Onko projektiriskienhallinta yhtä kuin operatiivinen riskienhallinta? Voiko se olla strategista? Miten projektiriskit suhtautuvat liiketoimintariskeihin? Miten työkalut ja prosessit eroavat organisaation muusta riskienhallinnasta? Mitkä ovat ylipäätään projektiriskien tunnistamisen ja arvioinnin lainalaisuudet?
Monia kysymyksiä, joihin lähdimme hakemaan vastauksia Veli-Veikko Elomaalta, joka on erikoistunut megaluokan projektien riskinhallintaan ja aikataulupohjaiseen riskimallinnukseen. Tämän projektien riskienhallintaan syventyvän kaksiosaisen kirjoitussarjan ensimmäisessä osassa avaamme hieman yleisiä periaatteita asiaan liittyen, ja toisessa Veli-Veikko kertoo tarkemmin aikataulupohjaisen riskimallintamisen menetelmistä ja tavoitteista. (VV saa näin ollen kunnian olla myös Riskiblogin ensimmäinen vieraileva kirjoittaja!)
Operatiivinen, taktinen ja strateginen projektiriskien hallinta
Projektiriskien hallinta on melko laaja alue, projektilla voidaan tarkoittaa mitä vain yrityksen sisäisen kehityshankkeen ja monien miljardien rakennusprojektin välillä. Yhteistä näille kuitenkin on se, että operatiivisen tason riskienhallinnan merkitys korostuu. Projektin lopputuloksen varmistamisen kannalta on keskeistä, että riskienhallintaa tehdään tarpeeksi konkreettisella tasolla niin, että hallintatoimenpiteitä voidaan toteuttaa ja seurata tehokkaasti. Operatiivisella tasolla riskitieto kootaan käytännön työstä ja käytännön tekijöiltä.
Veli-Veikko painotti meille, että operatiivisen tason käsittely ei silti yksin riitä, koska projektin johto ja ohjausryhmä tarvitsevat etenkin isoissa projekteissa avukseen myös taktisen tason riskinäkemystä. Projektin riskivastaavan vastuulle kuuluu koostaa operatiivisen tason tieto taktisen tason näkemykseksi, hyödyntämällä esimerkiksi aiheuttajaperusteista riskien luokittelua (RBS= risk beakdown structure, ks. linkki kirjoituksen lopussa). Luokittelu tehdään kaikille tunnistetuille riskeille, jolloin pystytään analysoimaan projektin riskejä yhteisten aiheuttajien löytämiseksi ja voidaan muodostaa kuva projektin kannalta merkittävimmistä riskikokonaisuuksista.
Ylintä johtoa ja rahoittajia kiinnostavat puolestaan strategisen tason riskit, kuten poliittisen toimintaympäristön vaikutukset investoinnin kannattavuuteen tai projektin merkittävän viivästymisen aiheuttamat vaikutukset kassavirtaan tai vaikka asemaan rahoitusmarkkinoilla. Strategisia riskikokonaisuuksia, etenkään ulkoisiin teemoihin liittyviä, ei luontaisesti tunnisteta projektin kontekstissa. Tämän vuoksi alhaalta ylöspäin koottava riskitieto ei yksinään vastaa ylimmän päättävän tahon tarpeisiin. Strategisen tason tarkastelua varten projektia tarkastellaan osana liiketoiminnan kokonaisuutta, esimerkiksi arvioiden sen merkittävyyttä strategian ja maineen kannalta.
Tasotarkastelun lopuksi Veli-Veikko painotti, että projekteissa nimenomaan operatiivisten riskien toteutuminen ja kasautuminen ovat loppujen lopuksi tekijöitä, jotka yleensä ovat epäonnistumisten taustalla. Niiden merkitys ja potentiaalinen vaikutus koko projektin onnistumiseen korostuu verrattuna perinteiseen liiketoiminta- ja strategisten riskien hallintaan. Pitäisiköhän tämän ajatuksen muuten näkyä nykyistä enemmän myös organisaation kokonaisvaltaisessa riskienhallinnassa, jossa etenkin johdon tasolla usein liitelemme strategisten mammuttiriskien maailmassa?
Kuten huomataan, projektiriskienhallinta solahtaa riskienhallinnanssa yleisestikin käyttämäämme kolmen tason ajattelumalliin luontevasti. Lisäksi mainittakoon, että prosessin pyörittämiseen, dokumentointiin ja raportointiin käytettävät työkalut ovat täysin samoja kuin yrityksen muussa riskienhallinnassa.
Projektiriskien tunnistaminen
Projektien riskienhallinnan erityispiirre on, että käsiteltävä alue on rajattu tarkkaan ajan ja rahan suhteen. Projekti aloitetaan, jotta se saadaa päätökseen. Projektin edetessä riskejä syntyy ja poistuu sitä mukaa kun tehtäviä toteutetaan. Veli-Veikon mukaan tämä tuo selkeyttä riskiarviointiin: riskejä tunnistetaan neljästä näkökulmasta liittyen projektin eri vaiheisiin.
