2  風險管理是成年人的專案管理

 

風險:暫時性定義

 

  我們對軟體專案的風險概念,主要是來自於對許多失敗專案所做的觀察。在我們當顧問的日子裡,常常都要打官司,打官司都是專案徹底失敗的後果,這份工作有助於我們大規模蒐集失敗的資料。回顧這些失敗專案,可知造成意外結果的因素就是它們的風險。所以,對未來的專案也一樣:可能會造成意外結果的事物就是風險。據此,我們暫時定義風險為:

 

風險  n 1:一個有可能在未來造成意外結果的事件 2:意外結果本身

 

  一是因,二是果,兩方面都很重要,但請不要自以為兩方面都可以管理得很好。風險管理的事務,著重的就是成因風險(causal risk)的管理,亦即你能管理的部分。(至於風險管理的評量,則著重在結果的分析。)

  之所以說是暫時性定義,是因為它假設風險要麼發生,要麼不發生。當然,這種說法並不能一體適用,許多風險不必然會發生,對專案造成的不利影響也不盡相同。為了考量這些非兩極化的風險,後續章節會重新思考風險的定義。目前,上述定義應已足夠。

 

風險與問題

 

  有關風險的定義,還有另一種拐彎抹角的說法:所謂風險,就是還沒發生的問題;所謂問題,則是已經成形的風險。

  在問題發生之前,風險只是抽象的概念,是某種有可能會對專案造成影響的事物,忽視它,可能結果也不怎麼樣,但若不管它,並不代表沒有管理疏失,套句William Clifford說的話,只是──「還沒遭到報應」。

  風險管理是在問題發生之前,預先思考應變措施的過程,這還是一個抽象的概念。而與風險管理相對的危機管理(crisis management),則是在問題發生之後,嘗試去琢磨該怎麼善後。

 

風險蛻變和蛻變指標

 

  想像一下,當原來某些被視為風險的事物突然變成問題時,本來很抽象,只是一種可能性,但現在不再抽象,它發生了,這個時間點我們稱風險成形(materialize),即風險蛻變(risk transition)之時。

  對風險管理者來說,蛻變是很重要的概念──它是一個事件,任何事先為風險規劃的行動,都因這個事件而觸發了。好吧!在大部分的時候,實際上的蛻變可能並不那麼明顯(比如說,海珊決定要入侵科威特了),真讓你明顯看到的,就是蛻變指標(transition indicator)(大批軍隊已在邊境集結)。任何需要納管的風險都有某些蛻變指標存在,當然,其中某些指標特別管用,它們多半跟重大事件有關。

 

紓緩

 

  你之所以會在意蛻變,正是因為當指標出現警訊時想採取某些行動,若在蛻變前冒然行動就太早了──這也許既花錢,又浪費時間──於是,理所當然,你希望能免則免。然而,當要暫緩某些應變措施時,某些方面卻可能不允許耽擱,為了保持決策彈性,並為可能的後續發展進行修正,有些步驟在蛻變前就必須進行,這叫做紓緩(mitigation)。

  請觀察一個非我們本行的紓緩範例:美國的法院系統。每位陪審員都可能會生病、退休、過世,或因故不再適任,於是法院會為每個陪審案指派幾位代理陪審員,假如原班人馬能勝任,就沒代理陪審員的事,一旦有需要,他們隨時都可上場──由於代理陪審員也是全程參與,所以能掌握全盤狀況──加入這個角色,整個案子就可不受某個人影響而順利進行下去。這裡要對付的,就是當某個陪審員無法出席,因而造成流會、再審的風險,這些都伴隨金錢和時間的損耗;紓緩行動就是一開始引進一位以上的後補人員,假如風險成形,就可用最小的代價將之消弭。

  把陪審員缺席類比到IT產業裡的專案,就是人力流失,這是所有軟體專案都會遭遇的重大風險之一。類似於指派代理陪審員的做法,便是一開始配置過多的人員,暫時把超額人手當作見習或支援性的角色,一旦有人離職,不必重新雇用新手,只要選擇一位見習人員來接手,便可在最短時間內恢復生產力。

  紓緩不但花錢,也花時間,如果運氣好到沒話說,這些花出去的錢和時間就顯得有點浪費,由此可能會引申出一個會讓你做不好風險管理的謬誤,所以,我們後續會再針對這一點加以說明。

 

範例:學校裡的風險管理

 

