دراسة الجدوى وتحليل التكلفة والعائد

تقييم المخاطر

18 دقيقة الدرس 7 من 10

تقييم المخاطر

لا يخلو مشروع من المخاطر. تواجه عيادة تُطرح نظام حجز جديد خطر مقاومة الموظفين للتغيير. يواجه متجر إلكتروني ينتقل إلى بوابة دفع جديدة خطر فشل المعاملات أثناء التحويل. تواجه شركة لوجستية تبني منصة تتبع في الوقت الفعلي خطر عدم موثوقية واجهة برمجة شركة الناقل التي تعتمد عليها. السؤال ليس هل توجد مخاطر — بل هل حدّد فريق المشروع هذه المخاطر وقيّمها وخطط لمعالجتها قبل أن تتحول إلى مشكلات مكلفة.

تقييم المخاطر هو عملية منظمة تهدف إلى الكشف عما قد يسير خطأً، وقياس احتمالية كل خطر وحجم ضرره، وتصميم استجابات محددة تُبقي المشروع في مساره الصحيح. وفي تحليل الجدوى، يجب أن يتضمن كل دراسة تقييماً للمخاطر قبل اتخاذ قرار التمويل — فراعي المشروع يستحق أن يعرف ليس فقط ما سيكلفه النظام، بل أيضاً ما قد يواجهه من تكاليف غير متوقعة.

الخطوة الأولى — تحديد المخاطر

تحديد المخاطر هو نشاط إبداعي ومنهجي في آنٍ واحد. الهدف هو إنشاء سجل المخاطر — وثيقة حية تحتوي على جميع المخاطر المعروفة. ومن أبرز تقنيات التحديد:

  • جلسات العصف الذهني مع فريق المشروع وأصحاب المصلحة الرئيسيين. اسأل "ما الذي قد يسير خطأً؟" في محاور النطاق والجدول والميزانية والتقنية والأفراد والعوامل الخارجية.
  • قوائم المراجعة والقوالب من مشاريع مماثلة سابقة. معظم المنظمات التي أنجزت مشروعين أو ثلاثة في مجال تقنية المعلومات تراكم لديها مجموعة متكررة من المخاطر تستحق المتابعة من اليوم الأول.
  • مقابلات الخبراء — خطر هجرة البيانات الذي يبدو نظرياً للمحلل قد يكون بديهياً لمسؤول قاعدة البيانات الذي نفّذ اثنتَي عشرة عملية ترحيل.
  • تحليل الافتراضات — كل افتراض في خطة المشروع هو خطر محتمل. إذا كانت الخطة تفترض أن المورد X سيُسلّم الواجهة البرمجية بحلول مارس، فالخطر هو ألا يفعل ذلك.
  • الاستفادة من تحليل SWOT — التهديدات الواردة في تحليل SWOT قابلة للاستخدام مباشرةً بوصفها مخاطر للمشروع.

في نظام حجز العيادة، قد تكشف جلسة العصف الذهني عن: مقاومة الموظفين للتغيير، وترحيل البيانات من السجل الورقي القديم، وتأخر التكامل مع نظام معلومات المختبر، وزحف النطاق بسبب طلبات الأطباء لميزات إضافية، ومغادرة المطور الرئيسي في منتصف المشروع.

الخطوة الثانية — تقييم المخاطر: الاحتمالية والتأثير

تحديد خمسين خطراً لن يكون مفيداً إلا إذا عرفت أيها يستحق أكثر الاهتمام. يعتمد التقييم على بُعدين:

  • الاحتمالية (الأرجحية) — ما احتمال تحقق هذا الخطر؟ تُقيَّم من 1 (نادر) إلى 5 (شبه مؤكد)، أو بنطاقات نسبية: أقل من 10 %، 10–30 %، 30–60 %، 60–80 %، أكثر من 80 %.
  • التأثير (العواقب) — إن تحقق الخطر، ما حجم الضرر؟ يُقيَّم من 1 (لا يُذكر) إلى 5 (حرج)، ويُقاس بتجاوز التكاليف أو التأخر في الجدول أو الضرر بالسمعة.

ضرب القيمتين يعطي درجة الخطر (تُعرف أيضاً بدرجة التعرض للمخاطر أو رقم الأولوية). خطر باحتمالية 4 وتأثير 5 يحصل على درجة 20 — وهو في المنطقة الحمراء ويتطلب تخطيطاً فورياً. خطر باحتمالية 1 وتأثير 2 يحصل على درجة 2 — مقبول للمتابعة دون تدخل فعّال.

