Rejestr ryzyk – minimalny standard dla projektów i procesów
Rejestr ryzyk często zaczyna życie jako „wymóg”: audyt, kontrola, standard wewnętrzny, a czasem po prostu potrzeba „żeby było”. I wtedy dzieje się rzecz przewidywalna: powstaje tabela, wypełniana raz na kwartał, a ryzyko dalej zarządza projektem.
Tylko że nie w sposób świadomy.
Warsztatowe podejście polega na tym, żeby rejestr ryzyk był narzędziem pracy, a nie załącznikiem. W praktyce oznacza to trzy rzeczy: minimalny model danych, stały przegląd oraz format raportowania, który kończy się decyzjami, a nie dyskusją o kolorach w macierzy. Poniżej jest standard minimalny, który może wspomóc PMa w codziennej pracy, zarówno dla projektów jak i dla procesów.
Dlaczego „ryzyko” bywa mylone z „problemem” i skąd wzięła się dyscyplina rejestrów
Najpierw definicja. Ryzyko to niepewne zdarzenie, które może się wydarzyć i wpłynąć na cele. Kluczowe jest „może” oraz „cele”. Jeżeli coś już się wydarzyło, przestaje być ryzykiem i staje się zagadnieniem do rozwiązania. Jeżeli coś nie wpływa na cele, jest co najwyżej obserwacją.
Geneza rejestru ryzyk jest praktyczna. W dużych przedsięwzięciach i organizacjach zauważono, że najdroższe błędy wynikają nie z braku pracy, tylko z braku wczesnej identyfikacji i reakcji na niepewność. Rejestr jest więc „pamięcią ryzyk” i mechanizmem dyscypliny determinującym kto jest właścicielem, co robimy, kiedy wracamy do tematu, jak eskalujemy.
Warto też od razu uporządkować dwa pojęcia, które robią ogromną różnicę w praktyce:
- Zagrożenie (ang. threat): ryzyko o negatywnym wpływie, np. opóźnienie dostawy, błąd w integracji, unieważnienie postępowania.
- Okazja (ang. opportunity): ryzyko o pozytywnym wpływie, np. możliwość skrócenia czasu obsługi, uzyskania efektu skali, przyspieszenia wdrożenia dzięki prostszemu rozwiązaniu.
Jeżeli ryzyko to „niepewność wpływająca na cele”, to niepewność może działać w obie strony. Wymuszone podejście do rejestru realizowane jest zwykle zarejestrowaniem zagrożenia, przez co traci część realnej wartości z zarządzania ryzykiem: świadome wykorzystywanie okazji.
Minimalny standard rejestru dający możliwość sterowania
Można też przesadzić w drugą stronę i zbudować rejestr zbytnio rozbudowany. rozbudowanego. Zbyt wiele pól powoduje, że ludzie wpisują cokolwiek, byle zamknąć temat. Minimalny standard musi być krótki, ale nie może być symboliczny. Poniżej zestaw pól, które są wystarczające, żeby rejestr działał.
Zanim o kolumnach, warto ustalić format jednego zdania.
- Zdarzenie: co się może wydarzyć?
- Skutek: jaki będzie wpływ na cel?
Pierwszy przykład, oparty o projekt IT:
Dostawca nie dostarczy integracji do rejestru X w terminie > opóźnienie uruchomienia e-usługi o 4 tygodnie i ryzyko przekroczenia tolerancji czasu.
Przykład drugi – procesowy:
Braki kadrowe w zespole decyzji środowiskowych > wydłużenie czasu wydawania decyzji i wzrost liczby skarg.
Geneza tego formatu wynika z praktyki przeglądów. Na spotkaniu nikt nie ma czasu czytać elaboratów. Jedno zdanie pozwala natychmiast zrozumieć, czy temat jest istotny. Natomiast wymaga od nas wstępnej analizy przedmiotu, z którym się mierzymy.
