Management Řízení projektových rizik a změn Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326
Osnova: Úvod 1. Řízení projektových rizik 2. Řízení změn v projektu Závěr
LITERATURA PITAŠ, J., HAJKR, J., HAVLÍK, J., MÁCHAL, P., MOTAL, M., NOVÁK, I., STANÍČEK, Z. Národní standard kompetencí projektového řízení verze 3.2 National standard competences of project management version 3.2. 3. vyd. Brno: Společnost pro projektové řízení o.s., 2012. 335 s. ISBN 978-80-260-2325-8. DOLEŽAL, J., MÁCHAL, P., LACKO, B. a kolektiv. Projektový management podle IMPA. 2. vyd. Praha: Grada Publishing, a.s., 2012. 507 s. ISBN 978-80-247-4275-5. ROSENAU M. D. Řízení projektů. 1. vyd. Praha: Computer Press, 2000. 344 s. ISBN 80-7226-218-1. PROJECT MANAGEMENT INSTITUTE. Praktice Standard for Project Risk Management. Pensylvania (USA): Project Management Institute, Inc., 2009. 116 p. ISBN 978-1-933890-38-8.
SVOZILOVÁ, A. Projektový management. 2. vyd. Praha: Grada Publishing, 2011. 392 s. ISBN 978-80-247-3611-2. JABLONSKÝ, J. Operační výzkum. 1.vyd. Praha: VŠE Praha, 2001. 305 s. ISBN 80-245-0162-7. HYDRÁK, K. Microsoft Office Project Hotová řešení pro verze 2000 až 2007. 1. vyd. Brno: Computer Press, 2007. 308 s. ISBN 978-80-251-1681-4. KUBÁLEK, T., KUBÁLKOVÁ, M. Řízení projektů v Microsoft Office Project Učebnice pro vysoké školy. 1. vyd. Brno: Computer Press, 2007. 264 s. ISBN 978-80-251-1770-5. ISO 31000. Risk management Principiles and guidelines. Geneva (Switzerland), 2009, 24 p. ISO Guide 73:2009(E/F). Risk management Vocabulary. First edition. Geneva (Switzerland), 2009, 15 p. www.ripran.cz
Úvod
Vždycky, když chceš, aby se ti něco povedlo, neznámý faktor ti zkříží plány. Jestliže budeme už předem, z nejrůznějších důvodů, předvídat, že se něco pokazí, chyba se projeví v ten nejméně vhodný okamžik a její důsledky budou nepředvídatelné.
PROJEKT se vždy nachází v nějakém prostředí, ve kterém probíhají různé náhodné jevy a události, které se navzájem ovlivňují.
1. ŘÍZENÍ PROJEKTOVÝCH RIZIK
Řízení rizik dle ISO 31 000 Řízení projektových rizik (Project Risk Management) koordinované aktivity, pomocí kterých řídíme a ovládáme organizaci s ohledem na rizika.
Cíle řízení projektových rizik (ISO 31 000): zvýšení pravděpodobnosti dosažení cílů; dodržení zákonných a regulačních požadavků a mezinárodních norem; vytvoření reálného základu pro rozhodování a plánování; efektivní přidělení a využití zdrojů pro ošetření rizik; minimalizace ztrát.
Řízení projektových rizik dle PMI Řízení projektových rizik zahrnuje nezbytné procesy, které spojují plánování řízení rizik, identifikaci, analýzu, reakci (odezvu), monitorování a ovládání. Cílem řízení projektových rizik je: zvýšit pravděpodobnost a dopad pozitivních událostí; snížení pravděpodobnosti a dopadu negativních událostí na projekt. Pozn.: Řízení projektových rizik vyžaduje, aby procesy projektového řízení (např. plánování, rozpočtování a řízení změn) se prováděly na úrovni nejlepších dostupných postupů.
POJMY dle ISO 31 000 a PMI Riziko (Risk) nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle projektu. Hrozba (Threat) konkrétní událost, jejíž výskyt nastartuje děj s negativním dopadem na cíl projektu. Příležitost (Opportunity) konkrétní událost, jejíž výskyt nastartuje děj s pozitivním dopadem na cíl projektu. Dopad rizika (Risk Effect) děj s nepříznivým/příznivým vlivem na projekt, který je nastartován výskytem nějaké události (hrozby nebo příležitosti).
Dále se budeme zabývat pouze těmito
POJMY dle IPMA Nebezpečí (Risk Factor) možnost vzniku situace či nastání události, která záporným způsobem ovlivní naplnění trojimperativu projektu. Hrozba (Risk Event, Threat) konkrétní událost, jejichž výskyt nastartuje děj s negativním dopadem na cíl projektu. Riziko (Risk) nejistá událost nebo podmínka, která pokud nastane, má negativní vliv na dosažení cíle projektu. Dopad rizika (Risk Effect) děj s nepříznivým vlivem na projekt, který je nastartován výskytem nějaké události (hrozby).
