Niedawne rozmowy na szkoleniach zainspirowały mnie to przemyśleń na temat tego, jak zarządza się ryzykiem w organizacjach. Temat jest o tyle ciekawy, że podstawy teoretyczne przekazać bardzo łatwo (6 procesów w PMBOK, kilka technik i terminów), intuicyjnie uczestnicy projektów rozumieją to po swojemu, a wdrożyć praktycznie właściwe podejście jest bardzo trudno. Sam próbowałem i kilkukrotnie poległem.
Aby przekonać się, jak duży jest dystans miedzy teorią, a właściwym rozumieniem, wystarczy zadać trzy pytania:
Pytanie 1. Jaka jest różnica między ryzykiem a zmianą w projekcie?
Pytanie 2. Jakie znasz typowe ryzyka?
Pytanie 3. Czy efektywniej dla projektu jest zarządzać sytuacją na etapie ryzyka czy zmiany?
Odpowiedzi na te pytania znajdziesz na końcu artykułu. Teraz natomiast chciałem zaproponować pewien podział stopnia dojrzałości zarządzania ryzykiem w projektach.
Wyparcie – brak rozmowy o ryzykach i stwierdzenia „u nas żaden projekt się nie spóźnia”. Na tym poziomie uczestnicy projektów lub kadra menadżerska wierzą, że projekty w ich organizacji są wyjątkowo deterministyczne. Wszystko da się zaplanować, a potem zrealizować zgodnie z planem. Skoro tak, to po co tracić czas na jakieś ryzyka, których i tak nie ma. Pytanie kontrolne, które mi się tu sprawdza to „Ile projektów u was jest opóźnionych albo przekracza budżet?”. Jeżeli w odpowiedzi można usłyszeć, że żaden, to wiadomo, że jesteśmy na tym poziomie świadomości. Czasem zespół projektowy ma nieszczęście trafić na sponsora, który ogłasza, że projekt ma się skończyć w 3 miesiące i nie dopuszcza innej możliwości, bo jak nie (tu można uzupełnić wypowiedź wariacjami gróźb). Cóż poradzić, uciekać! To podejście natomiast może działać w sytuacji, gdy bardzo dużo wiemy o projekcie i w związku z tym nie wystąpią istotne ryzyka.
Świadoma akceptacja – postawa w stylu „wiem, że bywa różnie, ale tym razem na pewno się uda”, „nie zarządzamy ryzykiem i jesteśmy z tego dumni, bo jesteśmy kuloodpornymi herosami”, „nie zarządzamy ryzykiem, bo organizacja jeszcze nie dojrzała”. Powodem wyboru tego wariantu mogą być różne sytuacje takie, jak zaniechanie, inne priorytety lub zbyt duża pewność siebie. Ten poziom jest dobrym wyjściem do zaplanowania bardziej świadomego zarządzania ryzykiem. Na tym poziomie, podobnie, jak na poprzednim argumentem dyskredytującym jest pokazanie jak bardzo ryzyka się materializują, czyli wykazanie o ile projekty się spóźniły, przekroczyły budżet, nie spełniły pokładanych nadziei.
Formalizmy – „mamy rejestr ryzyk, na szczęście wszystkie zawsze są zielone” albo „w rejestrze nie ma żadnych piorunów, same słoneczka, więc czym się przejmować”. Na tym poziomie wdraża się proces zarządzania ryzykiem, ale w oderwaniu od rzeczywistości. Formalnie ludzie zgłaszają jakieś ryzyka, prezentują raporty, planują działania, ale nie można dostrzec faktycznego wpływu tych działań na sukces projektu. Objawem jest stosowanie subiektywnej skali oceny, np. kolory lub raporty pogodowe. „Ostatnio czuję, że jest gorzej, więc na tydzień w tym projekcie dam chmurkę.” albo „Czemu jest tyle błyskawic w raporcie ryzyk, daj jakieś słoneczka.” Na tym poziomie uczestnicy projektów mogą popaść w skrajności, albo identyfikować tysiące potencjalnych zdarzeń, bo wszystko może być ryzykiem, albo uznać, że w projekcie nie ma żadnych ryzyk. Problemem jest też trudność w porównaniu ryzyk między projektami, czyli brak powtarzalności oceny ryzyk.
