Riziko projektu je nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle projektu (myšlen především vliv na trojimperativ projektu). Případně je možné hovořit o vlivu na tzv. aktivum – cokoliv, co má pro organizaci nějakou hodnotu a je tedy potřeba na projektu chránit. Aktivum může mít hmotnou i nehmotnou hodnotu (např. zpoždění dodávky o dva týdny nebo nějaká drobná závada produktu nemusí být z věcného hlediska fatální problém, nicméně v oblasti poškození dobrého jména firmy se může jednat o vážný problém. Jako aktivum jsou samozřejmě vnímány i dimenze trojimperativu).
Jedná se tedy o něco, co může být, ale také nemusí! Pokud tedy např. někdo vnímá jako riziko nedostatečný rozpočet nebo poddimenzovaný harmonogram, řeší fakta a nikoliv nejistoty. Na body k řešení jsou jiné postupy a nástroje než pro řízení rizik. Uvedené záležitosti mohou být zdrojem rizik – např. by mohlo být rizikem zvýšení počtu závad v důsledku uspěchané realizace, s tím už bude možné pracovat. S prostým prohlášením „je na to málo peněz a času“ však nikoliv.
Moderní projektové řízení chápe pod pojmem riziko (risk) nejistou negativní událost, ohrožení (threat). Pracuje však i s pojmem příležitost (opportunity), která je vnímána jako nejistá událost pozitivní (přínos, zisk). Někdy se hovoří i o tzv. pozitivním riziku. Pro zjednodušení je dále v textu uvažováno především ohrožení a je používán termín riziko, obdobné postupy však lze aplikovat i pro příležitosti.
Jako přípravný krok je vhodné sestavit plán řízení rizik (risk management plan), podmnožinu plánu řízení projektu, ve kterém budou stanoveny postupy a pravidla pro řízení rizik v daném konkrétním projektu.
Prvním „věcným“ krokem po naplánování řízení rizik je jejich identifikace. Snažíme se nalézt, která nebezpečí mohou ohrozit projekt a tato nebezpečí se pokoušíme zaznamenat a co nejpřesněji popsat. Není možné sestavit vyčerpávající seznam všech možných nebezpečí, která hrozí projektu. Je však potřeba identifikovat významná nebezpečí, která mohou výrazně ovlivnit úspěch projektu. V této fázi se nejčastěji používá metoda brainstormingu nebo i další kreativní techniky. Často mají některé firmy zpracovaný seznam nebezpečí na základě vyhodnocení minulých projektů (checklist) a projektový tým nad jeho položkami zvažuje, které případy ze zpracovaného seznamu jsou pro konkrétní projekt aktuální a které ne, a sestavuje tak vlastní seznam.
Užitečné mohou být i různé techniky založené na diagramech, jako jsou vývojové diagramy, diagramu příčin a následků, myšlenkové mapy atd.
Velmi podstatným je způsob popisu rizika, který je potřeba provést co nejdůkladněji, a to od příčiny (zdroje) až po efekt (dopad) na některá aktivum projektu, které chceme chránit. Nestačí tedy např. identifikovat riziko „špatné počasí“. To je zcela nedostatečné, v takovém případě se jedná o označení možné hrozby ale nikoliv o riziko projektu.
Správný popis rizika projektu je ve formátu hrozba – scénář – popis dopadu, přičemž scénář může být složen i z vícero příčin a následků za sebou. Např. tedy pro výše zmíněné špatné počasí to může být: Přívalový déšť během druhé etapy projektu způsobí lokální záplavy druhého stupně, což bude znamenat vzestup hladiny říčky tekoucí vedle areálu o 2,5 m, takže dojde k zaplavení výrobní haly do výšky 30 cm, což způsobí poškození strojů a materiálu. Opravy a náhrady budou stát 2,5 milionu a situace způsobí prodloužení času výroby o jeden měsíc.
Tedy co nejkonkrétněji, s co nejpřesněji uvedenými dopady do našeho projektu. Nejdůležitějším výstupem z tohoto procesního kroku je registr rizik (risk register), respektive jeho úvodní část, ve které jen provedena identifikace (a popis) rizik projektu.