المفهوم الجوهري — درجة الخطر = الاحتمالية × التأثير. يتيح لك هذا الرقم الواحد ترتيب المخاطر موضوعياً وتوزيع جهود التخفيف بشكل متناسب. الدرجات 1–4 منخفضة (خضراء)، 5–9 متوسطة (عنبرية)، 10–25 عالية (حمراء). هذه النطاقات اتفاقية — كيّفها وفق درجة تحمّل مؤسستك للمخاطر.

مصفوفة الاحتمالية/التأثير

الأداة البصرية الأكثر استخداماً في إدارة المخاطر هي مصفوفة الاحتمالية/التأثير (تُعرف أيضاً بخريطة حرارة المخاطر). تُرسم المخاطر على شبكة: المحور الأفقي يمثل الاحتمالية، والمحور الرأسي يمثل التأثير. تُخبرك المناطق اللونية الناتجة — الخضراء والعنبرية والحمراء — بنظرة واحدة أين يجب أن يُركّز الفريق جهوده.

Probability/Impact Risk Matrix 1 — Rare 2 — Unlikely 3 — Possible 4 — Likely 5 — Near Certain Probability → 1 — Negligible 2 — Minor 3 — Moderate 4 — Major 5 — Critical Impact ↑ R1 R2 R3 R4 R5 High (10–25) Medium (5–9) Low (1–4)
مصفوفة الاحتمالية/التأثير لمشروع العيادة. R1 (مقاومة الموظفين) و R2 (ترحيل البيانات) في المنطقة الحمراء ذات الأولوية القصوى؛ R3 (زحف النطاق) و R4 (مغادرة المطور الرئيسي) في المنطقة العنبرية؛ R5 (تأخر الواجهة البرمجية) في المنطقة الخضراء.

الخطوة الثالثة — استجابات المخاطر

رسم المخاطر على المصفوفة ليس نهاية العمل — بل بداية التخطيط. يجب على الفريق الاتفاق على استراتيجية استجابة لكل خطر. هناك أربع استراتيجيات قياسية:

  • التجنب — إزالة الخطر كلياً بتغيير الخطة. إذا كان تكامل واجهة برمجية خارجية يشكّل خطر تسليم عالياً، فكّر في تأجيله إلى إصدار لاحق حتى يتمكن النظام الأساسي من الإطلاق دونه.
  • التخفيف (التقليل) — اتخاذ إجراءات لتقليل الاحتمالية أو التأثير أو كليهما. لتخفيف مقاومة الموظفين، نظّم سلسلة من ورش العمل وعيّن بطلاً في العيادة يُدرّب الزملاء ويدعم النظام.
  • النقل — تحويل العواقب المالية إلى طرف آخر. العقود التي تتضمن غرامات على التأخير تنقل خطر التأخر إلى المورد. تأمين الأمن السيبراني ينقل جزءاً من التأثير المالي لاختراق البيانات.
  • القبول — الاعتراف بالخطر والتحضير لخطة طوارئ دون اتخاذ إجراء استباقي. مناسب للمخاطر ذات الدرجة المنخفضة حيث تفوق تكلفة التخفيف الخسارة المتوقعة.
أفضل ممارسة — تعيين مالك للمخاطرة. يجب أن يكون لكل خطر في السجل شخص مسمى مسؤول عن مراقبته وتفعيل خطة الاستجابة إذا تحقق. بدون الملكية، تُناقَش المخاطر في الاجتماعات ثم تُنسى.

سجل المخاطر على أرض الواقع

سجل المخاطر هو الأداة المرجعية المركزية. قد يبدو السجل المبسط لنظام حجز العيادة كالتالي:

  • R1 — مقاومة الموظفين لتغيير النظام | الاحتمالية: 4 | التأثير: 4 | الدرجة: 16 | الاستجابة: تخفيف — تنفيذ أربع ورش تدريب نصف يومية؛ تعيين بطل في كل قسم. المالك: مدير العمليات.
  • R2 — تلف أو فقدان البيانات أثناء الترحيل | الاحتمالية: 3 | التأثير: 5 | الدرجة: 15 | الاستجابة: تخفيف — إجراء ثلاث عمليات ترحيل تجريبية موازية في بيئة الاختبار؛ الإبقاء على السجل الورقي احتياطياً لأول 30 يوماً. المالك: المطور الرئيسي.
  • R3 — زحف النطاق بسبب طلبات الأطباء | الاحتمالية: 4 | التأثير: 3 | الدرجة: 12 | الاستجابة: تجنب — إنشاء لجنة رسمية للتحكم في التغييرات؛ كل طلب ميزة جديدة يتطلب موافقة كتابية من لجنة التوجيه. المالك: مدير المشروع.
  • R4 — مغادرة المطور الرئيسي في منتصف المشروع | الاحتمالية: 2 | التأثير: 4 | الدرجة: 8 | الاستجابة: تخفيف — تطبيق البرمجة الثنائية وجلسات أسبوعية لتبادل المعرفة حتى لا يمتلك مطور واحد معرفة حرجة وحده. المالك: مدير تقنية المعلومات.
  • R5 — تأخر الواجهة البرمجية للتكامل من المورد الخارجي | الاحتمالية: 2 | التأثير: 2 | الدرجة: 4 | الاستجابة: قبول — مراقبة خارطة طريق المورد؛ إذا تجاوز التأخر أسبوعين، يُصعَّد الأمر للجنة التوجيه. المالك: المحلل التجاري.

