Management Řízení projektových rizik a změn
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326
Osnova: Úvod 1. Řízení projektových rizik 2. Řízení změn v projektu Závěr
LITERATURA • PITAŠ, J., HAJKR, J., HAVLÍK, J., MÁCHAL, P., MOTAL, M., NOVÁK, I., STANÍČEK, Z. Národní standard kompetencí projektového řízení verze 3.2 – National standard competences of project management version 3.2. 3. vyd. Brno: Společnost pro projektové řízení o.s., 2012. 335 s. ISBN 978-80-260-2325-8. • DOLEŽAL, J., MÁCHAL, P., LACKO, B. a kolektiv. Projektový management podle IMPA. 2. vyd. Praha: Grada Publishing, a.s., 2012. 507 s. ISBN 978-80-247-4275-5. • ROSENAU M. D. Řízení projektů. 1. vyd. Praha: Computer Press, 2000. 344 s. ISBN 80-7226-218-1. • PROJECT MANAGEMENT INSTITUTE. Praktice Standard for Project Risk Management. Pensylvania (USA): Project Management Institute, Inc., 2009. 116 p. ISBN 978-1-933890-38-8.
• SVOZILOVÁ, A. Projektový management. 2. vyd. Praha: Grada Publishing, 2011. 392 s. ISBN 978-80-247-3611-2. • JABLONSKÝ, J. Operační výzkum. 1.vyd. Praha: VŠE Praha, 2001. 305 s. ISBN 80-245-0162-7.
• HYDRÁK, K. Microsoft Office Project – Hotová řešení pro verze 2000 až 2007. 1. vyd. Brno: Computer Press, 2007. 308 s. ISBN 978-80-251-1681-4. • KUBÁLEK, T., KUBÁLKOVÁ, M. Řízení projektů v Microsoft Office Project – Učebnice pro vysoké školy. 1. vyd. Brno: Computer Press, 2007. 264 s. ISBN 978-80-251-1770-5. • ISO 31000. Risk management – Principiles and guidelines. Geneva (Switzerland), 2009, 24 p. • ISO Guide 73:2009(E/F). Risk management – Vocabulary. First edition. Geneva (Switzerland), 2009, 15 p. • www.ripran.cz
Úvod
„Vždycky, když chceš, aby se ti něco povedlo, neznámý faktor ti zkříží plány.“
„Jestliže budeme už předem, z nejrůznějších důvodů, předvídat, že se něco pokazí, chyba se projeví v ten nejméně vhodný okamžik a její důsledky budou nepředvídatelné.“
PROJEKT se vždy nachází v nějakém prostředí, ve kterém probíhají různé náhodné jevy a události, které se navzájem ovlivňují.
1. ŘÍZENÍ PROJEKTOVÝCH RIZIK
Řízení rizik dle ISO 31 000
Řízení projektových rizik (Project Risk Management)
koordinované aktivity, pomocí kterých řídíme a ovládáme organizaci s ohledem na rizika.
Cíle řízení projektových rizik (ISO 31 000): • zvýšení pravděpodobnosti dosažení cílů; • dodržení zákonných a regulačních požadavků a mezinárodních norem; • vytvoření reálného základu pro rozhodování a plánování;
• efektivní přidělení a využití zdrojů pro ošetření rizik; • minimalizace ztrát.
Řízení projektových rizik dle PMI Řízení projektových rizik zahrnuje nezbytné procesy, které spojují plánování řízení rizik, identifikaci, analýzu, reakci (odezvu), monitorování a ovládání. Cílem řízení projektových rizik je: • zvýšit pravděpodobnost a dopad pozitivních událostí; • snížení pravděpodobnosti a dopadu negativních událostí na projekt. Pozn.: Řízení projektových rizik vyžaduje, aby procesy projektového řízení (např. plánování, rozpočtování a řízení změn) se prováděly na úrovni nejlepších dostupných postupů.