Propozycja kolumn do rejestru ryzyka:
| Kolumna | Co oznacza / jak wypełniać | Po co (geneza / sens zarządczy) |
| ID ryzyka | Unikalny identyfikator (np. R-001), stały w czasie | Umożliwia śledzenie historii ryzyka, zmian oceny i decyzji; bez ID rejestr „pływa” między wersjami |
| Opis ryzyka (zdarzenie > skutek) | 1 zdanie: co może się wydarzyć > jaki będzie wpływ | Wymusza konkret i łączy ryzyko z konsekwencją; ułatwia przeglądy i raportowanie |
| Cel/obszar wpływu | Np. czas / koszt / zakres-jakość / zgodność / reputacja / ciągłość usług | Pozwala decydentom czytać ryzyka „po celach”, nie po technikaliach; |
| Przyczyna / źródło | Dlaczego to ryzyko jest realne (1 krótka przyczyna) | Bez przyczyny nie ma sensownej reakcji; działania stają się losowe |
| P (prawdopodobieństwo) | Skala 1-5 lub % (z opisem skali) | Oddziela ryzyka „teoretyczne” od realnych; daje podstawę priorytetyzacji |
| I (wpływ) | Skala 1-5 (z opisem skali i/lub progami) | Urealnia konsekwencje; warto wiązać z terminami, zgodnością, reputacją, ciągłością usług |
| Ocena | Najczęściej P×I bądź wynikająca mnożnika kategoria określona: niski/średni/wysoki | Daje szybkie porównanie i pozwala budować TOP 5/TOP 10 |
| Właściciel ryzyka | Konkretny właściciel (rola/osoba) | Ryzyko bez właściciela nie ma odpowiedzialności; to najczęstszy powód „martwych” rejestrów |
| Reakcja / strategia na ryzyko | Unikanie / ograniczanie / przeniesienie / akceptacja (+ krótkie uzasadnienie) | Wymusza wybór podejścia; rejestr przestaje być listą obaw, a staje się planem zarządzania |
| Plan działań | 1-3 konkretne kroki (co robimy) | Przekłada ryzyko na pracę i umożliwia rozliczalność postępu |
| Termin najbliższego kroku / przeglądu | Data najbliższego działania lub przeglądu | Nadaje rytm pracy nad ryzykami |
| Status | Otwarte / w trakcie / zamknięte / przekształcone w zagadnienie | Umożliwia sterowanie cyklem życia ryzyka; szczególnie ważne dla zasady „ryzyko vs zagadnienie” |
Jeśli organizacja ma dojrzałość, można dodać pola opcjonalne: wyzwalacze (wczesne ostrzeżenia), oczekiwany koszt danego ryzyka, powiązanie z umową czy postępowaniem. Jednak należy traktować to jako dodatek do podstawowego zakresu rejestru.
Ocena P i I: co oznaczają, skąd się wzięły i jak je ustawić
Metoda P i I (Probability i Impact) ma długą genezę w zarządzaniu ryzykiem, bo jest prostą odpowiedzią na pytanie, które ryzyka są najważniejsze. To podejście jest popularne, ponieważ pozwala szybko porównać różne ryzyka między sobą.
Największą wartość daje dopisanie do skali krótkich definicji. Przykład:
P (prawdopodobieństwo) 1-5
1 rzadkie > 2 mało prawdopodobne > 3 możliwe > 4 prawdopodobne > 5 niemal pewne
I (wpływ) 1-5
1 mały (bez zmiany decyzji) > 3 średni (wymaga korekty planu) > 5 krytyczny (zagraża celom lub wymaga decyzji kierownictwa)
Aby wpływ miał większy sens, należałoby go skorelować z dodatkowymi zagadnieniami:
- Czas opóźnienie kamienia milowego,
- Zgodność: ryzyko naruszenia przepisów / regulaminów / umów,
- Reputacja: wzrost skarg, zainteresowanie mediów,
- Ciągłość działania: niedostępność e-usługi lub opóźnienie świadczeń.