ISO a riziko Definice rizika podle ISO 27005 a ISO 31000 : Riziko účinek nejistoty na dosaženi cílů. Poznámka 6 (note 6) u definice rizika podle ISO 27005: Riziko bezpečnosti informací je spojeno s potenciálem (možností), kterým hrozba využije zranitelnosti informačního aktiva nebo skupiny informačních aktiv a tím zapříčiní škodu organizaci. (Hujňák, s. 13) Účinkem se rozumí odchylka od očekávaného kladná a/nebo záporná. ISO 27005 hrozba má potenciál poškodit (Harm) aktiva jako informace, procesy a systémy a proto také organizaci jako takovou.
Mandate and commitment Design of framework for maging risk Framework (rámec) Continual improvement of the framework Implementing risk management Monitoring and review of the framework
Řízení rizik procesy dle ISO 31 000 A) Kontext - definice vnějších a vnitřních parametrů (podmínek), které se musí vzít v úvahu. B) Posouzení rizika (risk assessment): Identifikace rizik (risk identification); Analýza rizika (risk analysis); Hodnocení rizika (risk evaluation). C) Ošetření rizika (risk treatment). D) Monitorování a přezkoumání revidování (monitoring and review). E) Komunikace a konzultace (communication and consultation).
Rizika vztažení k cílům Riziko je vztaženo podle ISO 27005 a ISO 31000 k dosažení cílů. Za cíle ISO 27005 považuje: Cíle mohou mít podle těchto norem různá hlediska (jako jsou finanční, zdravotní a bezpečnostní, bezpečnosti informaci a environmentální cile) a mohou byt uplatňovány na různych úrovních (jako je strategická úroveň, úroveň týkající se celé organizace, projektu, produktu a procesu). Cíle jsou podle ISO 27005 svázány s aktivy (cokoliv, co má pro organizaci nějakou hodnotu).
Rizika vztažení k cílům Aktivem je prvek systému, který má pro danou organizaci hodnotu a proto musí být řízen a tedy i chráněn na působení nežadoucích rizik. Předpokladem je, že aktivum je nezbytné a podstatné pro dosažení cílů organizace. Splnění či nesplnění cílů má přitom dopad do podnikaní resp. poslání dané organizace. (Hujňák, s. 15) Normy nepracují při identifikaci rizik s cíli organizace, ale aktivy a cíli opatření na aktiva. Vycházejí z představy, že má-li aktivum cenu řídit a chránit na působení rizik, pak k němu logicky musí existovat i cíl prováděných opatření směřující a přispívající k dosažení cílů organizace. Cíle opatření k aktivu směřují a přispívají k dosažení cílů organizace. (Hujňák, s. 15)
Metody identifikace rizik výběr analýza předpokladů a omezení (Assumption and Constraints Analysis); brainstorming; diagram příčin a následků (Cause and Effect Diagram Ishikawa); diagram vlivu (Influence Diagram); hierarchická struktura rizik (RBS Risk Breakdown Structure); SWOT analýza; analýza základních příčin (Root-Cause Analysis); recenzování hierarchické struktury prací (WBS Review); analýza projektových rizik (Risk Project Analysis RIPRAN); Lessons Learned atd.
SWOT analýza metoda identifikace
Metody analýzy rizik výběr Kvalitativní metody analýza základních příčin; Lessons Learned; matice pravděpodobnosti a dopadu (P-I Metrix); analýza základních příčin (Root-Cause Analysis); analýza projektových rizik (Risk Project Analysis RIPRAN); atd. Kvantitativní metody rozhodovací strom (Decision Tree Analysis); očekávaná finanční hodnota (Expected Monetary Value); Monte Carlo (Monte Carlo Simulation); Lessons Learned; analýza projektových rizik (Risk Project Analysis RIPRAN); atd.
Analýza rizik matice pravděpodobnost x dopad
Metody odezvy na riziko výběr brainstorming; kritický řetěz (Critical Chain Project Management); diagram vlivu (Influence Diagram); rozhodovací strom (Decision Tree Analysis); delfská technika (Delphi Technique); analýza základních příčin (Root-Cause Analysis); vícekriteriální výběr (Multi-criterion selection techniques); analýza scénářů (Scenario Analysis); Lessons Learned; analýza projektových rizik (Risk Project Analysis RIPRAN); atd.
Techniky a procesy odezvy na riziko akceptace rizika Risk Acceptance (pasivní přijetí); přenesení rizika Risk Transference ; snížení rizika Risk Mitigation ; vyhnutí se riziku Risk Avoidance (vyloučení rizika); vyloučení rizika Risk Elimination (Exclusion) ; vytvoření rezervy; vytvoření záložního plánu Contingency plan.
