Một rủi ro (risk) là thứ gì đó có thể xảy ra và sẽ gây hại cho dự án nếu nó xảy ra. Quản lý rủi ro (risk management) là nhận diện những mối đe dọa đó sớm và quyết định làm gì với chúng trước khi chúng cắn. Điều thấu hiểu rẻ tiền: vấn đề dễ xử lý hơn nhiều khi bạn đã nghĩ về chúng từ trước.
Một công cụ đơn giản, được dùng rộng rãi để theo dõi các mối đe dọa và mục của dự án:
R — RISKS → có thể xảy ra, sẽ gây hại (quản lý chủ động)
A — ASSUMPTIONS → những thứ ta đang xem là đúng (kiểm chứng chúng)
I — ISSUES → rủi ro đã thành hiện thực (xử lý ngay bây giờ)
D — DEPENDENCIES → những thứ ta dựa vào từ người khác (theo dõi chúng)
Với mỗi rủi ro, chấm điểm:
LIKELIHOOD (khả năng cao đến đâu?) × IMPACT (tệ đến đâu?)
→ tập trung nỗ lực vào các rủi ro khả năng cao, tác động cao
AVOID → thay đổi kế hoạch để rủi ro không thể xảy ra
MITIGATE → giảm khả năng hoặc tác động của nó
TRANSFER → chuyển nó đi (bảo hiểm, SLA nhà cung cấp)
ACCEPT → sống chung với nó, nhưng có phương án dự phòng sẵn sàng
Một dự án phụ thuộc vào một API bên thứ ba mới và chưa được kiểm chứng. Rủi ro: nó có thể không hoạt động tốt. Khả năng trung bình, tác động cao. Mitigation: thử nghiệm (spike) nó sớm, xây dựng một lớp trừu tượng để có thể đổi nhà cung cấp, và có phương án dự phòng. Giờ một ẩn số trở thành một rủi ro được quản lý với một kế hoạch.
Xem quản lý rủi ro như một checklist một lần lúc khởi động. Rủi ro tiến hóa — xem lại RAID log thường xuyên và thêm những cái mới khi chúng xuất hiện.
Rủi ro không được quản lý trở thành khủng hoảng, thường vào thời điểm tệ nhất gần deadline.
Chi phí xử lý một rủi ro sớm nhỏ xíu so với việc chữa cháy nó sau khi nó ập đến.
Gọi tên rủi ro một cách công khai cũng xây dựng niềm tin — stakeholder thích "đây là điều có thể sai và kế hoạch của chúng tôi" hơn là sự im lặng tự tin theo sau bởi một bất ngờ khó chịu.