Minule jsem popisoval, co vlastně je riziko, jak je identifikovat a ohodnotit. Dnes budeme pokračovat podíváme se detailněji na to, co s identifikovanými riziky můžeme dělat:
Ošetření rizik
Pokud jsme posoudili hodnotu určitého rizika a rozhodli se jej nějak ošetřit, měli bychom se zamyslet, jaká konkrétní opatření budou přijata a kdo za ně bude zodpovídat. Cílem této fáze je snížit celkovou hodnotu všech rizik na takovou úroveň, aby projekt byl s vysokou pravděpodobností úspěšně realizovatelný.
Nejjednodušší reakcí je rozhodnout se riziko pasivně přijmout – akceptovat. To, jak velkou hodnotu rizika si můžeme dovolit přijmout, by mělo vyplynout z firemní strategie řízení rizik. Pokud firma takovou strategii nemá, musí si hodnotu akceptovatelného rizika určit projektový tým, nejlépe ve spolupráci se sponzorem projektu. Akceptovaná rizika nejsou dále řešena, nicméně je třeba je dále v průběhu realizace monitorovat a prověřovat, zdali se jejich parametry nemění. I tato rizika by tedy měla mít své vlastníky – osoby zodpovědné za řešení daného rizika.
U rizik, která nehodláme prostě akceptovat tak, jak jsou, je následně třeba rozhodnout o vhodné strategii, jak jej řešit. Existují strategie preventivních řešení, ve kterých se snažíme zajistit, aby scénář daného rizika vůbec nenastal (respektive se někde v průběhu zastavil). Preventivní řešení obvykle znamená nějaký dopad do rozpočtu, rozsahu a/nebo do harmonogramu. Zjednodušeně řečeno si „nakoupíme opatření“, přičemž náklady na dané opatření by samozřejmě neměly přesahovat hodnotu rizika.
Reaktivní řešení na druhé straně připouští realizaci rizikového scénáře, který je však doplněn o vhodný varovný signál, spouštěč (trigger), který upozorní projektový tým o tom, že se scénář začíná realizovat. Varovný signál pak obvykle spouští předem promyšlené nápravné akce. Na rozdíl od prevence jsou tedy dodatečné náklady investovány až ve chvíli, kdy scénář nastává a nikoliv předem. V případě, že musíme řešit riziko, které jsme nijak neošetřili, nebo dané opatření nebylo účinné, čekají nás vícepráce (workaround), což vždy znamená zpoždění a vícenáklady.
K dispozici jsou především následující strategie:
Eliminace rizika (Avoid)
Též jako vyloučení rizika nebo vyhnutí se riziku. Princip spočívá v nalezení jiného řešení dané situace, které rizikovou událost neobsahuje. Pokud bychom tedy měli např. důležitou schůzku se zákazníkem projektu a jako rizikový scénář vnímali cestu autem po dálnici, která je často ucpaná a dochází zde i několikahodinovým zpožděním, mohli bychom to vyřešit cestou vlakem. Volbou zcela jiné technologie dopravy bychom zcela eliminovali scénář zácpy na dálnici. Nicméně, je zřejmé, že jiné řešení může mít i svá další, jiná rizika. Naprostá eliminace rizika by bylo schůzku zrušit, což je obdoba redukce rozsahu projektu, která však obvykle není příliš chtěna.
Tento typ preventivního ošetření rizika nemusí mít nutně negativní dopad do rozpočtu nebo harmonogramu projektu. Naopak může dojít i k úsporám nebo prostě změně v provedení.
Přenést riziko (Transfer)
Někdy též jako „pojištění rizika“. S rizikem jako takovým se nic neděje, pouze je přesměrován jeho dopad na „třetí stranu“ (která o tomto převodu ví a souhlasí s ním). Typickým příkladem této strategie je právě pojištění. Jedná se tedy o opatření, které má obecně dopad do nákladů.
Případně, pokud bychom řešili již zmíněnou schůzku, můžeme se domluvit se zákazníkem, že se schůzka uskuteční u nás a veškerá rizika spojená s cestováním přeneseme na něj. Obdobou je také přesměrovávání různých sankcí na subdodavatele, záruky, garance atd.
Jiným aspektem této strategie ošetřování rizik jsou smlouvy typu „čas a náklady“, při kterých nese mnoho rizik zákazník versus kontrakty typu fixní náklady, které znamenají riziko spíše pro dodavatele.
I když je strategie „přenést riziko“ preventivním typem ošetření, je nutno si uvědomit, že s rizikem jako takovým se v podstatě nic neděje a pokud jeho scénář skutečně nastane, tak sice škodu zaplatí někdo jiný, nicméně i tak můžeme mít mnohé komplikace i my sami. Když např. vyhoří sklad s našimi produkty, musíme je udělat znovu, což bude znamenat zpoždění atp. A čas je záležitost, kterou nám zřejmě nikdo nebude schopen dodat.
Zmírnit (oslabit) riziko (Mitigate)
V rámci této preventivní strategie se snažíme nalézt taková opatření, která by snížila pravděpodobnost a/nebo dopad daného rizikového scénáře. Např., v případě schůzky řešené v odstavcích výše by bylo jedním z řešení jak zmírnit riziko uvíznutí v dopravní zácpě vyrazit o dvě hodiny dříve. Pokud by to byl čas mimo špičku, snižujeme pravděpodobnost dopravních komplikací a pokud by přeci jen nastaly, tak díky časové rezervě nebude dopad takový.
Případně je variantou též rozdělení rizika, např. v podobě domluvy schůzky „na půl cesty“.
