Quản lý rủi ro trong dự án phần mềm

Thông thường, “rủi ro” dùng để chỉ một hay nhiều sự việc chưa nhưng có khả năng xảy ra trong tương lai có tác động đến dự án, và khi sự việc đó xảy ra thường sẽ gây ảnh hưởng xấu, thậm chí là “tai nạn” cho dự án, cản trở dự án đạt được mục tiêu của mình. Rủi ro thường được nhận biết dựa vào một số dấu hiệu báo trước, đôi khi dựa vào kinh nghiệm của các dự án tương tự trước đây.

Mặc dù nhận diện và kiểm soát tốt rủi ro có khả năng ảnh hưởng đến dự án đòi hỏi sự tham gia của nhiều người, tuy nhiên người có vai trò trực tiếp và quan trọng nhất là trưởng dự án. Do đó, một tiêu chí bắt buộc của một trưởng dự án giỏi là khả năng kiểm soát tốt rủi ro.

1. Quy trình quản lý rủi ro

Nhận diện và kiểm soát tốt rủi ro chỉ bằng kỹ năng và kinh nghiệm cá nhân không chưa đủ, việc kiểm soát rủi ro phải được thực hiện theo một quy trình chặt chẽ và phù hợp với đặc thù, mục tiêu và ngân sách của dự án.

2. Xác định rủi ro

Xác định được chính xác các nguồn có khả năng phát sinh rủi ro là điều không dễ dàng. Thông thường rủi ro xuất hiện từ các nguồn sau:

  • Ngân sách/nguồn tài trợ cho dự án
  • Thời gian thực hiện dự án
  • Thay đổi về phạm vi và yêu cầu dự án
  • Khó khăn về kỹ thuật
  • Vấn đề liên quan đến nhân lực
  • Hợp đồng giữa 2 (hoặc nhiều) bên
  • Trong kinh doanh
  • Môi trường, luật pháp, chính trị, văn hóa...

3. Phân tích Rủi ro

Khi xác định được rủi ro, quản lý dự án như PM, PTL sẽ thực hiện tổ chức việc phân tích rủi ro, qua đó xác định được phạm vi ảnh hưởng, mức độ nghiêm trọng của rủi ro.

Việc phân tích rủi ro cần phải được thực hiện kỹ lưỡng và cẩn trọng, có thể khái quát lại thành 4 điểm chốt chính như sơ đồ dưới đây.

1. Phân tích xác suất xuất hiện của rủi ro

Có 4 mức để đo lường khả năng xuất hiện của rủi ro, mỗi mức độ được gán với một giá trị số (tùy dự án) để có thể ước lượng sự quan trọng của nó.

  • 6 - Thường xuyên: Khả năng xuất hiện rủi ro rất cao, xuất hiện trong hầu hết dự án
  • 4 - Hay xảy ra: Khả năng xuất hiện rủi ro cao, xuất hiện trong nhiều dự án
  • 2 - Đôi khi: Khả năng xuất hiện rủi ro trung bình, chỉ xuất hiện ở một số ít dự án
  • 1 - Hiếm khi: Khả năng xuất hiện thấp, chỉ xuất hiện trong những điều kiện nhất định.

2. Phân tích mức độ ảnh hưởng của rủi ro

Có 4 mức để đo lường mức tác động của rủi ro, mỗi mức độ được gán với một giá trị số (tùy dự án) để có thể ước lượng sự tác động của nó.

  • 8 - Trầm trọng: Có khả năng rất cao làm dự án thất bại
  • 6 - Quan trọng: Gây khó khăn lớn và làm dự án không đạt được các mục tiêu
  • 2 - Vừa phải: Gây khó khăn cho dự án, ảnh hưởng việc đạt các mục tiêu của dự án
  • 1 - Không đáng kể: Gây khó khăn không đáng kể.

3. Phân tích thời điểm xuất hiện rủi ro

Có 4 mức để ước lượng thời điểm rủi ro xuất hiện, mỗi mức được gán với một giá trị số (tùy dự án) để có thể ước lượng sự tác động của nó.

  • 6 - Ngay lập tức: Rủi ro xuất hiện gần như tức khắc
  • 4 - Rất gần: Rủi ro sẽ xuất hiện trong thời điểm rất gần thời điểm phân tích
  • 2 - Sắp xảy ra: Rủi ro sẽ xuất hiện trong tương lai gần (known unknowns)
  • 1 - Rất lâu: Rủi ro sẽ xuất hiện trong tương lai xa hoặc chưa định được (unknown unknowns).

 

Thí dụ về ma trận “known-unknown” và "unknown-unknown"

Unknown Unknowns: How To Manage Risk Against the Unexpected
Ma trận Known - Unknown

unknown-unknown: Chúng ta chưa biết là chúng ta không biết điều gi đó!

