박종명의 아름다운 개발 since 2010.06

이 글은 제가 과거에 운영했던 사이트인 http://dotnet.mkexdev.net 의 글을 옮겨온 것입니다.
그 전에 운영했었던 사이트(mkex.pe.kr)은 흔적도 없이 사라 졌습니다. 그속의 글들도 모두...
그래서 이 사이트도 사라지기 전에 옮기고 싶은 글을 조금씩 이 블로그로 이동시키려 합니다.
(원본글) http://dotnet.mkexdev.net/Article/Content.aspx?parentCategoryID=2&categoryID=27&ID=494

---

* 위험 대응 기획

위험에 대한 식별과 분석 및 정성/정량적 영향도 등이 모두 파악되고 나면 본격적으로 위험을 어떤 식으로
대처할지에 대한 방법론을 기획하는 단계가 위험대응기획 프로세스이다

위험은 회피하거나 전가 시키거나 완화하거나 수용하는 등 여러 형태로 대응을 할 수 있다

위험의 성격이 부정적인 사건인지 긍정적인 사건인지 기회인지 등에 따라 대응 방법을 나누어 볼 수 있다

∥ 위험 대응 전략

1. 부정적 위험에 대응하는 전략

a. 회피(Avoidance)

위험을 회피하는 전략이다. 위험으로부터 프로젝트를 보호하기 위해 원래 계획을 변경하여 회피하는 전략이다.
예로 익숙하지 않은 하청업체를 피하는 방법이나 경험 없는 신기술 보다는 기존 기술을 활용하는 것으로 변경하는 것 등을 들 수 있겠다

b. 전가(Transfer)

위험에 대한 책임을 제 3자에게 전가 시키는 전략이다

이는 위험을 단지 다른 당사자에게 위험 관리의 책임을 주는 것이지 위험을 제거하는 것은 아니다

보험 이나 외주가 전가의 대표적인 사례인데 재무적인 위험을 다룰 때 가장 효과적이라 할 수 있다

c. 완화(Mitigation)

원래 계획은 변경하지 않고 위험이 발생활 확률이나 영향을 최소화하는 전략이다

예를 들어 일정 위험이 있을 경우 기존 일정 계획을 준수하기 위해 자원이나 시간을 투자하여 위험을 완화시킬 수
있다. 직원 교육 역시 위험을 완화하는 활동이라 할 수 있겠다

2. 긍정적 위험에 대응하는 전략

위험(Risk)는 비단 부정적인 사건만을 뜻하지는 않는다

프로젝트 수명주기 동안 발생하는 여러 사건,이슈,이벤트들이 위험의 대상이며 이는 긍적적인 위험도 관리대상에
포함되는 것이다

a. 활용(Exploit)

긍적적인 사건을 최대한 활용하는 전략이다

기회가 실현될 수 있도록 활용하고 긍정적인 영향력을 가진 사건을 선택한다

훌륭한 자원을 보다 많이 배정하여 프로젝트의 일정이나 품질을 초기 계획보다 향상하거나 신시장을 개척하는 것 등을 활용을 사례로 들 수 있겠다

b. 공유(Share)

프로젝트의 이익을 위해 기회를 포착할 수 있는 적절한 제 3자와 공유하는 전략이다

협력 관계 팀, 특수 목적 회사 또는 제휴 체결 등이 공유의 사례이다

c. 향상(Enhance)

긍정적 위험 즉 기회의 영향을 증가시키고 최대화함으로써 기회의 규모를 확장시키는 전략이다

3. 기타(공통)

a. 수용/감수(Acceptance)

위험을 수용하는 전략으로 위험에 대한 별도의 대응을 하지 않고 계획 변경도 하지 않는 전략이다.

위험 발생 시 ‘돌발 상황을 계획’하는 적극적 수용과 아무런 조치도 취하지 않는 소극적 수용이 있다

돌발 상황 계획은 프로젝트 중에 발생하는 위험에 적용된다. 동발 상황을 대처하기 위해 예비비(Reserve)를 계획에
반영한다

b. 우발적 대응 전략

일부 대응책은 특정 사건이 발생하는 경우에만 사용하도록 설계 한다.