Indywidualne uczenie się – kierownik projektu samodzielnie zbiera nauczki z różnych niespodzianek, które napotkał. Na tym poziomie kierownik projektu nabrał przekonania, że pewne zdarzenia powracają oraz że im większą posiada wiedzę o środowisku, tym mniej niespodzianek. Zaczyna zatem gromadzić informacje o typowych sytuacjach, które zaskakują. Jeżeli ważny jest termin, to zbiera wiedzę o wiarygodności estymacji czasów zadań. Jeżeli zaś koszt, to porównuje planowane koszty z rzeczywiście poniesionymi. Czasem prowadzi dziennik projektu, czasem tworzy tabele czasów i kosztów, dostępne są różne techniki. Ważne, że gromadzi wiedzę na temat określonych czynników środowiskowych i regularnie powraca do niej, by wyciągać wnioski.
Organizacyjne uczenie się – zespoły projektowe wymieniają się wiedzą o niespodziankach, identyfikując w ten sposób typowe czynniki środowiskowe. Czasem jest to sterowane przez biuro projektów lub program menadżerów. Na tym poziomie uczenie się zachodzi w całych zespołach projektowych, albo chociaż kierownicy projektów wymieniają swoje wnioski. Szuka się podobieństw między różnymi projektami: podobnych problemów, zadań, kompetencji, rozwiązań, zachowań, zależności. Okazuje się, że projekt są podobne do siebie, ale nie w kontekście całych projektów, a poszczególnych ich komponentów. Przykładowo etapy planowania mogą być podobne do siebie niezależnie od natury projektu ze względu na kolejność działań planistycznych.
Wiedza ilościowa o ryzykach – żmudnie gromadzone dane mogą w pewnym momencie utworzyć duże zbiory. Jeżeli organizacja realizuje 10 projektów miesięcznie i każdy z nich składa się ze średnio 20 zadań, to po 4 latach może dysponować danymi o około 10 tysiącach zadań. Duża populacja danych umożliwia przeprowadzanie bardziej złożonych analiz: odnajdywanie korelacji, trendów, stawianie hipotez, analizy zmienności, identyfikacja wartości skrajnych, tworzenie modeli warunkowych i wiele innych. W tym momencie można zacząć mówić o prawdziwym sprocesowieniu projektów i naukowym podejściu do badania środowiska je otaczającego. Organizacja staje się organizacją uczącą się, a zarządzanie ryzykiem staje się po prostu zarządzaniem projektami, bowiem cała reszta oprócz zarządzania ryzykiem jest deterministyczna.
Funkcjonalne zarządzanie ryzykiem
Warto wspomnieć, że niezależnie od projektów w wielu organizacjach zarządza się ryzykami występującymi w projektach całkowicie poza światem projektów. Przykładem są tu działy compliance, prawne, audytu, bezpieczeństwa IT, ABI, controllingu itd. Stosując powyższe poziomy dojrzałości, moim zdaniem odbywa się to zwykle na poziomie formalizmów, to znaczy istnieje proces, w którym identyfikuje się ryzyka z określonej kategorii według intuicji ekspertów z danego działu.
Odpowiedzi na pytania
Na koniec zgodnie z obietnicą odpowiedzi na trzy pytania.
Pytanie 1. Prawdopodobieństwo. Zmiana jest pewnym zdarzeniem, więc musimy zaakceptować fakt jej istnienia i odpowiednio się przygotować. Ryzyko jest zdarzeniem potencjalnym, możemy przyjąć, że wystąpi, ale możemy też przyjąć, że nie pojawi się.
Pytanie 2. To pytanie ma pewien haczyk. Zwykle zapytani ludzie zaczynają wymieniać sytuacje, które napotkali i ich zaskoczyły w przeszłości. Haczyk polega na tym, że w ponad 90% wymieniają zagrożenia, a ryzyka to również okazje. Tu często pojawia się tłumaczenie, że w języku potocznym ryzyko oznacza coś negatywnego. Pewnie tak, ale z perspektywy zarządzania warto pamiętać, że ryzyko może mieć też pozytywny wpływ.
Pytanie 3. Ryzykiem. Bowiem zarządzając potencjalną sytuacją możemy przyjąć, że wystąpi (tak, jak przy zarządzaniu zmianą), ale możemy również przyjąć, że nie wystąpi i zaplanować wiele innych scenariuszy dla tego warunku. Po prostu przy zarządzaniu ryzykiem many więcej opcji działania, gdy zdarzenie stanie się zmianą pozostaje nam tylko akceptacja.