Một số ví dụ:
- Chúng ta chưa biết chắc về thời gian để hoàn thành task A.
- Chúng ta không biết vào tháng 6 thời tiết sẽ làm ảnh hưởng đến tiến độ như thế nào.
- Chúng ra không chắc địa tầng bên dưới có thuận lợi cho việc làm làm móng sắp tới cho tòa nhà A hay không.
...

unknown: Chúng ta chưa biết là chúng ta không biết điều gi đó!.

 

4. Độ nghiêm trọng tổng thể

Qua việc xác định được “Độ nghiêm trọng tổng thể”, ta có thể sắp xếp các rủi ro theo một “Cây rủi ro”, các rủi ro có điểm số độ nghiêm trọng cao được xếp ở “gốc cây”, thể hiện cho những vấn đề gốc rễ, ảnh hưởng to lớn đến dự án, như một cái cây, mất gốc là chết! Những vấn đề có điểm trung bình, sẽ nằm rải rác suốt quá trình triển khai dự án với độ phức tạp và mức nghiêm trọng phân hóa, cuối cùng là những rủi ro với mức điểm thấp, chúng phân nhánh khá nhỏ, rải rác khắp các khía cạnh của dự án tuy nhiên độ phức tạp và mức ảnh hưởng lại thấp.

3. Kiểm soát Rủi ro

Kiểm soát rủi ro bắt đầu với việc chọn lựa chiến lược và phương pháp đối phó rủi ro. Có nhiều chiến lược và phương pháp đối phó khác nhau, tùy theo tình huống dự án, môi trường và đặc thù của từng rủi ro. Trong thực tế, các chiến lược phổ biến nhất bao gồm (Hình 4):

Tránh né

Dùng “đường đi khác” để né tránh rủi ro, đường đi mới có thể không có rủi ro, có rủi ro nhẹ hơn, hoặc chi phí đối phó rủi ro thấp hơn. Chẳng hạn:

  • Thay đổi phương pháp, công cụ thực hiện, thay đổi con người
  • Thương lượng với khách hàng (hoặc nội bộ) để thay đổi mục tiêu.

Chuyển giao

Giảm thiểu rủi ro bằng cách chia sẻ tác hại khi chúng xảy ra. Chẳng hạn:

  • Đề nghị với khách hàng chấp nhận và chia sẻ rủi ro (tăng thời gian, chi phí...)
  • Báo cáo ban lãnh đạo để chấp nhận tác động và chi phí đối phó rủi ro
  • Mua bảo hiểm để chia sẻ chi phí khi rủi ro xảy ra.

Giảm nhẹ

Thực thi các biện pháp để giảm thiểu khả năng xảy ra rủi ro hoặc giảm thiểu tác động và chi phí khắc phục rủi ro nếu nó xảy ra. Chẳng hạn:

  • Cảnh báo và triệt tiêu các yếu tố làm cho rủi ro xuất hiện
  • Điều chỉnh các yếu tố có liên quan theo dây chuyền để rủi ro xảy ra sẽ ít có tác động

Chấp nhận

Đành chấp nhận “sống chung” với rủi ro trong trường hợp chi phí loại bỏ, phòng tránh, làm nhẹ rủi ro quá lớn (lớn hơn chi phí khắc phục tác hại), hoặc tác hại của rủi ro nếu xảy ra là nhỏ hay cực kỳ thấp. Kế hoạch đối phó có thể là:

  • Thu thập hoặc mua thông tin để có kế hoạch kiểm soát tốt hơn
  • Lập kế hoạch khắc phục tác hại khi rủi ro xảy ra.

Thí dụ: Đại dịch covid-19 đã cho thấy khó tránh khỏi rủi ro ngay cả khi đã được tiêm chủng vắc xin. Do vậy thế giới cũng đã lên phương án "sống chung với lũ".

4. Giám sát Rủi ro

Rủi ro một khi đã xảy ra thường không chỉ một lần, quá trình giám sát rủi ro cần được chú trọng, mỗi khi rủi ro được xác định, phân tích và kiểm soát thành công, phải đưa ra trước dự án để những thành viên khác nắm được và tránh tái mắc phải.

Để đạt được hiệu quả tốt nhất, những rủi ro đã được phân tích hoặc đang trong quá trình kiểm soát cần được đề ra trong các cuộc họp tiến độ dự án định kỳ. Trong cuộc họp cần chỉ rõ tường tận các rủi ro, đặc biệt là các rủi ro có tính chất nghiêm trọng. Việc hiểu rõ ràng và tường tận rủi ro giúp tránh gặp phải những rủi ro na ná trong tương lai.