위험 대응 기획 단계를 거쳐 위험 등록부에 다음과 같은 항목을 갱신하도록 한다

-          적절한 대응책을 선택하여 합의한 후 이를 기록한다

-          위험을 어떤 식으로 대응하겠다는 상세한 내용을 정의한다

* 위험 감시 및 통제

위험의 징후나 발생 여부를 감시하고 새로운 위험, 잔여 위험을 감시, 식별하며 위험 완화 계획을 실행하여 프로젝트 수명 주기 전체에 걸친 그 효과를 평가하는 단계이다

∥ 위험 감시 점검 항목

-          위험 대응 활동이 계획대로 잘 실행되고 있는가?

-          위험 대응 활동이 예상대로 효과적인가?

-          새로운 대응 방법이 필요하진 않은가?

-          위험 확률이나 영향도가 변경되었는가?

-          위험 증상이나 경고가 발생하였는가?

-          적절한 위험 전략과 정책, 절차를 따르고 있는가?

-          사전에 식별되지 않은 위험이 발생하거나 대응된 위험에 대한 잔여 위험은 없는가?

∥ 위험 통제

1) 비상 계획 실행 (Contingency Plan)

위험이 발생하면 위험 기획, 계획 단계에서 수립한 대응 방법을 실행한다

즉 예상하고 계획된 대로 위험을 통제한다

2) 워크어라운드 계획 실행 (Workaround Plan)

임기응변으로 위험을 대처한다

사전에 식별하지 못했거나 비상 계획이 수립되지 않은 위험을 임기응변으로 통제한다

이 글은 제가 과거에 운영했던 사이트인 http://dotnet.mkexdev.net 의 글을 옮겨온 것입니다.
그 전에 운영했었던 사이트(mkex.pe.kr)은 흔적도 없이 사라 졌습니다. 그속의 글들도 모두...
그래서 이 사이트도 사라지기 전에 옮기고 싶은 글을 조금씩 이 블로그로 이동시키려 합니다.
(원본글) http://dotnet.mkexdev.net/Article/Content.aspx?parentCategoryID=2&categoryID=27&ID=493

---

* 정성적 위험분석

‘위험식별’ 단계를 통해 식별된 위험을 심층 분석하기 전에 위험에 대한 우선순위를 정하는 단계이다.

우선순위를 정하기 위해 위험이 발생할 확률 및 영향을 ‘정성적’으로 판단한다

∥ 위험 확률 및 영향 평가

위험 확률과 영향의 등급을 매우 높음/높음/중간/낮음/매우 낮음과 같이 정성적 표현으로 기술한다

위험 확률이란 위험이 발생할 가능성이며 위험 영향이란 위험이 발생할 경우 프로젝트 성공에 미치는 영향을 말한다

∥ 확률 및 영향 매트릭스(PI Matrix)

위험 확률과 영향을 매트릭스 구조로 표현한다

위험에 대한 우선순위는 매트릭스와 각 위험에 대한 위험 척도를 사용하여 완성된다

1) 위험 확률

전문가의 정확한 판단이 있어야 한다

확률의 등급은 서열 척도(거의 가능성 없음, 거의 확실 등) 또는 기수 척도(0.1, 0.2, 0.3……)가 이용될 수 있다. 기수 척도는 선형적(0.1, 0.3, 0.5, 0.7……)일수도 비 선형적(0.1, 0.2, 0.4, 0.8……)일수도 있다

2) 위험 영향

위험이 프로젝트 성공에 미치는 영향의 심각도를 측정한다

영향의 등급은 서수 척도(낮음/중간/높음) 또는 기수 척도(0.1, 0.2, 0.3……)가 이용될 수 있다

PI 매트릭스

정성적 위험분석을 통해 위험을 서열화 하여 위험에 우선순위를 정하게 된다

이 과정을 통해 위험식별 프로세스의 산출물인 ‘위험등록부’에 다음과 같은 항목들을 갱신한다

- 위험 우선순위 목록

- 정성적 위험 분석 결과의 추세

- 추가적인 분석 및 대응이 필요한 위험

* 정량적 위험분석

위험의 영향을 구체적인 수치로 분석하는 단계이다. 정량적 분석을 통해 프로젝트 목표의 달성확률을 구한다

∥ 민감도 분석

프로젝트 성공에 영향을 주는 여러 요인 중 어떤 요인이 잠재적으로 가장 영향을 미칠 것인지를 판단하는 기법이다. 독립변수와 종속변수의 두 변수로 판단하는 기법이며 단순하고 오차가 많은 대신 신속히 파악할 수 있다는 장점이 있다. 어느 한 요인의 변화가 어떤 식으로 영향을 주는지 분석하는 기법으로 다음과 같은 분석을 예로 들 수 있다