Identifikovat rizika svých projektů se naučíte např. na tréninku Projektové řízení krok za krokem!
Vycházíme ze založeného registru rizik, do kterého je nyní potřeba určit (odhadnout) pravděpodobnost popsaného scénáře a stanovit (odhadnout) vážnost předpokládaného nepříznivého dopadu na projekt. Objektivitě zde velmi napomáhá výše uvedené stanovení úrovní pravděpodobnosti a dopadu.
Je výhodné nejprve provést tzv. kvalitativní analýzu rizik, ve které použijeme pro stanovení pravděpodobnosti a dopadu slovní (verbální) hodnoty (např. vysoká pravděpodobnost, střední pravděpodobnost, nízká pravděpodobnost, resp. velký dopad, střední dopad, malý dopad nebo nějaké bodovací stupnice (skórovací metoda).
Základním nástrojem této formy analýzy je matice pravděpodobnosti a dopadu, ze které vyjde hodnota daného rizika. Může vypadat např. takto:
| 4 Vysoká pravděpo- dobnost | ||||
|---|---|---|---|---|
| 3 Spíše vyšší pravděpo- dobnost | ||||
| 2 Spíše nižší pravděpo- dobnost | ||||
| 1 Nízká pravděpo- dobnost | ||||
| 1 Malý dopad | 2 Spíše menší dopad | 3 Spíše větší dopad | 4 Velký dopad |
Tento postup je sice nepříliš přesný, avšak rychlý a roztřídí nám rizika dostatečně dobře dle závažnosti.
Je třeba vhodně nastavit hranice intervalů pravděpodobnosti a dopadu, např.:
Dále může být v tomto kroku provedena např. kategorizace rizik podle definovaných oblastí, podle jejich zdrojů nebo také podle jejich urgence z hlediska času.
Kvalitativní analýza rizik by měla být provedena vždy.
Následně může být (ale nemusí) být provedena kvantitativní analýza rizik projektu, ve které se snažíme o přesnou analýzu rizik projektu pomocí číselného vyjádření pravděpodobnosti a dopadu ve finančních jednotkách. Často se také dané početní metody používají pro vyjádření agregované rizikovosti projektu apod.
Účelem tohoto kroku je rozhodnout, která rizika mají být ošetřena, která budou zanedbána nebo která naopak nelze akceptovat.
Obecně se dá doporučit vycházet z paretovského principu 80/20. Tedy 20% nejvýznamnějších rizik velmi dobře ošetřit, třeba i většinou prostředků na ošetření rizik a zbylé prostředky ponechat jako rezervu.
Tento krok je v rámci PMI® PM BoK v podstatě součástí kroků předchozích, protože např. rozdělení matice pravděpodobnosti a dopadu podle úrovní hodnoty rizik (malá, střední, velká) je de facto rozhodnutím, zda budou zanedbána, ošetřena atd.
Nicméně, i samostatné vydělení tohoto kroku v pojetí ISO má svůj smysl a lze jej doporučit. Především u středních hodnot rizik je totiž vhodné se zamyslet, zda se snažit nalézt nějaké preventivní opatření nebo jen připravit nějaký záložní plán apod.
Pokud jsme posoudili hodnotu určitého rizika a rozhodli se jej nějak ošetřit, měli bychom se zamyslet, jaká konkrétní opatření budou přijata a kdo za ně bude zodpovídat.
Cílem této fáze je snížit celkovou hodnotu všech rizik na takovou úroveň, aby projekt byl s vysokou pravděpodobností úspěšně realizovatelný.
Nejjednodušší reakcí je rozhodnout se riziko pasivně přijmout – akceptovat. To, jak velkou hodnotu rizika si můžeme dovolit přijmout, by mělo vyplynout z firemní strategie řízení rizik. Pokud firma takovou strategii nemá, musí si hodnotu akceptovatelného rizika určit projektový tým, nejlépe ve spolupráci se sponzorem projektu. Akceptovaná rizika nejsou dále řešena, nicméně je třeba je dále v průběhu realizace monitorovat a prověřovat, zdali se jejich parametry nemění. I tato rizika by tedy měla mít své vlastníky – osoby zodpovědné za řešení daného rizika.