المخاطر المتبقية والثانوية

بعد وضع خطة التخفيف، تبقى المخاطرة المتبقية — أي المخاطرة التي لا تزال قائمة. إذا قلّلت عمليات الترحيل التجريبية احتمالية تلف البيانات من 3 إلى 1، تنخفض الدرجة المتبقية من 15 إلى 5. يجب تسجيل هذه الدرجة ما بعد التخفيف أيضاً، لأنها تُخبر أصحاب المصلحة بمستوى المخاطرة التي يقبلونها فعلياً عند اعتماد المشروع.

يمكن أن تولّد الاستجابات مخاطر ثانوية — مخاطر جديدة ناجمة عن إجراء التخفيف ذاته. البرمجة الثنائية تقلل خطر الشخص الرئيسي، لكنها قد تزيد الطاقة الإنتاجية للفريق بنحو 20 %، مما قد يؤثر في الجدول الزمني. سجّل المخاطر الثانوية في السجل بوصفها إدخالات مستقلة.

تقييم المخاطر في تقرير الجدوى

يتضمن تقرير الجدوى (الدرس التاسع) قسماً مخصصاً للمخاطر. يتوقع المراجعون ثلاثة أشياء: سجل المخاطر مرتباً حسب الأولوية، والدرجات المتبقية بعد التخفيف، وبياناً واضحاً بالملف العام للمخاطر — يُعبَّر عنه عادةً بـ عالٍ / متوسط / منخفض للمشروع ككل. يجب أن يُرفق المشروع الذي يضم خطرين في المنطقة الحمراء لا يمكن تخفيفهما إلى مستوى عنبري بتوصية صريحة: إما التأجيل حتى تتحسن الظروف، أو تقليص النطاق، أو زيادة ميزانية الطوارئ.

Risk Response Cycle Identify Risk Register Score P × I Matrix Respond Avoid/Mitigate/Transfer/Accept Assign Risk Owners Monitor Residual Scores Re-assess throughout the project lifecycle
دورة الاستجابة للمخاطر — التحديد والتقييم وتخطيط الاستجابة والملكية والمراقبة المستمرة — تتكرر طوال دورة حياة المشروع.
فخ شائع — معاملة سجل المخاطر كمخرج يُقدَّم مرة واحدة. السجل مفيد فقط إذا جرى مراجعته في كل اجتماع حالة للمشروع وتحديثه كلما تغيرت الظروف. خطر كان في المنطقة العنبرية في الشهر الأول قد يتحول إلى منطقة حمراء في الشهر الثالث إذا تبيّن أن أحد الافتراضات كان خاطئاً. سجلات المخاطر الثابتة توهم بالأمان الزائف.

خلاصة

  • تحديد المخاطر يستخدم العصف الذهني وقوائم المراجعة ومقابلات الخبراء وتحليل الافتراضات لملء سجل المخاطر.
  • تقييم المخاطر يضرب الاحتمالية (1–5) في التأثير (1–5) للحصول على رقم أولوية؛ وتصوّر مصفوفة الاحتمالية/التأثير الملف العام للمخاطر.
  • استجابات المخاطر تنقسم إلى أربع استراتيجيات: التجنب، والتخفيف، والنقل، والقبول. لكل خطر مالك مسمى.
  • يجب توثيق المخاطر المتبقية والثانوية بعد تخطيط الاستجابات.
  • يعرض تقرير الجدوى ملف المخاطر بعد التخفيف حتى يتخذ صناع القرار موافقتهم بوعي كامل.
الدرس السابق الجدوى الزمنية والقانونية
الدرس التالي بناء أم شراء أم اشتراك؟
العودة للدورة