Ryzyko a zagadnienie – i metody migracji
Czasami dochodzi do sytuacji, w której ryzyko się zmaterializuje. Istotnym jest wtedy by odpowiednio zarządzić rekordami we właściwych rejestrach. Błędnym ruchem byłoby wykreślenie ryzyka w rejestrze, bez pozostawienia żadnego śladu. Lepszym pomysłem jest dodanie odpowiedniej korelacji pomiędzy rejestrami ryzyka a rejestrami zagadnień. Dzięki czemu zachowujemy ciągłość i łatwiej nam w przyszłości. To błąd, bo traci się ciągłość informacji i trudno potem wyciągać wnioski.
Definicje:
- Ryzyko: może się wydarzyć.
- Zagadnienie (issue): wydarzyło się i wymaga obsługi.
Geneza rozdzielenia tych rejestrów jest pragmatyczna: ryzyko służy do prewencji i przygotowania, zagadnienie służy do zarządzania naprawą.
Gdy ryzyko się zmaterializuje, zmienia status na „przekształcone w zagadnienie”, a w rejestrze pojawia się odnośnik do ID zagadnienia. Dzięki temu:
- widać, które ryzyka były realne,
- można ocenić, czy działania prewencyjne działały,
- łatwiej budować rejestr doświadczeń po zakończeniu projektu/procesu.
Przykład: „Braki kadrowe i wynikające z niego opóźnienia decyzji”. Gdy faktycznie pojawia się zaległość i rośnie liczba skarg, temat staje się zagadnieniem operacyjnym (np. decyzja o przesunięciu ludzi, zleceniu wsparcia, zmianie priorytetów). Ryzyko nie znika, tylko zmienia status.
Rejestr ryzyk działa tylko wtedy, gdy ma rytm. W takiej sytuacji sprawdzi się podejście dwupoziomowe:
- przegląd operacyjny (zespół/PM/właściciele ryzyk): co tydzień lub co 2 tygodnie, krótko, tylko najważniejsze ryzyka i działania, z ewentualną eskalacją do wyższego kierownictwa
- przegląd kierowniczy (sponsor/kierownictwo): raz w miesiącu i/lub na koniec etapu/bramki.
Geneza takiego rytmu wynika z faktu, że ryzyko zmienia się w czasie. Raz na kwartał jest zwykle za rzadko, bo w projektach IT i procesach usługowych sytuacja potrafi zmienić się w tydzień.
Warto też wprowadzić procedurę eskalacji, czyli jasną regułę kiedy ryzyko musi trafić do decyzji kierownictwa. Najczęściej są to trzy przypadki:
- przekroczenie tolerancji (czas/koszt/zgodność),
- brak postępu działań,
- nagły wzrost ekspozycji lub pojawienie się ryzyka krytycznego.
OnaPager ryzyka
Jeśli rejestr ma działać, kierownictwo nie powinno przeglądać pełnej tabeli. Powinno dostawać jedną stronę, która odpowiada na pytanie „co jest najważniejsze i jakie są oczekiwania?”
Czas decydentów jest ograniczony, a ryzyko wymaga selekcji. Dobry one-pager nie jest powinien być jedynie wyciągiem a dawać realną szansę na podjęcie decyzji.
Raport o stanie ryzyka (1 strona)
| Status ogólny: zielony / żółty / czerwony (z odniesieniem do stałej legendy) |
| TOP 5 ryzyk: opis, P/I/Score, właściciel, działanie, termin najbliższego kroku |
| Ryzyka przekraczające tolerancję: 1-3 pozycje, jasno wskazane |
| Decyzje do podjęcia: max 3 pytania decyzyjne + rekomendacja PM/proces ownera |
| Trend: liczba ryzyk krytycznych albo ekspozycja (jeśli liczona) w ostatnich okresach |
Pamiętajmy, że jako Kierownik Projektu działamy w określonym obszarze decyzyjności i tolerancji. Więc nie ma sensu prezentować cały kompletny rejestr ryzyk dla Zarządu / Sponsora.
