Management Řízení rizik a změn v organizaci (projektu) Ing. Jaromír Pitaš, Ph.D.
Osnova: Úvod 1. Řízení rizik v organizaci (projektu) 2. Řízení změn v projektu Závěr
LITERATURA PITAŠ, Jaromír. Přístupy k řízení. Učebnice. Brno: Univerzita obrany, 2016, 121 s. ISBN 978-80-7231-381-5. DOLEŽAL, J., MÁCHAL, P., LACKO, B. a kolektiv. Projektový management podle IMPA. 2. vyd. Praha: Grada Publishing, a.s., 2012. 507 s. ISBN 978-80-247-4275-5.
LITERATURA ISO 31000. Risk management Principiles and guidelines. Geneva (Switzerland), 2009, 24 p. RMO č.14/2018 Věstníku. Řízení rizik v rezortu ministerstva obrany. AJP-3.14. Allied joint doctrine for force protection.
Úvod
Vždycky, když chceš, aby se ti něco povedlo, neznámý faktor ti zkříží plány. Jestliže budeme už předem, z nejrůznějších důvodů, předvídat, že se něco pokazí, chyba se projeví v ten nejméně vhodný okamžik a její důsledky budou nepředvídatelné.
REALIZOVANÉ PROCESY se vždy nachází v nějakém prostředí, ve kterém probíhají různé náhodné jevy a události, které se navzájem ovlivňují.
1. ŘÍZENÍ RIZIK V ORGANIZACI (PROJEKTU)
Řízení rizik dle ISO 31 000 a Řízení rizik (Risk Management) koordinované aktivity, pomocí kterých řídíme a ovládáme organizaci s ohledem na rizika.
Cíle řízení rizik (ISO 31 000): zvýšení pravděpodobnosti dosažení cílů; dodržení zákonných a regulačních požadavků a mezinárodních norem; vytvoření reálného základu pro rozhodování a plánování; efektivní přidělení a využití zdrojů pro ošetření rizik; minimalizace ztrát.
POJMY dle ISO 31 000 a PMI Hrozba (Threat) konkrétní událost/jev, jehož výskyt nastartuje děj s negativním dopadem na cíl projektu (příčina nastartování děje, spouštěčem je ten, kdo generuje hrozbu). ISO 27005 hrozba má potenciál poškodit (Harm) aktiva jako informace, procesy a systémy a proto také organizaci jako takovou.
POJMY dle ISO 31 000 a PMI Příklady hrozeb: Nesplnění podmínek pro udělení úvěru. Zledovatělá vozovka zhorší sjízdnost silnice. Byt bude vykraden.
POJMY dle ISO 31 000 a PMI Příležitost (Opportunity) konkrétní událost, jejíž výskyt nastartuje děj s pozitivním dopadem na cíl projektu (příčina avšak spouštěčem není ten kdo generuje příležitost, ale ten kdo ji chce využít).
Příklady příležitostí: Ministerstvo pro životní prostředí vyhlásilo program Zelená úsporám. Banka udržuje nízké úroky půjček. Projekt bude ukončen dříve. POJMY dle ISO 31 000 a PMI
POJMY dle ISO 31 000 a PMI Riziko (Risk) nejistá událost nebo podmínka, která pokud nastane, má negativní/pozitivní vliv na dosažení cíle projektu. Vzniká buď působením hrozby nebo využíváním příležitosti. Poznámka: Riziko je spojeno s potenciálem (možností), kterým hrozba využije zranitelnosti aktiva nebo skupiny aktiv a tím zapříčiní škodu organizaci zabrání dosažení cíle. Dopad rizika (Risk Effect) definuje nepříznivý/ příznivý vliv na projekt, který je nastartován působením hrozby nebo využíváním příležitosti (riziko).