  運用剛定義過的術語,讓我們來做個練習。想像一下,您是一所貴族私立寄宿學校的校長,照顧五到八年級的小男生和小女生,目前正在實施風險管理。

  身為這一行的專家,您非常清楚有哪些重大變故(風險)可能會發生並危及孩童,為此,您時時刻刻都在煩惱,一直無法放心,畢竟,託付給您的都是別人的孩子,這責任可不輕。

  有些惱人的事,也許只要在蛻變時動點腦筋,就可被您或幕僚們控制住,平安度過。例如,並沒有必要弄出一份如何處理枕頭大戰的詳盡計畫,任何一位能幹的老師都知道該怎麼處理,也有能力處理得很好。

  但您心裡有數,還有一類較為嚴重的風險,需要嚴肅面對,必須事先深入規劃才行,例如,宿舍失火。總不能讓一場大火證明您沒有做好災前功課,這非常丟臉。這些功課(紓緩措施)包括滅火器的配置、警鈴的裝設、消防演習、自動灑水系統的投資等等。

  當這類風險發生時(蛻變),剛開始可能不易察覺,所以,必須擬出一個機制,以持續留意某些狀況出現時發出警告(蛻變指標)。這些機制有一些選擇,或許只要請宿舍管理員每隔幾個小時就去查看一下偵煙器和感熱器,也可以安裝煙霧警報器。在下決定時,您認為蛻變指標應該越早發現狀況越好,於是煙霧警報器明顯是比較好的選擇。

  您很清楚,火災只是眾多必須做好預防措施的風險之一,於是您召集全體老師和員工,向他們提出問題。您建議大家開個研討會(風險探索腦力激盪),把所有必須事先規劃的風險整理出一份完整的列表(風險調查報告)。

  您問:「哪些風險必須事先做好準備呢?」他們提出火災、運動傷害、食物中毒、被老師、員工或校外的陌生人性侵害、學生之間進行性實驗、毒品、槍械、因意志消沉而自殺、攻擊老師或其他孩童等等。

  其中也包括某些不值得納入管理的意見(學校被隕石打了個正著,只剩下殘垣瓦礫,全體師生壯烈成仁),還有一些不太確定是否該算在您責任範圍內的,例如,「某些科學方面的課程動搖了某位學生的宗教信仰」。這是該去管理的風險嗎?記下來,將之納入腦力激盪的討論,隨後持續重新檢討這份列表,針對這些風險進行某些更深入的工作(風險分析)。您必須決定哪些風險該管理,哪些不必管理(風險分類),最起碼要決定最適合的觸發機關(蛻變指標),規劃好蛻變前該採取的行動(紓緩措施),並評估風險的相對重要性(承擔分析)。

  當腦力激盪趨於穩定,並不意味就沒事了,還得律定一套長遠的運作機制(持續進行的風險探索程序),以找出需要納管的新風險,或許得指派專人負責(風險主任)。

 

風險管理的主要活動

 

  從上述的例子中,可摘要出五個主要的風險管理活動:

 

 ● 風險探索(risk discovery):一開始先進行風險腦力激盪,然後把風險歸類,再訂出一套可長可久的運作機制,使這套程序持續進行下去

 ● 承擔分析(exposure analysis):以風險成形的機率、及其潛在的衝擊程度為基礎,量化每個風險

 ● 應變規劃(contingency planning):萬一風險真的成形,你期望採取的行動

 ● 紓緩(mitigation):在風險蛻變前必須進行的步驟,使事先規劃的應變行動在必要時能發揮作用

 ● 蛻變的持續監視(ongoing transition monitoring):風險被納管之後,就要進行風險追蹤,留意是否成形

 

  以上,除第一項是屬於全面性的活動之外,其餘針對的都是個別的風險。

  雖不是什麼先進技術,但正如所料,想要在辦公室裡推動風險管理,將會面臨一些特別的挑戰。

 

挑戰想都別想的風險

 

  在專案面臨的風險之中,有些可能非常致命,說致命,針對的是某些人在專案建立之初就有的期待和願望。這些風險是最基本要加以管理的,但若去管理它們,顯然又會陷入與既有文化相衝突的矛盾之中。對於你負責的專案,可能早就被公司最高執行長當眾宣佈了固定的時程──在眾目睽睽的壓力之下──產品將在某一天誕生。最高執行長透過非常公開的手段,讓大家都知道這個日期,企圖讓時程延後變成想都別想的事。

  其實我們都知道,對於不想看到的結果,就算宣告它絕不可能發生,也無法把它變成絕不可能,但這會使風險變得幾乎無法管理,請看下一章的例子……

 

立體書封.jpg

與熊共舞:軟體專案的風險管理(經典紀念版)

Waltzing with Bears: Managing Risk on Software Projects

湯姆‧狄馬克(Tom DeMarco)、提摩西‧李斯特(Timothy Lister) 著

錢一一 譯

2021年4月15日出版

 

    EcoTrend 發表在 痞客邦 留言(0) 人氣()