프로젝트 리스크 관리 프로세스에 대해서 설명해드리겠습니다. 프로젝트 리스크는 불확실성의 한 측면으로 프로젝트 팀은 프로젝트 전반에서 리스크를 식별하여 위협을 최소화하고 기회를 극대화해야 합니다. 리스크는 개별 리스크와 불확실성이 프로젝트 전체에 영향을 미치는 전체 프로젝트 리스크로 구분해야 합니다.
리스크를 효과적으로 탐색하기 위해서는 프로젝트 목표 달성에 수용 가능한 리스크 노출도를 알아야 하며, 조직과 이해 관계자의 리스크 선호도와 한계선으로 정의됩니다. 리스크 한계선은 조직과 이해 관계자의 리스크 선호도를 반영하는 목표 위주의 허용 가능한 변이를 나타냅니다. 해당 한계선은 명시적으로 기술되고 프로젝트 팀에 전달되어 반영되어야 합니다. 그럼 프로젝트 리스크와 프로젝트 리스크 관리 프로세스에 대해서 좀 더 자세히 알아봅시다.
프로젝트 리스크 관리의 개요
프로젝트 관리 이론에서 리스크와 이슈는 서로 다른 의미를 가지고 있고, 개념의 차이를 명확하게 구분할 수 있어야 합니다. 리스크는 아직 발생하지 않은 불확실한 상황이나 조건입니다. 리스크는 사전 예방 측면이 강합니다. 리스크는 리스크 관리 대장이라고 하는 관리 문서를 통해서 관리됩니다. 반면 이슈는 이미 발생한 현재의 문제와 편차, 그리고 불일치나 쟁점을 의미합니다. 이슈의 성격은 현안에 대한 대응 측면이 강합니다. 이슈에 대한 관리 문서는 이슈 기록부가 있습니다.
프로젝트 리스크는 한 개 이상의 프로젝트 목표에 긍정적이거나 부정적인 영향을 주는 불확실한 사건이나 조건입니다. 리스크를 식별하는 것은 리스크 관리의 시작입니다. 리스크를 식별할 때 유의해야 할 사항은 여러가지가 있습니다. 리스크는 빨리 식별하면 식별할 수록 좋습니다. 리스크에 대한 식별이 늦어질수록 리스크에 대한 대응을 위해서 예방 계획이나 비상 계획을 위한 비용이 높아지기 때문입니다. 예방 계획은 리스크의 발생 가능성을 줄이는데 초점을 두고 비상 계획은 발생한 리스크가 상품 개발에 미치는 영향력을 줄이는데 초점을 두게 됩니다. 체크 리스트를 활용하게 되면 짧은 시간에 적은 비용으로 리스크를 식별할 수 있습니다. 조직에서 축적된 리스크 식별 체크 리스트가 있다면 유용합니다.
리스크를 정확하게 이해해야 의사 결정 포인트를 분명하게 구분할 수 있습니다. 이론적인 리스크는 발생할 수 있는 리스크이고 실질적인 리스크는 발생할 것 같은 리스크입니다. 효과적인 리스크 식별을 위해서 실질적인 리스크를 많이 식별해야 합니다. 리스크 식별은 프로젝트 전 단계에서 지속적으로 진행해야 합니다. 프로젝트 단계 별로 새로운 리스크가 발생할 수 있고 기존에 식별한 리스크의 내용이 변경될 수도 있기 때문입니다. 그래서 매우 중요한 것입니다.
프로젝트 리스크 프로세스 이해
프로젝트 리스크 관리 프로세스는 리스크를 식별하고 리스크를 분석하며 리스크 대응 계획을 수립한 후 리스크를 모니터링 하는 단계로 구성됩니다. 리스크 분석의 경우, 정성적 관점과 정량적 관점으로 진행합니다. 전체 프로젝트 리스크는 개별 프로젝트 리스크들을 종합적으로 고려하였을 때 프로젝트 전반에 미치는 불확실한 영향을 의미합니다. 전체 프로젝트 리스크는 프로젝트에 영향을 미치는 변동성, 모호성, 복잡성 등을 종합적으로 고려하게 됩니다.