Aby jeszcze bardziej ułatwić pracę, warto rozważyć dodatkowe 4 wskaźniki jakości:
- % ryzyk z właścicielem,
- % ryzyk z planem działań i terminem,
- liczba ryzyk krytycznych (trend),
- czas przebywania ryzyk w TOP 5.
Aby do tego dotrzeć, potrzebny jest plan.
Zgodnie z ideą niniejszego artykułu – czyli warsztatownika – narzędziownika, poniżej zaprezentowałem wysokopoziomowy plan na ustalenie wspólnego standardu raportowania – jest to istotne o tyle, że dzięki takiemu działaniu wiemy, że wszyscy referujemy do tego samego rejestru i jesteśmy na tym samym poziomie wiedzy.
| Okres | Cel | Działania | Produkty / artefakty | Kryterium zakończenia |
| Dzień 1-2 | Uzgodnić wspólny standard | 1. Ustalenie definicji ryzyka i formatu „zdarzenie > skutek”2. Uzgodnienie skali P i I (z krótkimi opisami)3. Ustalenie listy wymaganych kolumn4. Ustalenie reguł: kiedy eskalacja, kiedy „issue” | Szablon rejestru + opis skali P/I + 1 strona zasad pracy | Standard zaakceptowany przez kierownictwo (mail/ustalenie) i gotowy do użycia przez zespoły |
| Dzień 3-5 | Zidentyfikować ryzyka i przypisać właścicieli | Warsztat identyfikacji po kategoriach źródeł (ludzie, dostawcy/umowy, dane, zgodność, interesariusze, technologia/procedury) > doprecyzowanie opisów do formatu 1-zdaniowego > przypisanie właścicieli | Wstępnie uzupełniony rejestr: ID, opis, obszar wpływu, przyczyna, właściciel | 100% wpisów ma właściciela i opis w formacie „zdarzenie > skutek” |
| Dzień 6-10 | Zrobić z rejestru plan działań | 1. Ocena P i I (wspólna kalibracja na 5-10 ryzykach)2. Wybór strategii reakcji3. Zapis 1-3 działań i terminów4. Wyłonienie TOP 10 (np. po Score lub po progach) | Rejestr z P/I/Score, reakcją, planem działań i terminami; lista ryzyk (najważniejszych 10) | TOP 10 ma działania + terminy + status, a reszta ma co najmniej właściciela i podstawową ocenę |
| Dzień 11-14 | Uruchomić raportowanie i rytm przeglądów | 1. Zbudowanie 1-stronicowego raportu „Stan ryzyka”2. Ustalenie rytmu (np. co 2 tyg. operacyjnie, raz/mies. kierowniczo)3. Zasada eskalacji i decyzji do podjęcia4. Pierwszy przegląd i decyzje | One-pager „Stan ryzyka” + kalendarz przeglądów + lista decyzji/eskalacji | Odbył się pierwszy przegląd, ustalono decyzje/akcje i daty kolejnego przeglądu (rejestr jest „w obiegu”) |
Rejestr ryzyk zaczyna działać wtedy, gdy jest „lekki w formie, ciężki w konsekwencji”. Ma właścicieli, ma działania, ma terminy i ma ścieżkę do decyzji. Minimalny standard nie polega na tym, że tabela jest idealna. Polega na tym, że w każdym cyklu przeglądu da się odpowiedzieć na podstawowe pytania zarządcze: co jest najważniejsze, co robimy i czego potrzebujemy od kierownictwa.
Jeżeli w organizacji istnieje już jakiś rejestr, nie trzeba go wymieniać. W większości przypadków wystarczy dopisać kilka kolumn, narzucić format „zdarzenie > skutek”, wprowadzić one-pager i stały cykl przeglądów. Reszta dojrzeje w praktyce.
Dodaj komentarz