POJMY dle ISO 31 000 a PMI • Riziko (Risk) – nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle projektu. • Hrozba (Threat) – konkrétní událost, jejíž výskyt nastartuje děj s negativním dopadem na cíl projektu.
• Příležitost (Opportunity) – konkrétní událost, jejíž výskyt nastartuje děj s pozitivním dopadem na cíl projektu. • Dopad rizika (Risk Effect) – děj s nepříznivým/příznivým vlivem na projekt, který je nastartován výskytem nějaké události (hrozby nebo příležitosti).
Dále se budeme zabývat pouze těmito…
POJMY dle IPMA • Nebezpečí (Risk Factor) – možnost vzniku situace či nastání události, která záporným způsobem ovlivní naplnění trojimperativu projektu. • Hrozba (Risk Event, Threat) – konkrétní událost, jejichž výskyt nastartuje děj s negativním dopadem na cíl projektu. • Riziko (Risk) – nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle projektu. • Dopad rizika (Risk Effect) – děj s nepříznivým vlivem na projekt, který je nastartován výskytem nějaké události (hrozby).
ISO a riziko Definice rizika podle ISO 27005 a ISO 31000 : •„Riziko – účinek nejistoty na dosaženi cílů.” Poznámka 6 (note 6) u definice rizika podle ISO 27005: •„Riziko bezpečnosti informací je spojeno s potenciálem (možností), kterým hrozba využije zranitelnosti informačního aktiva nebo skupiny informačních aktiv a tím zapříčiní škodu organizaci.” (Hujňák, s. 13) •Účinkem se rozumí odchylka od očekávaného – kladná a/nebo záporná. •ISO 27005 – hrozba má potenciál poškodit (Harm) aktiva jako informace, procesy a systémy a proto také organizaci jako takovou.
Mandate and commitment
Design of framework for maging risk
Framework (rámec)
Continual improvement of the framework
Implementing risk management
Monitoring and review of the framework
Řízení rizik – procesy dle ISO 31 000 A) Kontext - definice vnějších a vnitřních parametrů (podmínek), které se musí vzít v úvahu. B) Posouzení rizika (risk assessment):
Identifikace rizik (risk identification);
Analýza rizika (risk analysis);
Hodnocení rizika (risk evaluation).
C) Ošetření rizika (risk treatment).
D) Monitorování a přezkoumání – revidování (monitoring and review). E)
Komunikace a konzultace (communication and consultation).
Rizika – vztažení k cílům Riziko je vztaženo podle ISO 27005 a ISO 31000 k dosažení cílů. Za cíle ISO 27005 považuje: •„Cíle mohou mít podle těchto norem různá hlediska (jako jsou finanční, zdravotní a bezpečnostní, bezpečnosti informaci a environmentální cile) a mohou byt uplatňovány na různych úrovních (jako je strategická úroveň, úroveň týkající se celé organizace, projektu, produktu a procesu).” Cíle jsou podle ISO 27005 svázány s aktivy (cokoliv, co má pro organizaci nějakou hodnotu).
Rizika – vztažení k cílům • Aktivem je prvek systému, který má pro danou organizaci hodnotu a proto musí být řízen a tedy i chráněn na působení nežadoucích rizik. Předpokladem je, že aktivum je nezbytné a podstatné pro dosažení cílů organizace. Splnění či nesplnění cílů má přitom dopad do podnikaní resp. poslání dané organizace. (Hujňák, s. 15) • Normy nepracují při identifikaci rizik s cíli organizace, ale aktivy a cíli opatření na aktiva. Vycházejí z představy, že má-li aktivum cenu řídit a chránit na působení rizik, pak k němu logicky musí existovat i cíl prováděných opatření směřující a přispívající k dosažení cílů organizace. Cíle opatření k aktivu směřují a přispívají k dosažení cílů organizace. (Hujňák, s. 15)
Metody identifikace rizik – výběr •
analýza předpokladů a omezení (Assumption and Constraints Analysis);
•
brainstorming;
•
diagram příčin a následků (Cause and Effect Diagram – Ishikawa);
•
diagram vlivu (Influence Diagram);
•
hierarchická struktura rizik (RBS – Risk Breakdown Structure);
•
SWOT analýza;
•
analýza základních příčin (Root-Cause Analysis);
•
recenzování hierarchické struktury prací (WBS Review);
•
analýza projektových rizik (Risk Project Analysis – RIPRAN);
•
Lessons Learned atd.
