Lecture Information technology project management - Chapter 10: Project risk management

Chapter 10: Project risk management. In this chapter students will be able to: Understand risk and the importance of good project risk management, discuss the elements of planning risk management and the contents of a risk management plan, list common sources of risks on information technology (IT) projects,...

Chapter 10:

Project Risk Management

adopted from PMI’s PMBOK 2000 and  Textbook : Information Technology Project Management 

Typical Risk 

Management

• Risk management is often overlooked on projects, but it can help improve project success by helping select good projects, determining project scope, and developing 

realistic estimates

• Study by Ibbs and Kwak show how risk management is neglected, especially on IT projects

• KPMG study found that 55 % of runaway projects did no risk management at all

Chapter 10

• Risk response planning: 

taking steps to enhance  opportunities and reduce  threats to meeting project  objectives

• Risk monitoring and  control: monitoring known  risks, identifying new risks,  reducing risks, and evaluating  the effectiveness of risk 

reduction

Chapter 10

• The level of detail will vary with the needs of the  project

Chapter 10

• Stakeholder risk tolerances: indicators of how 

stakeholders might react in different situations and risk events

• Template for the organization’s risk management plan: pro­forma standard for used by the project

• WBS: a deliverable­oriented grouping of project elements that organized and defines the total scope of the project

Tools and technique

• Planning meetings

– everyone responsible for planning and  executing activities.

Output

• Risk management plan

– It documents procedures for managing risk  throughout the project

– It details identification and quantification of  risk, responsibilities for managing risks, how  contingency plans will be implemented, and  how reserves will be allocated.

– other associated documents are

• Contingency plan, feedback plan 

Chapter 10

– Several studies show that IT projects share some 

common sources of risk

Table 10­3. Information Technology  Success Potential Scoring Sheet

Success Criterion Points User Involvement 19 Executive Management support 16 Clear Statement of Requirements 15 Proper Planning 11 Realistic Expectations 10 Smaller Project Milestones 9 Competent Staff 8 Ownership 6 Clear Visions and Objectives 3 Hard­Working, Focused Staff 3

Chapter 10

Other Categories of Risk

• Market risk:

– Will the new product be useful to the organization or marketable to others?  Will users accept and use the product or service?

• Inputs to other processes – for examples,  constraints or assumptions

– determine their magnitude and priority

Chapter 10

tools and techniques

• Risk probabilities & impact – the two dimensions of 

specific risks. Risk probability is the likelihood that a risk will occur. Risk consequences (or impact), are the effect 

• Data precision ranking – technique to evaluate the degree 

to which the data is useful for risk management. Data 

should be unbiased and accurate

Figure 10­2. Chart Showing High­,  Medium­, and Low­Risk Technologies

Chapter 10

Table 10­7. Example of Top 10 

Risk Item Tracking

Monthly Ranking Risk Item This

Month

Last Month

leadership 3 1 2 Just assigned a newproject manager to lead

the project after old one quit

Expert Judgment

• Many organizations rely on the intuitive  feelings and past experience of experts to  help identify potential project risks

• Experts can categorize risks as high, 

medium, or low with or without more 

sophisticated techniques

Chapter 10

• Trends in qualitative risk analysis results

• Often follows qualitative risk analysis, but both  can be done together or separately

• Large, complex project involving leading edge  technologies often require extensive quantitative  risk analysis

Chapter 10

• Other planning outputs

• Simulation : uses a model of system to analyze the 

behavior or performance of the system. Examples are 

Monte Carlo, Critical Path and PERT

Decision Trees and Expected 

Monetary Value (EMV)

• A decision tree is a diagramming method  used to help you select the best course of  action in situations in which future 

outcomes are uncertain

• EMV is a type of decision tree where you  calculate the expected monetary value of a  decision based on its risk event probability  and monetary value

Chapter 10

Figure 10­3. Expected Monetary 

Value (EMV) Example

Simulation

• Simulation uses a representation or model of a  system to analyze the expected behavior or 

optimistic) plus an estimate of the likelihood of  the estimate being between the optimistic and 

most likely values

Chapter 10

• After identifying and quantifying risk, you  must decide how to respond to them

Chapter 10

• Risk ranking of the project – indicates that overall risk position of a project relative to other projects by 

comparing risk scores

• Prioritized list of quantified risks – identifies those that pose the greatest threat or opportunity to the project and proposes some means of measuring their impact

Inputs

• Probabilities analysis of achieving the cost and time objective –  assessed under the current project plan and with the current 

knowledge of the project risks

• List of potential response – identifies specific risks or categories of  risk. These list specify the actions the team will take.

• Risk thresholds – the acceptable level of risk to the organization,  which influences risk response planning

• Risk owners – identifies staff to provide accountabilities for 

managing responses.

• Common risk causes – several risks driven by a common causes.  This reveals opportunities to mitigate many risks with one response.

• Trends in qualitative & quantitative risk analysis result ­ become  apparent as the analysis is repeated can make risk response more or  less urgent and important.

Table 10­8. General Risk Mitigation Strategies for 

Technical, Cost, and Schedule Risks

Chapter 10

Tools and techniques

• Risk avoidance: eliminating a specific threat or  risk, usually by eliminating its causes

• Risk acceptance: accepting the consequences 

should a risk occur

• Risk transference:  shifting the consequence of a  risk and responsibility for its management to a  third party

• Risk mitigation: reducing the impact of a risk 

event by reducing the probability of its 

occurrence

• Secondary risk – arise in direct result of  implementing a risk response.

• Contractual agreements 

• Contingency reserve amounts needed 

• Inputs to other processes 

• Inputs to a revised plan

– Monitoring risks involves knowing their status

– Controlling risks involves carrying out the risk 

management plans as risks occur

– Workarounds are unplanned responses to risk events that must be done when there are no contingency 

Risk Response Control

• Risk response control involves executing  the risk management processes and the risk  management plan to respond to risk events

• Risks must be monitored based on defined  milestones and decisions made regarding  risks and mitigation strategies

• Sometimes workarounds or unplanned 

responses to risk events are needed when  there are no contingency plans

Chapter 10

Using Software to Assist in  Project Risk Management

Chapter 10

Chapter 10

Outputs

• The main outputs of risk monitoring and control  are corrective action, project change requests, 

and updates to other plans 

– Corrective action: This encompasses anything that 

brings your expected performance back in line with the project plan. At this stage, it involves carrying out either your contingency plan or workaround

– Project change requests: Implementing a contingency plan or workaround frequently requires changing the risk responses described in the project plan. Know the process flow and feedback loop

Outputs (2)

– Updates to risk response plan: Document the risks that occur. Risks that don't occur should also be noted and closed out in the risk response plan. It's important to keep this up­to­date, and it becomes a permanent 

– Risk identification:  determining which risks are likely to affect a  project and documenting their characteristics

– Qualitative risk analysis: characterizing and analyzing risks and  prioritizing their effects on project objectives

– Quantitative risk analysis: measuring the probability and 

consequences of risks

– Risk response planning: taking steps to enhance opportunities  and reduce threats to meeting project objectives

– Risk monitoring and control: monitoring known risks, 

identifying new risks, reducing risks, and evaluating the 

effectiveness of risk reduction