RIZIKOVÁ PÁSMA
rizikové pásmo identifikovaná rizika Pásmo indikuje skutečně neakceptovatelná (kritická) rizika. Rizika zařazená do tohoto pásma jsou daleko od ochoty riskovat a identifikace jakéhokoliv rizika v tomto pásmu vyžaduje okamžitou reakci na riziko a bezprostřední odpověď na riziko (zpravidla formou opatření k jeho eliminaci). Pásmo indikuje relevantní riziko nad úrovní akceptovatelné chuti riskovat. Rizika v tomto pásmu vyžadují zpravidla bezprostřední reakci s odpovědí na riziko ve stanoveném čase. Pásmo představuje normální akceptovatelnou úroveň rizika a většinou nevyžaduje bezprostřední odpověď na riziko. Za normálních okolností jsou aktivní rizika poziciována do tomto pásma a jsou v rámci běžného rizikového managementu průběžně kontrolována a řízena. Pásmo obsahuje velmi nízká rizika, na která může být aplikována snížená kontrola a jsou tedy příležitostí pro připuštění vyšší míry rizika.
Aktiva, hrozby a zranitelnost Typy nehmotných aktiv: právní aktiva, jako obchodní tajemství (např. seznam zákazníků), autorská ochrana, patenty, obchodní značky, soutěživá aktiva, jako znalosti, know-how, spolupráce s partnery, vliv na trhu apod. Hrozbu (threat) definuje norma ISO 27000 jako: Potencionální příčina nechtěného incidentu, který může vést k poškozeni systému nebo organizace. Zranitelnost (vulnerability) definuje norma ISO 27000 jako: Slabina aktiva nebo kontrolního zajištění, která může být zneužita hrozbou.
IDENTIFIKACE RIZIKA nebezpečí obecná hrozba dopad rizika pravděpodobnost riziko rizikový faktor specifická zranitelnost
ISACA a rizika Riziko je podle ISACA vysvětlitelné a popsatelné v kontextu rizikového scénáře. Rizikovým scénářem (pro oblast IT) je podle ISACA: IT rizikovým scénářem je popis události spojené s IT, která může vést k dopadu do podnikání, pokud a zda-li může nastat. Rizikový scénář vzniká podle ISACA spolupůsobením více komponent.
Rizikový scénář vzniká podle ISACA spolupůsobením více komponent a) Aktér generuje hrozbu (ne všechny hrozby vyžadují aktéry např. přírodní hrozby) b) Typ hrozby povaha hrozby (zlý úmysl, náhoda, nebo selhání) Cokoliv (např. objekt, látka, člověk), co je schopno působení vůči aktivu způsobem vedoucím k jeho poškozeni. c) Událost Něco co se stane mna specifickém místě a/nebo čase. (přerušení systému/projetu, krádež/zničení něčeho) d) Aktivum/zdroj Aktivum je jakýkoliv objekt s hodnotou pro organizaci, který může být ovlivněn událostí, a vede k business dopadu. Zdroj je jakákoliv věc pomáhající dosáhnout cíl. (mohou být identické aktivum=zdroj) e) Čas výskyt události a její trvání
Rizikový scénář přístup odvození: Shora-dolů zahájení identifikace rizikových scénářů od všeobecných business cilů organizace a analýza nejdůležitějších a nejpravděpodobnějších rizikových scénářů s dopadem na business cíle. Zdola-nahoru zahájení identifikace rizikových scénářů analýzou seznamu generických scénářů vzniklých ze zkušeností, které se při identifikaci konkretizují a přizpůsobují na místní specifické podmínky odpovídající dané situaci v organizaci.
ISACA další pojmy Rizikový faktor (risk factor) podmínka ovlivňující frekvenci a/nebo magnitudo (stupeň rizika) a, v konečnem důsledku, business dopad události/scénáře Příležitost (opportunity) metodika řízeni rizik podle ISACA ukazuje na obrácenou stranu rizika příležitost, která generuje pozitivní dopad (měl byt rovněž zahrnut do rizikových scénářů). Je to možnost, že se vyskytne událost, která pozitivně ovlivní dosažení cílů.
ISACA IDENTIFIKACE RIZIKA nebezpečí obecná hrozba dopad pravděpodobnost událost rizika rizikové faktory specifická zranitelnost
AGREGACE RIZIK Úkolem agregace rizik je společné posouzení rizik dříve odděleně posuzovaných, např. posouzení rizik ziskaných z jednotlivých oddělení společnosti na úrovni celé firmy nebo posouzení rizik z dílčích projektů na úrovni programu složeného z těchto projektů. Agregace rizik vyžaduje: a) aplikování stejné metody pro řízení rizik na všech úrovních identifikace rizik, což umožní jejich hodnocení podle stejných zásad a principů, b) kvantitativní analýzu rizik, která umožní rizika převést do společného rizikového profilu, vzájemně je posuzovat resp. spojovat.
