PRINCE2® definiuje ryzyko w następujący sposób:

Ryzyko to niepewne zdarzenie lub zbiór zdarzeń, które w przypadku ich wystąpienia będą mieć wpływ na osiągnięcie celów. Miarą ryzyka jest iloczyn prawdopodobieństwa wystąpienia dostrzeżonego zagrożenia lub szansy oraz wielkość jego/jej wpływu na cele.

Jak widać, oficjalna definicja głosi, że ryzyko to po prostu niepewność, która może wpływać na nasze działania.  Na co warto zwrócić tutaj uwagę i jak wdrożyć zarządzanie ryzykiem?  W kategorii niepewności znajdują się nie tylko zagrożenia, ale również szanse.  Może ona zatem nieść zarówno negatywne , jak i pozytywne skutki.

PRINCE2® określa procedurę zarządzania ryzykiem, w ramach której mówimy o pięciu podstawowych krokach:

1. Identyfikacja

W tym kroku zespół jest zobowiązany do zweryfikowania jakiego typu ryzyka dotyczą jego projektu. Bardzo często słyszę pytanie o to w jaki sposób to zrobić. Można wykorzystać  analizę biznesową opartą na takich modelach jak SWOT, 5 sił Portera bądź macierz interesariuszy – są one użyteczne przy identyfikacji ryzyk zewnętrznych. Co z weryfikacją ryzyk związanych z technologiami? Tutaj z pomocą przychodzi audyt zasobów. Wykonując audyt, będziemy w stanie dość sprawnie określić ryzyka technologiczne i te związane z wykonalnością naszego projektu. Możemy także skorzystać z wcześniejszych albo cudzych doświadczeń;  w niektórych firmach istnieją udostępniane karty ryzyk, z którymi zespoły mogą się zapoznawać.

Zidentyfikowane ryzyka powinny zostać zapisane w rejestrze ryzyk.

Wielu ludzi sądzi, że rejestr ryzyk tworzy się podczas planowania na początku projektu. Jest w tym oczywiście sporo prawdy; większość ryzyk identyfikuje się na etapach związanych z planowaniem.  Zawsze jednak należy pamiętać, że nowe ryzyko może pojawić się w każdym momencie.  W momencie identyfikacji nowych ryzyk,  trzeba przejść przez wszystkie kroki procedury.

2. Ocena 

Z definicji ryzyka wynika, że stanowi ono iloczyn prawdopodobieństwa oraz wpływu na projekt. Prawdopodobieństwo najczęściej ocenia się metodą porównawczą i wyraża w procentach, gdzie wartości 80-99%  są wysokie, a  1-20% – niskie. Do takiej oceny często używa się macierzy ryzyka.

Drugim parametrem jest wpływ na projekt – to, jakie szkody lub jaką wartość może przynieść dane ryzyko. Wartość możemy określić wagą (najczęściej 1 oznacza najmniejszy wpływ, a 5 największy) i wraz z prawdopodobieństwem umieścić ją na macierzy ryzyk.

Inna technika to ocena wpływu w pieniądzach i wyliczenie pieniężnej wartości ryzyka; jest ona najczęściej tożsama z pozycją „ryzyko” w budżecie projektu.

3. Planowanie

W tym kroku należy przemyśleć co się zrobi, gdy dane ryzyko wystąpi. Np.  jeżeli nasz dostawca spóźni się z półproduktami, mamy  listę alternatywnych dostawców, którzy w ciągu trzech dni są w stanie dostarczyć potrzebne towary. Oczywiście scenariusza działania nie planuje się dla każdego ryzyka. W przypadku niskiego wpływu i/lub niskiego prawdopodobieństwa, częstą reakcją jest po prostu akceptacja; wiemy o możliwości ryzyka, ale szkoda nam energii na planowanie ewentualnych działań.

4. Wdrażanie

Ten krok mówi sam za siebie –  w momencie wystąpienia danego ryzyka wdraża się odpowiednią reakcję. Występują tu dwie postacie – właściciel ryzyka oraz jego wykonawca. Często obserwatorami ryzyk – zwłaszcza tych na wysokim poziomie  – są osoby decyzyjne, ale to nie one będą zajmowały się wdrażaniem poszczególnych ryzyk. Właśnie dlatego w rejestrze często widnieje ktoś pełniący funkcję właściciela i obok osoba odpowiedzialna za związane z wdrożeniem danej reakcji działania operacyjne.

5. Komunikacja

Teoretycznie to dopiero piąty krok procedury, nieprzypadkowo jednak na wizualizacji procesu zarządzania ryzykiem komunikacja znajduje się w samym środku. W każdym momencie trwania projektu, przy każdym raporcie oraz informacji zwrotnej należy brać pod uwagę ryzyka i otwarcie o nich mówić.

Rys. Procedura zarządzania ryzykiem w podejściu PRINCE2®

Opracowanie własne na podstawie podręcznika PRINCE2®