-          년도에 따른 소득의 변화(독립변수: 년도, 종속변수: 소득)

-          재료 X의 사용 한도에 따른 생산성의 변화(독립변수: 재료 X 사용 한도, 종속변수: 생산성)

∥ 의사결정수 분석

어떤 의사결정을 했을 때 어떤 결과가 나타나는지 그 경우를 따져보는 기법이다
의사결정 트리를 만들어가면서 의사결정수 분석을 수행한다

∥ 모델링 및 모의 실험(Modeling and Simulation)

몬테카를로 시뮬레이션이라고도 한다

불확실한 분포를 갖는 변수의 계산을 모의 실험으로 수행하는 기법이다.

원가 위험분석의 경우 WBS(Work Breakdown Structure)가 시뮬레이션의 모델이 되고

일정 위험분석의 경우 PDM(선후행 도형법)이 모델이 된다

시뮬레이션 결과를 분석하여 실현 가능한 목표를 설정하게 된다

정량적 위험분석 단계를 통해 다시 ‘위험 등록부’의 다음과 같은 항목들이 갱신된다

-          확률적 프로젝트 분석

-          비용/시간 목표 달성 가능성

-          우선순위가 부여된 정량적인 위험,
정량적인 위험 분석 결과 내의 추세

이 글은 제가 과거에 운영했던 사이트인 http://dotnet.mkexdev.net 의 글을 옮겨온 것입니다.
그 전에 운영했었던 사이트(mkex.pe.kr)은 흔적도 없이 사라 졌습니다. 그속의 글들도 모두...
그래서 이 사이트도 사라지기 전에 옮기고 싶은 글을 조금씩 이 블로그로 이동시키려 합니다.
(원본글) http://dotnet.mkexdev.net/Article/Content.aspx?parentCategoryID=2&categoryID=27&ID=492

---

위험 관리

프로젝트 수행이란 것이 항상 계획한대로 순조롭게 진행될 수는 없다

다양한 내/외부 요인으로 인한 위험요소는 발생하기 마련이다. 위험관리에서는 이러한 위험에 대한

총체적인 관리 방법론을 다룬다.

위험은 발생확률(risk event probability) 미치는 영향(risk impact) 그리고 이 둘을 곱한(확률 * 영향)

위험상태(risk status)를 위험의 3요소라 한다

그리고 위험은 사전에 식별할 수 있는 수준에 따라 구분된다

1) Known unknown

발생 가능성을 사전에 식별할 수 있는 위험. 이러한 위험을 대비하기 위한 적절한 예비비(Contingency Reserve)를 예산에 포함한다

2) unknown unknown

발생 가능성을 사전에 식별할 수 없는 위험. 인지할 수 없으므로 위험을 관리할 수도 없다

이러한 위험이 발생하면 관리 예비비(Management Reserve)가 사용되어야 한다

위험은 다음과 같은 시각으로 접근해야 한다

-          위험은 제거대상이 아니라 관리대상이다

-          모든 위험에 대응해야 하는 것은 아니다

-          위험은 상호 관련성이 있다

-          위험은 지속적으로 변화한다(지속적인 관찰이 필요하다)

위험 관리는 다음의 프로세스로 진행된다

위험관리기획 -> 위험식별 -> 정성적 위험분석 -> 정량적 위험분석 -> 위험대응기획

-> 위험 감시 및 통제

* 위험관리 기획

위험을 어떤 식으로 관리하고 그 책임과 역할은 어떠하며 절차는 어떠한지에 대한 전반적인 위험관리 계획을 수립
하는 단계이다

∥기획 회의

위험관리 계획을 위해 가능한 모든 사람이 참여하여 기획회의를 가져야 한다

PM, 선택된 팀원, 조직의 위험관리책임자, 핵심 이해관계자, 기타 필요한 사람 등이 참여시킨다

∥ 위험관리계획서

기획회의 등을 통해 위험관리 계획이 수립되었다면 이에 대한 계획서를 산출한다

위험관리계획서에는 위험관리가 어떻게 구조화되고 프로젝트 수명주기 동안 수행되는지를 기술한다

다음과 같은 항목이 정의되어 있어야 한다

-          위험관리 방법론
위험을 어떻게 관리해 나갈지 정의한다. 위험관리 접근법/도구/데이터 원천등을 정의한다

-          역할 및 책임
위험 조치의 관리, 지원에 대한 각 팀 및 사람에 대한 역할과 책임을 명시한다

-          관련 예산 수립
위험을 대처하기 위한 예산을 수립한다

-          위험관리 시점
얼마나 자주 위험관리 프로세스가 실행될 것인가를 정의한다
위험관리는 최대한 일찍 개발 그리고 주기적으로 실행되는 것이 좋다

-          위험 분류
RBS(Risk Breakdown structure) 를 개발한다
RBS는 프로젝트에 영향을 줄 수 있는 위험에 대한 분류를 체계적으로 구조화한 표이다.