AGREGACE NEZÁVISLÝCH RIZIK
AGREGACE SDÍLENÝCH RIZIK
Cesta k agregaci rizik by měla být vedena dvojím způsobem: Agregace spolupůsobících rizikových faktorů. Jednotlivé rizikové faktory (samy o sobě nemají velký význam z hlediska zranitelnosti projektu) se spojují do komplexnějších shluků vytvářejících zranitelnosti, které projektu způsobují vážné slabiny využitelné hrozbami. Agregace sdílených či propojených rizikových událostí. Při teto agregaci se propojují rizika přes vyhledání sdílených nebo propojených událostí v rizikových scénářích. Spojení událostí ukazuje na ta rizika, která je nezbytné z důvodu nepodcenění jejich spolupůsobení agregovat co nejpřesněji do sdílené podoby, která by při vzniku sdílené události logicky také musela nastat.
RIZIKOVÉ PORTFOLIO RIZIKOVÝ PROFIL Definice: Rizikový profil je popisem celkových (identifikovaných) rizik, kterým je organizace vystavena. Jde o rychlý popis aktuálního rizikového stavu. Obsah: 1. Agregovaná rizika současného stavu 2. Zranitelnosti a klíčové rizikové faktory, které je vytvářejí 3. Porovnaní současného stavu, minulých agregovaných rizik (rizikových map) a projekce rizik v budoucnosti 4. Klíčové rizikové indikátory, jako metriky pro měřeni kořenových příčin rizik a usuzování na průběh působících rizik a opatření proti rizikům 5. Případná zjištění z nezávislého hodnocení rizik.
Výstupní dokumenty plán řízení rizik Risk Management Plan ; registr rizik Risk Register ; plán protirizikových opatření Risk Response Plan.
Sledování rizik v projektu Možné události, pro které sledujeme rizika: změna podmínek ovlivňující hodnotu pravděpodobnosti nebo hodnotu škody u rizika (přepočítat aktuální hodnotu rizika, doplnit opatření); vznik nové významné hrozba (kvantifikace, opatření); hrozba pomine (vyřazení ze sledování); opatření ztratilo svojí účinnost (nahradit novým, modifikovat); rozpoznání potřeby změny scénáře, což vyvolá změnu pravděpodobnosti nebo dopadu (nová hodnota rizika); nastala situace pro aktivaci připraveného opatření (pojistná událost, čerpání rezervy).
2. ŘÍZENÍ ZMĚN V PROJEKTU
ŘÍZENÍ ZMĚN V PROJEKTU Změna (Change) je odchylka implementovaná do směrného plánu projektu. Změny jsou vzhledem k neočekávaným událostem v projektu nevyhnutelné a vyplývají taktéž z nejistoty projektu. Změnové řízení v projektu (Project Change Management) proces plánování změny od stávajícího k požadovanému budoucímu stavu, který má zajistit, aby tento přechod byl co možná nejhladší a nejefektivnější.
K tomu, abychom mohli řídit změny, potřebujeme: nápad, kterým reagujeme na potřebu nebo požadavek změny; návrh realizace nápadu, který je rozpracován do variant realizace s vydefinovanými dopady na projekt a plánu realizace změny (včetně úpravy plánu projektu); rozhodnutí realizovat změnu (schválení varianty realizace); implementaci varianty realizace změny, která např. vyústí ve změnu v organizační struktuře, technologickém postupu atd. zdroje informační, finanční, materiálové a lidské, které pomáhají navrhnout a prakticky realizovat změnu (jsou pro řízení změny potřeba nebo se jich změna bezprostředně týká).
Fáze řízení změn: ŘÍZENÍ ZMĚN (Change Management) fáze 1 identifikace změny; fáze 2 implementace schválené změny; fáze 3 ukončení.
Fáze 1 identifikace změny: podnět na změnu nebo potřeba změny požadavek zákazníka, nabití platnosti normy, zákonu, směrnice atd.; zpracování a předložení požadavku na změnu odpověď na otázky CO, JAKÁ kritéria a případně i PROČ? ; analýza změny zpracování variant a výběr optimální varianty; schválení nebo neschválení změny.
Fáze 2 implementace schválené změny: zavedení změny; sledování změny. Fáze 3 ukončení: vyhodnocení změny; uzavření.
Závěr
Zadání úkolů na cvičení: 1. Prostudovat přednášku 2. Prostudovat DOLEŽAL, J., MÁCHAL, P., LACKO, B. a kolektiv. Projektový management podle IMPA. 2. vyd. Praha: Grada publishing, a.s., 2012. s. 83-105, 225-230. ISBN 978-80-247-4275- 5.