전체 프로젝트 리스크가 너무 높으면 프로젝트를 중단할 수도 있습니다. 부정적 리스크는 회피나 완화하고 긍정적 리스크는 활용하는 것이 목적입니다. 가정과 제약 사항으로는 리스크에 영향을 줄 수 있기 때문에 프로젝트 전 단계에 걸쳐서 감시해야 합니다. 리스크 한계선은 프로젝트 목표 달성 관점에서 수용할 수 있는 리스크 노출도를 의미합니다. 리스크 한계선을 넘으면 사전에 정의된 비상 대책을 적용해야 합니다.
조직이나 이해 관계자가 리스크를 추구하거나 리스크를 회피하는 정도를 의미하며 리스크 회피, 리스크 중립, 리스크 추구의 3가지 유형으로 구분됩니다. 리스크가 실제로 발생하면 이슈가 됩니다. 따라서 이슈는 발생한 리스크이고 리스크는 발생하지 않은 이슈입니다. 리스크 원인은 리스크를 인식하게 되는 요인입니다. 리스크는 프로젝트 목표 달성에 긍정적이거나 부정적인 영향을 주는 사건이나 조건입니다. 리스크 영향력은 프로젝트 목표에 미치는 영향의 정도입니다.
리스크 예방 방법과 노하우 설명
리스크를 예방하기 위해서는 불확실한 이벤트나 상황을 확실하게 인식해야 합니다. 어떤 리스크가 있는지 모를 때 이를 식별하지 않은 리스크라고 합니다. 어떤 불확실성이 있는지를 확실하게 알고 있다면 이를 식별된 리스크라고 합니다. 특정 사업에 정부 승인이 있어야 하거나 아직 검증되지 않은 기술을 적용하는 것 등이 어떤 불확실성이 있는지 확실하게 인지한 상태인 것입니다. 리스크 대응 비용도 프로젝트 후반부로 가면 갈수록 커지게 됩니다.
프로젝트 생애 주기에서 초기 단계는 리스크 수준이 높은 반면에 대응 비용은 낮습니다. 반대로 프로젝트를 진행할 수록 리스크 수준은 낮아지고 리스크 대응 비용이 크게 증가하게 됩니다. 리스크 관리 계획서는 방법론이나 전략, 역할과 책임, 자금 조달, 시기, 리스크 범주, 이해 관계자 리스크 선호도, 확률과 영향 정의, 확률과 영향 메트릭스, 보고 형식, 추적 등을 기재합니다. 리스크 관리의 접근 방법과 절차, 도구와 기법을 정의합니다. 리스크 관리 활동 별 역할과 책임을 정의합니다.
리스크 관리 활동 수행을 위한 자금과 우발 사태 예비, 그리고 관리 예비의 사용 기준을 정의하게 됩니다. 리스크 관리 활동 수행 시기와 빈도, 프로젝트 일정에 반영할 리스크 관리 활동을 정의합니다. 리스크 식별과 식별 된 리스크를 분류할 때 활용하는 리스크 분류 체계로 프로젝트 유형에 따라 리스크 분류 체계를 다르게 하는 것도 가능합니다. 이해 관계자의 리스크에 대한 선호 정도, 리스크 한계선을 정의하게 됩니다.
리스크 확률과 영향 수준 정의는 리스크 노출도나 심각도를 결정할 때 활용합니다. 리스크 노출도를 계산하여 리스크 대응의 우선순위를 결정할 때 활용합니다. 리스크 관리 대장과 리스크 보고서 형식을 정의합니다. 리스크 관리 프로세스의 이행 여부를 감시하는 방법을 정의합니다. 프로젝트 리스크 관리는 일반적으로 관리 계획 수립, 식별, 평가, 대응 계획 수립, 대응과 검토 등의 프로세스에 따라서 진행합니다. 프로젝트 매니저는 리스크 예방 방법과 노하우를 설명할 수 있어야 합니다.
프로젝트 리스크 대응과 검토
리스크 대응은 위협 대응 전략과 기회 대응 전략이 있습니다. 에스컬레이션은 위협이 프로젝트 범위를 벗어나거나 제안 된 대응책이 프로젝트 매니저의 권한을 넘어설 경우 사용하는 방법입니다. 회피는 위협을 없애거나 해당 영향으로부터 프로젝트를 보호하기 위한 조치를 취하는 것입니다. 전가는 위협의 대응 책임을 제3자에게 이전하는 것입니다. 완화는 위협 발생 가능성이나 영향력을 허용 수준 이내로 줄이기 위한 조치입니다. 수용은 위협의 존재는 인지하지만 선제적 조치는 계획하지 않은 것입니다.