-          확률/영향

∥RBS(Risk Breakdown structure)

위험은 그 성격에 따라 기술적 위험, 프로젝트 관리적 위험, 외부 위험으로 나눌 수 있다

고객의 요구사항을 기술적으로 구현하는데 발생할 수 있는 다양한 기술적 위험과 프로젝트 예측 및 통제, 계획,
의사소통 등에서 발생할 수 있는 관리적 위험은 조직 내부의 위험이라 할 수 있으며 이러한 내부 위험은 예방에
치중해야 한다. 반면 환율과 법률, 규제, 전쟁, 인플레이션 등과 같은 외부위험은 예방을 하기 힘든 위험으로써

예방보다는 재해복구 및 완화에 치중하는 위험관리가 필요하다

* 위험식별

위험을 어떤 식으로 관리할지에 대한 계획 수립 과정(위험관리기획)이 완료되었다면 이제 본격적으로 프로젝트
수명주기 동안 어떤 위험이 있을지 식별하는 활동을 하게 된다

위험식별 프로세스에서는 어떤 위험이 프로젝트에 영향을 주는지 결정하고, 위험의 특성을 문서화하는 단계이다.
위험을 식별할 때 다음과 같은 사항들을 고려해야 한다

-          위험이 발생할 확률은 얼마인가?

-          위험 발생으로 인한 영향은 어느 정도인가?

-          위험이 발생할 시기는 언제쯤인가?

-          위험이 얼마나 자주 발생할 것으로 예상되는가?

∥ 위험 식별을 위한 정보수집 기법

위험을 식별하기 위해 다음과 같은 활동이 필요하다

1) 자유연상법(Brain Storming)

위험을 식별하기 위해 자유로운 환경에서 아이디어를 모아서 분류하고 정제하여 구체화 시킨다

브레인스토밍에서 주의할 것은 자유롭게 제안하는 아이디어에 대해 비판하거나 비난하지 않아야 한다

각 구성원은 촉진자의 주도 아래 위험에 대한 다양한 시각의 아이디어를 공유하게 된다

2) 델파이기법

전문가들에게 판단을 의뢰하는 기법이다. 전문가들을 익명으로 참여하게 하여 설문 형식으로 위험에 대한 아이디어를 구하게 된다

3) 면담

경험이 많은 관리자 및 사람과 위험과 관련한 면담을 한다

프로젝트에 대한 전반적인 사항을 알려주고 의견을 듣는다

4) SWOT 분석

SWOT는 Strength(강점), Weakness(약점), Opportunities(기회), Threats(위협)의 앞자리 합성어이다

S, W는 내부 역량으로 강점과 약점을 말하며, O, T는 외부환경으로 기회와 위협을 말한다

자신의 강점과 약점을 알고 외부 요인의 파악하면 문제는 정확히 식별할 수 있다는 개념이다

흔히 말하는 지피지기(知彼知己)가 와 지천지지(知天知地)가 SWOT와 일맥상통한다고 하겠다

자신(내부)의 강점과 약점을 외부의 기회와 위협을 교차 시켜 알맞은 전략과 식별을 하는 기법이다

∥ 위험 등록부

위험이 식별되었으면 ‘위험 등록부’를 산출하도록 한다

위험 등록부는 프로젝트의 성공에 긍정적 혹은 부정적 영향을 미치는 불확실한 사건 혹은 조건(이것을 위험,Risk 라 한다)을 등록한 체계이다.

위험등록부에는 다음과 같은 것들이 정의되어야 한다

1) 식별된 위험목록

식별된 위험에 대해 기술한다

2) 잠재적 대응목록

식별된 위험의 경우 잠재적 대응방안을 기술한다

3) 위험 근본원인

식별된 위험이 발생하게 되는 근본적인 원인이나 상황을 기술한다

4) 갱신된 위험범주

위험관리기획 프로세스의 산출물인 RBS를 개선하거나 수정할 수 있다