U rizik, která nehodláme prostě akceptovat tak, jak jsou, je následně třeba rozhodnout o vhodné strategii, jak dané riziko řešit. Existují strategie preventivních řešení, ve kterých se snažíme zajistit, aby scénář daného rizika vůbec nenastal (respektive se někde v průběhu zastavil). Preventivní řešení obvykle znamená nějaký dopad do rozpočtu, rozsahu a/nebo do harmonogramu. Zjednodušeně řečeno si „nakoupíme opatření“, přičemž náklady na dané opatření by samozřejmě neměly přesahovat hodnotu rizika.
Reaktivní řešení na druhé straně připouští realizaci rizikového scénáře, který je však doplněn o vhodný varovný signál, spouštěč (trigger), který upozorní projektový tým o tom, že se scénář začíná realizovat. Varovný signál pak obvykle spouští předem promyšlené nápravné akce. Na rozdíl od prevence jsou tedy dodatečné náklady investovány až ve chvíli, kdy scénář nastává a nikoliv předem. V případě, že musíme řešit riziko, které jsme nijak neošetřili, nebo dané opatření nebylo účinné, čekají nás vícepráce (workaround), což vždy znamená zpoždění a vícenáklady.
K dispozici jsou především následující rizikové strategie:
Též jako vyloučení rizika nebo vyhnutí se riziku. Princip spočívá v nalezení jiného řešení dané situace, které rizikovou událost neobsahuje. Pokud bychom tedy měli např. důležitou schůzku se zákazníkem projektu a jako rizikový scénář vnímali cestu autem po dálnici, která je často ucpaná a dochází zde i několikahodinovým zpožděním, mohli bychom to vyřešit cestou vlakem. Volbou zcela jiné technologie dopravy bychom zcela eliminovali scénář zácpy na dálnici. Nicméně, je zřejmé, že jiné řešení může mít i svá další, jiná rizika. Naprostá eliminace rizika by bylo schůzku zrušit, což je obdoba redukce rozsahu projektu, která však obvykle není příliš chtěna.
Tento typ preventivního ošetření rizika nemusí mít nutně negativní dopad do rozpočtu nebo harmonogramu projektu. Naopak může dojít i k úsporám nebo prostě změně v provedení.
Někdy též jako „pojištění rizika“. S rizikem jako takovým se nic neděje, pouze je přesměrován jeho dopad na „třetí stranu“ (která o tomto převodu ví a souhlasí s ním). Typickým příkladem této strategie je právě pojištění. Jedná se tedy o opatření, které má obecně dopad do nákladů.
Případně, pokud bychom řešili již zmíněnou schůzku, můžeme se domluvit se zákazníkem, že se schůzka uskuteční u nás a veškerá rizika spojená s cestováním přeneseme na něj. Obdobou je také přesměrovávání různých sankcí na subdodavatele, záruky, garance atd.
Jiným aspektem této strategie ošetřování rizik jsou smlouvy typu „čas a náklady“, při kterých nese mnoho rizik zákazník versus kontrakty typu fixní náklady, které znamenají riziko spíše pro dodavatele.
I když je strategie „přenést riziko“ preventivním typem ošetření, je nutno si uvědomit, že s rizikem jako takovým se v podstatě nic neděje a pokud jeho scénář skutečně nastane, tak sice škodu zaplatí někdo jiný, nicméně i tak můžeme mít mnohé komplikace i my sami. Když např. vyhoří sklad s našimi produkty, musíme je udělat znovu, což bude znamenat zpoždění atp. A čas je záležitost, kterou nám zřejmě nikdo nebude schopen dodat.
V rámci této preventivní strategie se snažíme nalézt taková opatření, která by snížila pravděpodobnost a/nebo dopad daného rizikového scénáře. Např., v případě schůzky řešené v odstavcích výše by bylo jedním z řešení jak zmírnit riziko uvíznutí v dopravní zácpě vyrazit o dvě hodiny dříve. Pokud by to byl čas mimo špičku, snižujeme pravděpodobnost dopravních komplikací a pokud by přeci jen nastaly, tak díky časové rezervě nebude dopad takový.
Případně je variantou též rozdělení rizika, např. v podobě domluvy schůzky „na půl cesty“.