SWOT analýza – metoda identifikace
Metody analýzy rizik – výběr Kvalitativní metody • analýza základních příčin;
Kvantitativní metody
• Lessons Learned;
• rozhodovací strom (Decision Tree Analysis);
• matice pravděpodobnosti a dopadu (P-I Metrix);
• očekávaná finanční hodnota (Expected Monetary Value);
• analýza základních příčin (Root-Cause Analysis);
• Monte Carlo (Monte Carlo Simulation);
• analýza projektových rizik (Risk Project Analysis – RIPRAN);
• Lessons Learned;
• atd.
• atd.
• analýza projektových rizik (Risk Project Analysis – RIPRAN);
Analýza rizik matice pravděpodobnost x dopad
Metody odezvy na riziko – výběr • brainstorming; • kritický řetěz (Critical Chain Project Management); • diagram vlivu (Influence Diagram); • rozhodovací strom (Decision Tree Analysis); • delfská technika (Delphi Technique); • analýza základních příčin (Root-Cause Analysis); • vícekriteriální výběr (Multi-criterion selection techniques); • analýza scénářů (Scenario Analysis); • Lessons Learned; • analýza projektových rizik (Risk Project Analysis – RIPRAN); • atd.
Techniky a procesy odezvy na riziko • akceptace rizika „Risk Acceptance“ (pasivní přijetí); • přenesení rizika „Risk Transference“; • snížení rizika „Risk Mitigation“; • vyhnutí se riziku „Risk Avoidance“ (vyloučení rizika);
• vyloučení rizika „Risk Elimination (Exclusion)“; • vytvoření rezervy; • vytvoření záložního plánu „Contingency plan“.
RIZIKOVÁ PÁSMA
rizikové pásmo
identifikovaná rizika Pásmo indikuje skutečně neakceptovatelná (kritická) rizika. Rizika zařazená do tohoto pásma jsou daleko od ochoty riskovat a identifikace jakéhokoliv rizika v tomto pásmu vyžaduje okamžitou reakci na riziko a bezprostřední odpověď na riziko (zpravidla formou opatření k jeho eliminaci). Pásmo indikuje relevantní riziko nad úrovní akceptovatelné chuti riskovat. Rizika v tomto pásmu vyžadují zpravidla bezprostřední reakci s odpovědí na riziko ve stanoveném čase. Pásmo představuje normální akceptovatelnou úroveň rizika a většinou nevyžaduje bezprostřední odpověď na riziko. Za normálních okolností jsou aktivní rizika poziciována do tomto pásma a jsou v rámci běžného rizikového managementu průběžně kontrolována a řízena. Pásmo obsahuje velmi nízká rizika, na která může být aplikována snížená kontrola a jsou tedy příležitostí pro připuštění vyšší míry rizika.
Aktiva, hrozby a zranitelnost Typy nehmotných aktiv: • právní aktiva, jako obchodní tajemství (např. seznam zákazníků), • autorská ochrana, patenty, obchodní značky, • soutěživá aktiva, jako znalosti, know-how, spolupráce s partnery, vliv na trhu apod. Hrozbu (threat) definuje norma ISO 27000 jako: • „Potencionální příčina nechtěného incidentu, který může vést k poškozeni systému nebo organizace.“ Zranitelnost (vulnerability) definuje norma ISO 27000 jako:
• „Slabina aktiva nebo kontrolního zajištění, která může být zneužita hrozbou.“
IDENTIFIKACE RIZIKA nebezpečí
obecná hrozba
pravděpodobnost
riziko
specifická zranitelnost
rizikový faktor
dopad rizika
ISACA a rizika • Riziko je podle ISACA vysvětlitelné a popsatelné v kontextu rizikového scénáře. • Rizikovým scénářem (pro oblast IT) je podle ISACA: „IT rizikovým scénářem je popis události spojené s IT, která může vést k dopadu do podnikání, pokud a zda-li může nastat.“ • Rizikový scénář vzniká podle ISACA spolupůsobením více komponent.