Dalšími typickými ukázkami této strategie jsou výroba a testy prototypů, redundantní záložní systémy, volba prověřených dodavatelů apod. Je pravděpodobné, že aplikace této strategie bude mít dopad do nákladů a/nebo času projektu.
Akceptace rizika (Accept)
Tato strategie znamená vědomě akceptovat, což znamená, že o něm víme, ale nečiníme žádná konkrétní opatření a řešíme jej, až když nastane.
Akceptace může být pasivní, což znamená, že skutečně nečiníme žádné opatření krom záznamu daného rizika v registru rizik anebo také aktivní, což znamená, že vytvoříme v rozpočtu a harmonogramu určitou rezervu, která by měla případný výskyt rizika pokrýt.
Tato strategie je tedy na pomezí prevence a reakce. Do pasivní akceptace nakonec patří i rizika, která jsme nebyli schopni identifikovat, do aktivní pak obvykle spadnou rizika malé hodnoty nebo rizika hodnoty střední, na které jsme nebyli schopni nalézt smysluplná opatření. Velmi obecně tedy platí, že na rizika vysoké hodnoty je třeba koupit opatření, zatímco na rizika hodnoty střední je vhodné vytvořit rezervy – je jich mnoho a my víme, že některá nastanou, ovšem nevíme která. Proto je tedy vhodné mít rezervu, která bude schopna co možná nejvíce zmírnit dopad daného rizika.
Záložní plány (Contingency plan)
Již plně reaktivní strategie, která je založena na definici spouštěčů (triggers), což jsou přesně popsané události k přesně stanovenému času. Pokud je sledovaný ukazatel na určité hodnotě, je automaticky spuštěn sled naplánovaných úkonů.
Výhodou oproti akceptaci rizika je, že jednáme s určitým předstihem a zároveň máme řešení nachystáno. Příkladem souvisejícím s výše zmiňovanou schůzkou je např. opatření, že pokud je hodinu před odjezdem doprava na stupni 3, automaticky měníme technologii a jedeme vlakem – s tím, že máme předem nalezený spoj atd.
Záložní plány je vhodné definovat i pro rizika s vysokou hodnotou, na která jsme nalezli opatření k jejich zmírnění nebo jsme je přenesli. Takové riziko zkrátka může i přes přijatá opatření nastat, prevence může selhat, a pokud se jedná o riziko s vysokou hodnotou, je zkrátka dobré mít plán B (fallback plan).
Monitorování a přezkoumání rizik
Pokud jsme provedli analýzu rizik a pokračujeme implementací projektu, je nutno všechna rizika neustále sledovat, protože může dojít k řadě možných událostí:
- Mohou se změnit podmínky, které ovlivní hodnotu pravděpodobnosti nebo velikost dopadu (nebo obojí) u některého rizika. Pokud takový případ nastane, musíme opět přepočítat aktuální hodnotu rizika a případně doplnit opatření.
- Může vzniknout nová významná hrozba. Pak ji musíme analyzovat a případným rizikům vzniklým z dané hrozby přidělit adekvátní opatření.
- Některá hrozba naopak může pominout. Pak takové riziko můžeme vyřadit ze sledování.
- Došlo k situaci, že některé opatření ztratilo svoji účinnost a musíme ho nahradit jiným nebo musíme stávající opatření modifikovat, aby bylo účinnější.
- Zjistí se (rozpozná se), že je potřeba přehodnotit scénář, a tím se změní pravděpodobnost nebo dopad. I zde je nutné určit novou hodnotu rizika a realizovat případné návazné kroky.
- Nastala situace, která vyžaduje aktivovat připravené opatření (pojistná událost, nutnost čerpat připravenou rezervu apod.).
Sledování rizik bývá často zařazováno jako pravidelný bod pravidelných porad projektových týmů.
Osvědčený postup je také určení tzv. vlastníka rizika (risk owner), který je zodpovědný za jeho sledování, a ten v případě nutnosti referuje vedoucímu projektu o nastalé situaci a seznámí projektový tým s doporučeným řešením. V předchozí variantě je de facto vlastníkem všech rizik projektový manažer.
Podobně můžeme hovořit o vlastníkovi určité příležitosti.
Dokument, který obsahuje seznam všech sledovaných rizik, se nazývá registr rizik, (též se používá termín katalog rizik a příležitostí), viz výše v oddílu „Identifikace rizik“. Příležitosti jsou často vedeny odděleně v samostatném katalogu příležitosti (resp. registru příležitostí).
Součástí monitoringu rizik projektu mohou být i různé audity a kontroly, které mají za účel ověřit efektivitu zvolených opatření proti rizikům. S tím souvisí i kontroly projektových rezerv, analýzy trendů, odchylek apod., a to jak procesů řízení projektu, tak co se věcné produkce projektu týče.
Ve většině malých a středních projektů se s analýzou rizik moc nepracuje, spíše se jen zveřejní po formální stránce, aby bylo vidět, před auditory, že se tento procesní krok dle PmBok děla.
Prakticky to vypadá jak v následující tabulce, kdy se všechna rizika zváží a akceptují. Protože, většina společností mají pojistky proti business pochybení.
Poznámka závěrem: monitorování a přezkoumání rizik je v mnoha případech považováno za administrativní zátěž, která prodražuje projekt a může způsobit i jeho zdržení v časové a nákladové ose, proto se volí jako nejschůdnější ošetření rizika akceptace rizika s pojištěním.
Vlastimil Čep je studentem programu PhD na LIGS University
