칙은 특정 리스크의 소유권이 리스크가 발생했을 때 영향을 받는 목표를 소유한 사람이나 당사자 (리스크 소유자라고 함)에게 있어야 한다는 것이다. (이는 물론 리스크 해결을 위해 합의된 조치를 이행할 책임이 있는 이행 소유자 (action owner)와는 다르다. 이행 소유자는 리스크를 효과적으로 관리할 수 있는 가장 적합한 당사자이다.) 이어서 이 원칙은 전반적인 프로젝트 리스크 관리에 누가 책임이 있는지에 대한 질문을 제기한다.

 

전문기관에서 사용한 정의로 마지막으로 되돌아 가보면, 전체 프로젝트 리스크는 “프로젝트 전체에 대한 불확실성의 영향”(PMI, 2009, 2013) 또는 “성과물 변동의 결과에 대한 이해 관계자의 노출”이 되며 (Association for Project Management, 2004, 2012), 질문은 "전반적인 프로젝트 목표를 누가 소유하고 있습니까?"가 된다.

 

이를 통해 전체 프로젝트 리스크를 효과적으로 관리하고 이 프로젝트의 주요 이해 관계자가 설정 한 전체 리스크 임계값을 유지하도록 프로젝트 스폰서가 궁극적으로 책임을 진다는 것은 명확해진다. 그러나 프로젝트 스폰서의 책임은 프로젝트 관리자에게 위임되며, 프로젝트 관리자는 프로젝트의 목표를 달성할 일부 의무로 전반적인 프로젝트 리스크를 관리해야 한다.

 

결과적으로 전반적인 프로젝트 리스크 관리는 프로젝트 스폰서와 프로젝트 관리자가 공동으로 수행하며, 프로젝트가 허용 가능한 리스크 임계값 내에서 목표를 달성할 수 있는 최적의 기회를 보장하기 위해 파트너십으로 활동한다. 따라서 전반적인 프로젝트 수준에서 리스크를 성공적으로 관리하는 것은 이러한 두 핵심 요소 간의 작업 관계의 효과에 크게 좌우된다.

 

결론 : 프로젝트의 총체적 리스크 관리를 향하여

본 논문은 지난 10년 동안 프로젝트 리스크 관리 지침 (Association for Project Management, 2004)에 소개되었지만 대부분의 프로젝트 기반 조직에서는 무시되는 전반적인 프로젝트 리스크의 개념을 강조하였다. 이들은 프로젝트 내에서 전반적인 리스크를 다루지 않고 프로젝트 내 개별 리스크 관리에 집중하는 것을 선호하고 있는듯 하다.  이는 주요 프로젝트 관리 협회들에 의해 강화되며, 주요 프로젝트 관리 협회에서는 프로젝트 리스크 관리 프로세스가 정의에는 개념을 포함하더라도 전반적인 프로젝트 리스크 관리 방법을 설명하지는 않고있다 (PMI, 2009, 2013; Association for Project Management, 2004, 2012) .

 

프로젝트 관리자는 “이 프로젝트는 얼마나 리스키합니까?”라는 질문에 대답할 수 있어야 한다. 현재까지의 답변은 개별 리스크 목록에 대한 다양한 집계 및 요약을 바탕으로 한 것으로서, 프로젝트 전반의 전체 위험성을 만족스럽게 나타내는 것은 아니다.

 

이 논문에서는 전체 프로젝트 리스크 개념을 설명하고 평가, 관리 및 관리하는 방법을 설명하였다. 프로젝트 기반 조직이 본 논문의 지침을 구현하는데 어려움을 겪고 개별 리스크를 고려할 뿐 아니라 전체 프로젝트 수준에서 리스크를 해결하기 시작할지에 대한 의문이 남아 있다. 이러한 두 가지 통합된 접근방식은 프로젝트 내 개별 리스크와 프로젝트의 리스크를 동일하게 취급한다는 사실을 반영하여, 총체적인 리스크 관리라고 할 수 있다.

 

또한 PMI (Project Management Institute) 및 APM (Association for Project Management)과 같은 프로젝트 관리 전문기관은 개별 프로젝트 리스크와 함께 전반적인 프로젝트 리스크를 포함하도록 향후 리스크 관리 지침의 업데이트를 확장해야한다. 그래야만 프로젝트의 개별 리스크와 프로젝트 레벨의 리스크를 모두 관리함으로써 프로젝트에 성공할 수 있는 최상의 기회를 제공 할 수 있다.

 

참고 문헌

• Association for Project Management. (2004) Project risk analysis & management (PRAM) guide (2nd ed.). High Wycombe, Bucks, UK: APM Publishing.
• Association for Project Management. (2008) Prioritising project risks. High Wycombe, Bucks, UK: APM Publishing.
• Association for Project Management. (2012) Body of knowledge (6th ed.). High Wycombe, Bucks, UK: APM Publishing.
• Hillson, D. A. (2002, June) The risk breakdown structure (RBS) as an aid to effective risk management. Fifth European Project Management Conference, PMI Europe, 2002, Cannes, France.
• Hillson, D. A. (2009) Managing risk in projects. Farnham, UK: Gower.
• Hillson, D. A., Rafele, C., & Grimaldi, S. (2006) Managing risks using a cross risk breakdown matrix. Risk Management: An International Journal, 8(1), 61–76
• Hillson, D. A. & Simon, P. W. (2012) Practical project risk management: The ATOM methodology (2nd ed.). Vienna, VA: Management Concepts.
• Hulett, D. T. (2011 ) Integrated cost-schedule risk analysis. Farnham, UK: Gower.
• Project Management Institute. (2009). Practice standard for project risk management. Newtown Square, PA: Author.
• Project Management Institute. (2013) A guide to the project management body of knowledge (PMBOK Guide) - Fifth edition. Newtown Square, PA: Author.
• Vose, D. (2008) Risk analysis - A quantitative guide (3rd ed.). Chichester, UK: Wiley.