Rizikový scénář vzniká podle ISACA spolupůsobením více komponent a)
Aktér – generuje hrozbu (ne všechny hrozby vyžadují aktéry např. přírodní hrozby)
b)
Typ hrozby – povaha hrozby (zlý úmysl, náhoda, nebo selhání) – „Cokoliv (např. objekt, látka, člověk), co je schopno působení vůči aktivu způsobem vedoucím k jeho poškozeni.“
c)
Událost – „Něco co se stane mna specifickém místě a/nebo čase.“ (přerušení systému/projetu, krádež/zničení něčeho)
d)
Aktivum/zdroj – „Aktivum je jakýkoliv objekt s hodnotou pro organizaci, který může být ovlivněn událostí, a vede k business dopadu. Zdroj je jakákoliv věc pomáhající dosáhnout cíl.“ (mohou být identické aktivum=zdroj)
e)
Čas – výskyt události a její trvání
Rizikový scénář – přístup odvození: • Shora-dolů – zahájení identifikace rizikových scénářů od všeobecných business cilů organizace a analýza nejdůležitějších a nejpravděpodobnějších rizikových scénářů s dopadem na business cíle. • Zdola-nahoru – zahájení identifikace rizikových scénářů analýzou seznamu generických scénářů vzniklých ze zkušeností, které se při identifikaci konkretizují a přizpůsobují na místní specifické podmínky odpovídající dané situaci v organizaci.
ISACA – další pojmy Rizikový faktor (risk factor) – podmínka ovlivňující frekvenci a/nebo magnitudo (stupeň rizika) a, v konečnem důsledku, business dopad události/scénáře Příležitost (opportunity) – metodika řízeni rizik podle ISACA ukazuje na obrácenou stranu rizika „příležitost“, která generuje pozitivní dopad (měl byt rovněž zahrnut do rizikových scénářů). Je to možnost, že se vyskytne událost, která pozitivně ovlivní dosažení cílů.
ISACA – IDENTIFIKACE RIZIKA nebezpečí
dopad
obecná hrozba
pravděpodobnost
událost
specifická zranitelnost rizikové faktory
rizika
AGREGACE RIZIK Úkolem agregace rizik je společné posouzení rizik dříve odděleně posuzovaných, např. posouzení rizik ziskaných z jednotlivých oddělení společnosti na úrovni celé firmy nebo posouzení rizik z dílčích projektů na úrovni programu složeného z těchto projektů. Agregace rizik vyžaduje: a) aplikování stejné metody pro řízení rizik na všech úrovních identifikace rizik, což umožní jejich hodnocení podle stejných zásad a principů, b) kvantitativní analýzu rizik, která umožní rizika převést do společného rizikového profilu, vzájemně je posuzovat resp. spojovat.
AGREGACE NEZÁVISLÝCH RIZIK
AGREGACE SDÍLENÝCH RIZIK
Cesta k agregaci rizik by měla být vedena dvojím způsobem: • Agregace spolupůsobících rizikových faktorů. Jednotlivé rizikové faktory (samy o sobě nemají velký význam z hlediska zranitelnosti projektu) se spojují do komplexnějších shluků vytvářejících zranitelnosti, které projektu způsobují vážné slabiny využitelné hrozbami. • Agregace sdílených či propojených rizikových událostí. Při teto agregaci se propojují rizika přes vyhledání sdílených nebo propojených událostí v rizikových scénářích. Spojení událostí ukazuje na ta rizika, která je nezbytné z důvodu nepodcenění jejich spolupůsobení agregovat co nejpřesněji do sdílené podoby, která by při vzniku sdílené události logicky také musela nastat.