Aktiva, hrozby a zranitelnost Typy nehmotných aktiv: právní aktiva, jako obchodní tajemství (např. seznam zákazníků), autorská ochrana, patenty, obchodní značky, soutěživá aktiva, jako znalosti, know-how, spolupráce s partnery, vliv na trhu apod. Zranitelnost (vulnerability) definuje norma ISO 27000 jako: Slabina aktiva nebo kontrolního zajištění, která může být zneužita hrozbou.
Riziko Riziko je vysvětlitelné a popsatelné v kontextu rizikového scénáře. Rizikovým scénářem je: Popis události, která může vést k dopadu do podnikání, pokud a zda-li může nastat. Rizikový scénář vzniká spolupůsobením více komponent.
Riziko Riziko podle ISO 27005 a ISO 31000 : Účinek nejistoty na dosažení cílů. Riziko je spojeno s potenciálem (možností), kdy hrozba využije zranitelnosti aktiva nebo skupiny aktiv, a tím zapříčiní škodu organizaci. Účinkem se rozumí odchylka od očekávaného kladná a/nebo záporná. ISO 27005 hrozba má potenciál poškodit (Harm) aktiva jako informace, procesy a systémy a proto také organizaci jako takovou.
Další pojmy Rizikový faktor (risk factor) podmínka ovlivňující frekvenci a/nebo magnitudo (stupeň rizika) a, v konečnem důsledku, business dopad události/scénáře.
Mandate and commitment Design of framework for maging risk Framework (rámec) Continual improvement of the framework Implementing risk management Monitoring and review of the framework
Řízení rizik dle ISO 31 000
I. fáze Identifikační, analytická a hodnotící 1. Identifikace a analýza aktiv a hrozeb Působení hrozby na zranitelnost aktiva 2. Identifikace rizika Ohodnocení aktiva z pohledu kritičnosti vůči splnění cíle (projektu) Vznik rizika je vyjádřen v rizikovém scénáři 3. Analýza rizika. Ohodnocení míry intenzity vlivu hrozby a míry odhodlání/záměru hrozby na zranitelnost aktiva Výsledná míra rizika Stanovení míry rizika Určení míry pravděpodobnosti vzniku rizika III. fáze Monitorovací, vykazovací a komunikační Monitorování Komunikace Vykazování Výstupem - souhrn informací pro poskytování údajů pro hodnocení a řízení rizik Kritické Vysoké Střední Nízké Výstupem je hodnota pravděpodobnosti vzniku rizika a definovaný dopad rizika na cíl (projekt) Kritická Vysoká Do druhé fáze II. fáze Zvládání rizik 1. Rozhodnutí ke zvládnutí rizika 2. Opatření ke zvládnutí rizika Vyhnutí se riziku Posunutí rizika Přenesení rizika Snížení rizika Přijetí (akceptace)rizika
Rizika vztažení k cílům Riziko je vztaženo podle ISO 27005 a ISO 31000 k dosažení cílů. Cíle jsou podle ISO 27005 svázány s aktivy (cokoliv, co má pro organizaci nějakou hodnotu zdroje, regulátory, vstupy svázené s činnostmi).
Rizika vztažení k cílům Aktivem je prvek systému, který má pro danou organizaci hodnotu a proto musí být řízen a tedy i chráněn na působení nežadoucích rizik. Předpoklad aktivum je nezbytné a podstatné pro dosažení cílů organizace (realizaci činností pro dosažení cíle).
Identifikace rizik kontext
Rizikový scénář vzniká spolupůsobením více komponent a) Aktér generuje hrozbu (ne všechny hrozby vyžadují aktéry např. přírodní hrozby) b) Typ hrozby povaha hrozby (zlý úmysl, náhoda, nebo selhání) Cokoliv (např. objekt, látka, člověk), co je schopno působení vůči aktivu způsobem vedoucím k jeho poškozeni. c) Událost Něco co se stane mna specifickém místě a/nebo čase. (přerušení systému/projetu, krádež/zničení něčeho) d) Aktivum/zdroj Aktivum je jakýkoliv objekt s hodnotou pro organizaci, který může být ovlivněn událostí, a vede k business dopadu. Zdroj je jakákoliv věc pomáhající dosáhnout cíl. (mohou být identické aktivum=zdroj) e) Čas výskyt události a její trvání
IDENTIFIKACE RIZIKA nebezpečí obecná hrozba dopad pravděpodobnost událost rizika rizikové faktory specifická zranitelnost
Techniky a procesy odezvy na riziko akceptace rizika Risk Acceptance (pasivní přijetí); přenesení rizika Risk Transference ; snížení rizika Risk Mitigation ; vyhnutí se riziku Risk Avoidance (vyloučení rizika) nebo vyloučení rizika Risk Elimination (Exclusion) ; vytvoření rezervy; vytvoření záložního plánu Contingency plan.