기회 대응 전략에 에스컬레이션은 포함됩니다. 기회가 프로젝트의 범위를 벗어나거나 제안 된 대응책이 프로젝트 매니저의 권한을 넘어설 경우 기회에 대해서도 에스컬레이션을 해야 합니다. 활용은 기회 발생을 보장하기 위해서 취하는 대응 전략입니다. 공유는 기회 실현에 가장 효과적인 제3자와 이익을 공유하는 것입니다. 기회의 오너십을 할당하는 것입니다. 증대는 기회 유발 요인을 식별한 다음 조치를 통해서 발생할 확률과 영향력을 높이는 것입니다.
수용는 기회 존재는 인지하지만 기회 실현을 위한 조치는 취하지 않는 것입니다. 리스크 대응에 대해서 우발 사태 예비와 관리 예비가 있습니다. 리스크 대응 조치가 개발되면 계획된 대응으로 인해서 발생할 수 있는 2차 리스크를 검토해야 합니다. 또한 대응 조치를 이행한 이후에도 남아 있는 잔존 리스크를 평가하여 회사의 리스크 선호도 기준에 맞을 때까지 대응 계획을 반복해야 합니다. 예비는 리스크를 대응하기 위해 별도 책정된 시간이나 예산을 의미합니다. 우발 사태 예비는 식별된 리스크를 해결하기 위한 예산입니다. 관리 예비는 식별할 수 없는 리스크 대응에 사용되는 예산입니다. 리스크 검토는 다양한 이해 관계자들과 검토와 피드백 세션을 자주 진행하면서 리스크를 탐색하고 선제적인 대응을 진행하는데 도움이 됩니다.
애자일 프로젝트에서는 데일리 스텐드 업 미팅을 통해서 잠재적 위협과 기회를 식별할 수 있습니다. 제품 증분에 대한 데모와 개념 증명(PoC)를 자주 시연하면 위협과 기회를 표면화 할 수 있습니다. 리스크 검토 회의에서 새로운 리스크와 기존 리스크에 대한 상태 변경을 식별하고 지속적인 리스크 재평가를 진행해야 합니다. 리스크 대응을 평가하여 효과적인지 업데이트해야 하는지를 판단합니다. 회고와 교훈 회의를 통해서 성과와 팀 결속, 그리고 개선을 위한 위협과 기회를 식별할 수 있습니다.
적응형 접근 방식의 리스크 관리
적응형 접근 방식의 프로젝트인 애자일 프로젝트에서도 리스크 관리가 필요합니다. 가변성이 높은 환경은 보다 많은 불확실성과 리스크가 발생할 수 있습니다. 점진적으로 증가하는 작업 결과물을 빈번하게 검토해야 합니다. 프로젝트 팀 안에서 지식 공유를 가속화하고 리스크에 대한 이해와 관리를 지원합니다. 리스크는 반복 과정에서 식별하고 분석되며 관리되어야 합니다.
진화하는 이해도를 반영하도록 계획을 조정하면서 리스크 영향을 줄여 나갈 수 있습니다. 요구 사항은 정기적으로 업데이트 되는 문서로 관리되고 리스크에 대한 이해를 바탕으로 진행 과정 중 작업 우선 순위가 변경될 수 있습니다. 애자일 프로젝트에서 데일리 스탠드업 미팅은 특징적인 회의입니다. 데일리 스탠드 업 미팅에서는 어제 한일, 오늘 할일, 문제점들에 대해서 간단하게 공유하게 되는데, 데일리 스탠드업 미팅에서 프로젝트 리스크를 식별 할 수 있습니다. 데일리 스탠드 업 미팅에서는 간단한 내용 만을 공유하기 때문에 리스크 해결을 위한 방안 수립과 사후 관리는 별도로 진행해야 합니다.
쇼케이스는 각 반복 주기 결과 개념 증명(PoC)로 단계 말 검토를 위한 시연을 말합니다. 프로젝트 팀은 쇼케이스를 통해 동작하는 소프트웨어를 이해 관계자에게 보여주고 이해 관계자의 피드백을 받을 수 있습니다. 쇼케이스는 이해 관계자의 피드백이 반영되어 있는 것을 설명할 수도 있습니다. 쇼케이스를 통해 이해 관계자들과 관련된 리스크를 지속적으로 모니터링 할 수 있습니다.