Dalšími typickými ukázkami této strategie jsou výroba a testy prototypů, redundantní záložní systémy, volba prověřených dodavatelů apod. Je pravděpodobné, že aplikace této strategie bude mít dopad do nákladů a/nebo času projektu.
Tato strategie znamená vědomě akceptovat, což znamená, že o něm víme, ale nečiníme žádná konkrétní opatření a řešíme jej, až když nastane.
Akceptace může být pasivní, což znamená, že skutečně nečiníme žádné opatření krom záznamu daného rizika v registru rizik anebo také aktivní, což znamená, že vytvoříme v rozpočtu a harmonogramu určitou rezervu, která by měla případný výskyt rizika pokrýt.
Tato strategie je tedy na pomezí prevence a reakce. Do pasivní akceptace nakonec patří i rizika, která jsme nebyli schopni identifikovat, do aktivní pak obvykle spadnou rizika malé hodnoty nebo rizika hodnoty střední, na které jsme nebyli schopni nalézt smysluplná opatření. Velmi obecně tedy platí, že na rizika vysoké hodnoty je třeba koupit opatření, zatímco na rizika hodnoty střední je vhodné vytvořit rezervy – je jich mnoho a my víme, že některá nastanou, ovšem nevíme která. Proto je tedy vhodné mít rezervu, která bude schopna co možná nejvíce zmírnit dopad daného rizika.
Již plně reaktivní strategie, která je založena na definici spouštěčů (triggers), což jsou přesně popsané události k přesně stanovenému času. Pokud je sledovaný ukazatel na určité hodnotě, je automaticky spuštěn sled naplánovaných úkonů.
Výhodou oproti akceptaci rizika je, že jednáme s určitým předstihem a zároveň máme řešení nachystáno. Příkladem souvisejícím s výše zmiňovanou schůzkou je např. opatření, že pokud je hodinu před odjezdem doprava na stupni 3, automaticky měníme technologii a jedeme vlakem – s tím, že máme předem nalezený spoj atd.
Záložní plány je vhodné definovat i pro rizika s vysokou hodnotou, na která jsme nalezli opatření k jejich zmírnění nebo jsme je přenesli. Takové riziko zkrátka může i přes přijatá opatření nastat, prevence může selhat, a pokud se jedná o riziko s vysokou hodnotou, je zkrátka dobré mít plán B (fallback plan).
Pokud jsme provedli analýzu rizik a pokračujeme implementací projektu, je nutno všechna rizika neustále sledovat, protože může dojít k řadě možných událostí:
Sledování rizik bývá často zařazováno jako pravidelný bod pravidelných porad projektových týmů.
Osvědčený postup je také určení tzv. vlastníka rizika (risk owner), který je zodpovědný za jeho sledování, a ten v případě nutnosti referuje vedoucímu projektu o nastalé situaci a seznámí projektový tým s doporučeným řešením. V předchozí variantě je de facto vlastníkem všech rizik projektový manažer.
Podobně můžeme hovořit o vlastníkovi určité příležitosti.
Dokument, který obsahuje seznam všech sledovaných rizik, se nazývá registr rizik, (též se používá termín katalog rizik a příležitostí), viz výše v oddílu „Identifikace rizik“. Příležitosti jsou často vedeny odděleně v samostatném katalogu příležitosti (resp. registru příležitostí).
Součástí monitoringu rizik projektu mohou být i různé audity a kontroly, které mají za účel ověřit efektivitu zvolených opatření proti rizikům. S tím souvisí i kontroly projektových rezerv, analýzy trendů, odchylek apod., a to jak procesů řízení projektu, tak co se věcné produkce projektu týče.
Význam a důležitost problematiky rizik ukazuje skutečnost, že byla vydána a v poslední době revidována mezinárodní organizací ISO řada norem, které se zabývají z různých pohledů problematikou rizik. Např. se jedná o ISO 31000-2010 nebo ČSN IEC 62198-2002.
Oblast řízení rizik je významnou součástí všech hlavních metodik a standardů pro řízení projektu.
Více informací o řízení rizik projektu naleznete v knize Projektový management.
Řídit rizika svých projektů se naučíte na tréninku Projektové řízení krok za krokem!