RIZIKOVÉ PORTFOLIO – RIZIKOVÝ PROFIL Definice: „Rizikový profil je popisem celkových (identifikovaných) rizik, kterým je organizace vystavena. Jde o rychlý popis aktuálního rizikového stavu.“ Obsah: 1. Agregovaná rizika současného stavu 2. Zranitelnosti a klíčové rizikové faktory, které je vytvářejí 3. Porovnaní současného stavu, minulých agregovaných rizik (rizikových map) a projekce rizik v budoucnosti 4. Klíčové rizikové indikátory, jako metriky pro měřeni kořenových příčin rizik a usuzování na průběh působících rizik a opatření proti rizikům 5. Případná zjištění z nezávislého hodnocení rizik.
Výstupní dokumenty • plán řízení rizik „Risk Management Plan“; • registr rizik „Risk Register“; • plán protirizikových opatření „Risk Response Plan“.
Sledování rizik v projektu Možné události, pro které sledujeme rizika: • změna podmínek ovlivňující hodnotu pravděpodobnosti nebo hodnotu škody u rizika (přepočítat aktuální hodnotu rizika, doplnit opatření); • vznik nové významné hrozba (kvantifikace, opatření); • hrozba pomine (vyřazení ze sledování); • opatření ztratilo svojí účinnost (nahradit novým, modifikovat); • rozpoznání potřeby změny scénáře, což vyvolá změnu pravděpodobnosti nebo dopadu (nová hodnota rizika);
• nastala situace pro aktivaci připraveného opatření (pojistná událost, čerpání rezervy).
2. ŘÍZENÍ ZMĚN V PROJEKTU
ŘÍZENÍ ZMĚN V PROJEKTU • Změna (Change) je odchylka implementovaná do směrného plánu projektu. Změny jsou vzhledem k neočekávaným událostem v projektu nevyhnutelné a vyplývají taktéž z nejistoty projektu. • Změnové řízení v projektu (Project Change Management) – proces plánování změny od stávajícího k požadovanému budoucímu stavu, který má zajistit, aby tento přechod byl co možná nejhladší a nejefektivnější.
K tomu, abychom mohli řídit změny, potřebujeme: • nápad, kterým reagujeme na potřebu nebo požadavek změny; • návrh realizace nápadu, který je rozpracován do variant realizace s vydefinovanými dopady na projekt a plánu realizace změny (včetně úpravy plánu projektu); • rozhodnutí realizovat změnu (schválení varianty realizace); • implementaci varianty realizace změny, která např. vyústí ve změnu v organizační struktuře, technologickém postupu atd. • zdroje informační, finanční, materiálové a lidské, které pomáhají navrhnout a prakticky realizovat změnu (jsou pro řízení změny potřeba nebo se jich změna bezprostředně týká).
ŘÍZENÍ ZMĚN (Change Management)
Fáze řízení změn: • fáze 1 – identifikace změny; • fáze 2 – implementace schválené změny;
• fáze 3 – ukončení.
Fáze 1 – identifikace změny: • podnět na změnu nebo potřeba změny – požadavek zákazníka, nabití platnosti normy, zákonu, směrnice atd.; • zpracování a předložení požadavku na změnu – odpověď na otázky „CO, JAKÁ kritéria a případně i PROČ?“; • analýza změny – zpracování variant a výběr optimální varianty; • schválení nebo neschválení změny.
Fáze 2 – implementace schválené změny: • zavedení změny; • sledování změny.
Fáze 3 – ukončení: • vyhodnocení změny; • uzavření.
Závěr
Zadání úkolů na cvičení: 1. Prostudovat přednášku 2. Prostudovat DOLEŽAL, J., MÁCHAL, P., LACKO, B. a kolektiv. Projektový management podle IMPA. 2. vyd. Praha: Grada publishing, a.s., 2012. s. 83-105, 225-230. ISBN 978-80-247-42755.