리스크 관리 관련 산출물들의 이해
리스크 관리 대장은 리스크 관리 프로세스의 결과를 기록하고 관리하는 문서입니다. 리스크 식별 정보, 대응 담당자, 확률과 영향력 평가, 우순 순위 평가, 대응 계획, 결과 정보를 제공합니다. 리스크 관리 대장에는 개별 프로젝트의 식별 된 리스크에 대한 상세 정보를 기록하는 문서입니다. 리스크 관리 대장은 리스크 관리를 하는 과정에서 지속적으로 업데이트 됩니다.
리스크 관리 계획서는 프로젝트에 적용할 리스크 관리 활동을 체계화하고 수행하는 방법을 기술한 문서로 프로젝트 관리 계획서의 구성 요소입니다. 리스크 보고서는 개별 프로젝트 리스크에 대한 요약 정보와 전체 프로젝트 리스크를 기록한 보고서입니다. 리스크 보고서에는 개별 프로젝트의 리스크 요약 정보와 함께 전체 프로젝트의 리스크 원인에 대한 정보가 기록됩니다. 리스크 관리 대장처럼 리스크 보고서의 경우, 리스크 관리 과정에서 지속적으로 업데이트해야 합니다. 리스크 조정 백로그는 위협과 기회를 처리하기 위한 작업과 조치가 포함된 백로그입니다.
리스크 조정 백로그는 프로젝트 백로그에 위험 대응 활동을 유저 스토리 형태로 반영한 것입니다. 리스크 분류 체계(RBS)는 리스크의 잠재적 원인을 계층화 시킨 문서로 리스크 식별을 위한 브레인 스토밍을 할 때 사용합니다. 전사 차원의 효과적인 리스크 관리를 위해서는 해당 조직에서 자주 발생하는 리스크의 유형을 정의하고 이를 리스크 식별이나 대응 전략 수립에 활용할 수 있습니다. 리스크 유형은 일반적으로 리스크 발생 원인에 따라 분류합니다. 원인이 같은 리스크는 대응 전략도 같을 수 있습니다.
확률 영향 메트릭스와 기대 화폐 가치
확률 영향 메트릭스는 개별 리스크의 발생 가능성과 영향력을 평가하여 대응에 대한 우선순위를 식별하기 위한 기법입니다. 민감도 분석은 프로젝트 목표 달성에 영향을 미치는 영향력을 평가하여 리스크의 상대적 중요도를 비교하고자 하는 기법입니다. 민감도 분석은 여러 리스크 중 프로젝트 목표에 가장 큰 영향을 미치는 리스크를 식별하는 기법입니다. 특정 리스크를 제외한 나머지 리스크들을 일정 수준에 고정한 다음 특정 리스크가 납기와 원가에 미치는 영향을 분석합니다.
프로젝트 목표에 가장 큰 영향을 주는 리스크나 불확실성의 원인을 파악하는 것입니다. 기대 화폐 가치(EMV, Expected Monetary Value)는 화폐 단위로 표시한 산정 가치로 리스크와 같은 불확실성의 가치나 여러 가지 대안이 가진 경제적 가치를 비교하는데 사용합니다. 사건의 경제적 가치와 발생할 확률로 기대 화폐 가치를 계산합니다. 의사 결정 나무 분석는 여러 가지 대안 중 가장 효과적인 대안을 선택하는 것을 지원하는 분석 기법입니다. 가지의 끝 점은 해당 특정 경로를 따라 예상되는 금전적 가치나 기대 화폐 가치를 나타냅니다. 의사 결정 나무 분석은 현재 발생 가능한 모든 경우의 금전적 가치를 평가하여 최적의 방안을 선택하는 방법입니다. 실제 프로젝트에서는 여러 가지 리스크가 상호 복합적으로 작용할 수 있습니다.
시뮬레이션은 몬테카를로 분석을 통해 개별 리스크나 기타 불확실성 원인의 종합적 영향을 시뮬레이션 합니다. 시뮬레이션은 일정이나 원가의 불확실성 분석을 진행할 때 몬테카를로 시뮬레이션을 적용하는 것입니다. 확률 분포를 가정하여 모델을 만들고 난수를 통한 반복적 시뮬레이션을 수행하여 산출물로 프로젝트의 가능한 결과 범위를 확인합니다. 일정과 원가 목표 달성 확률, 프로젝트 완료일, 종료 시 실적 원가 등이 해당합니다.