RIZIKOVÁ PÁSMA
AGREGACE RIZIK Úkolem agregace rizik je společné posouzení rizik dříve odděleně posuzovaných. Agregace rizik vyžaduje: a) aplikování stejné metody pro řízení rizik na všech úrovních identifikace rizik, což umožní jejich hodnocení podle stejných zásad a principů, b) kvantitativní analýzu rizik, která umožní rizika převést do společného rizikového profilu, vzájemně je posuzovat resp. spojovat.
Agregace závislých a nezávislých rizik mapa rizik Agregovaná rizika H a E Agregovaná rizika D a G Agregovaná rizika C a K
Výstupní dokumenty plán řízení rizik Risk Management Plan ; registr rizik Risk Register ; plán protirizikových opatření Risk Response Plan.
Sledování rizik v projektu změna podmínek ovlivňující hodnotu pravděpodobnosti nebo hodnotu škody u rizika (přepočítat aktuální hodnotu rizika, doplnit opatření); vznik nové významné hrozba (kvantifikace, opatření); hrozba pomine (vyřazení ze sledování); opatření ztratilo svojí účinnost (nahradit novým, modifikovat); rozpoznání potřeby změny scénáře, což vyvolá změnu pravděpodobnosti nebo dopadu (nová hodnota rizika); nastala situace pro aktivaci připraveného opatření (pojistná událost, čerpání rezervy).
2. ŘÍZENÍ ZMĚN (V PROJEKTU)
ŘÍZENÍ ZMĚN V PROJEKTU Změna (Change) je odchylka implementovaná do směrného plánu projektu. Změny jsou vzhledem k neočekávaným událostem v projektu nevyhnutelné a vyplývají taktéž z nejistoty projektu. Změnové řízení v projektu (Project Change Management) proces plánování změny od stávajícího k požadovanému budoucímu stavu, který má zajistit, aby tento přechod byl co možná nejhladší a nejefektivnější.
K tomu, abychom mohli řídit změny, potřebujeme: nápad, kterým reagujeme na potřebu nebo požadavek změny; návrh realizace nápadu, který je rozpracován do variant realizace s vydefinovanými dopady na projekt a plánu realizace změny (včetně úpravy plánu projektu); rozhodnutí realizovat změnu (schválení varianty realizace); implementaci varianty realizace změny, která např. vyústí ve změnu v organizační struktuře, technologickém postupu atd. zdroje informační, finanční, materiálové a lidské, které pomáhají navrhnout a prakticky realizovat změnu (jsou pro řízení změny potřeba nebo se jich změna bezprostředně týká).
Fáze řízení změn: ŘÍZENÍ ZMĚN (Change Management) fáze 1 identifikace změny; fáze 2 implementace schválené změny; fáze 3 ukončení.
Fáze 1 identifikace změny: podnět na změnu nebo potřeba změny požadavek zákazníka, nabití platnosti normy, zákonu, směrnice atd.; zpracování a předložení požadavku na změnu odpověď na otázky CO, JAKÁ kritéria a případně i PROČ? ; analýza změny zpracování variant a výběr optimální varianty; schválení nebo neschválení změny.
Fáze 2 implementace schválené změny: zavedení změny; sledování změny. Fáze 3 ukončení: vyhodnocení změny; uzavření.
Závěr