Näkökulmat ovat:
aika
raha
laatu
turvallisuus,
joista kaksi viimeksi mainittua voidaan seurauksiltaan aina johtaa kahteen ensin mainittuun, mutta niiden on tärkeä olla erillisinä mukana, kun riskejä tunnistetaan. Laatua tulisi tarkastella vähintään kahdestä näkökulmlasta: projektin aikainen toiminnan laatu, sekä lopputuotteen laatuun vaikuttavat tekijät. Turvallisuus tulisi nähdä laajana kokonaisuutena, joka projektista riippuen käsittää esimerkiksi työ-, ympäristö-, tieto- ja toimitilaturvallisuuden, mutta voi jossakin projektissa tarkoittaa vaikka elintarvike- tai säteilyturvallisuutta.
Haasteita Veli-Veikko näkee myöskin neljä:
1.
Riskien tunnistamisessa juututaan yleistyksiin. Esim. riskin aiheuttajana nähdään puutteelliset resurssit ja seurauksena aikataulun viivästyminen. Tämän tason huomioilla ei kuitenkaan tuoda lisäarvoa projektinhallinnalle, jossa tarvitaan tieto perussyistä tunnistettujen riskien taustalla.
2.
Toinen sudenkuoppa riskien tunnistamisessa ovat riskit, joissa aiheuttajaksi nimetään toisten vastuulla olevat työt: riskinä kirjataan vaiheen 2 viivästyminen, koska vaihe 1 ei mene suunnitelmien mukaan. Etupäässä tällaisten riskien kirjaaminen viestii usein projektin sisäisestä epäluottamuksesta. Tietenkin projektin vaiheiden välisten vaikutusten ymmärtäminen on tärkeää, mutta riskien tunnistamisen tarkoituksena on varmistaa jokaisen yksittäisen vaiheen onnistunut toteutuminen riippumatta edeltävistä tai seuravista vaiheista.
3.
Kolmantena kompastuskivenä keskustelimme siitä, miten usein riskejä tunnistaessa ei ole yhteistä määrittelyä käsitteelle ”riski”. Tämän seurauksena projektin eri toimijoiden tunnistamat riskit eivät ole keskenään vertailukelpoisia. Tämä voi johtaa vääriin tulkintoihin, esimerkiksi vaihe johon on tunnistettu eniten riskejä ei välttämättä ole kaikkein riskialttein, sen vastuuhenkilön käsitys riskistä vain voi olla eri kuin toisen vaiheen riskien tunnistamisesta vastaavan henkilön. Yleinen väärinymmärrys on , että kaikki muutokset projektissa nähdään riskeinä. Tärkeä pointti haastateltavaltamme oli, että projektille on luontaista ja myös toivottavaa, että suunnitelmat muuttuvat tiedon tarkentuessa.
Lisäksi suunniteltujen tehtävien kestolla on luontainen vaihteluväli, jonka sisällä tapahtuvat muutokset eivät vielä sellaisenaan aiheuta riskiä. Esimerkkinä luontaisesta vaihteluvälistä ja toisaalta riskistä Veli-Veikko heitti kävellen kuljetun matka pisteestä a pisteeseen b: normaalina päivänä keskiverto aikuiselta kuluu kilometrin matkaan keskimäärin 12min. Lisäksi liikennevalot ja vilkas risteys matkan varrella vaikuttavat helposti minuutin tai kaksi sen mukaan, miten hyvä tuuri kävelijällä on. Tämä vaihtelu kuvaa normaalia vaihteluväliä, jonka kohtaamme aina liikkuessamme. Matkaan liittyvä riski taas olisi jokin mahdollinen tapahtuma, esimerkiksi se, että tie olisi suljettu onnettomuuden takia ja joutuisimme valitsemaan uuden reitin, joka tuplaisi matka-ajan. Jos projektissa toinen tunnistaa riskiksi jo luontaisen vaihteluvälin ja toinen näkee riskinä vasta merkittävän tapahtuman, on eri henkilöiden luoma riskidata täysin vertailukelvotonta.
4.
Neljäs virhe projektin riskienhallinnassa on ns. ”pienten” riskien aliarviointi, johon jo aiemmin viittasimme toteamalla, että operatiivisten riskien toteutuminen on usein epäonnistumisten takana projekteissa. Perinteisestihän, jos saat riskin hallintatoimenpiteiden avulla siirrettyä riskikartan punaiselta alueelta keltaiselle, olet tyytyväinen. Riski voi olla sen tyyppinen, että se on yksittäisenä toteutuessaan keltaisella alueella vaikutuksiltaan kohtuullinen. Kuitenkin jos tällainen riski toteutuu useassa vaiheessa, voi se olla projektin kannalta krittinen kerrannaisvaikutuksiltaan. Haasteeksi tässä yhteydessä muodostuu näiden pienten toistuvien riskien tunnistaminen ja kommunikointi, minkä vuoksi projektiriskien luokittelussa suositellaankin käytettävät aiheuttajaperusteista luokittelua. Tämän kautta päästään kiinni usein toistuviin aiheisiin, jotka eivät suuruutensa puolesta yksittäin nouse projektin johdon riskiraporttiin.
Projektin kriittinen polku
Projektien riskienhallinnan tekee erityisen mielenkiintoiseksi niiden perusolemus, jossa tehtävät seuraavat toisiaan ja edellisen tehtävän toteutus vaikuttaa seuraavaan. Jotkin tehtävät ovat kokonaisaikataulun kannalta merkittävämpiä ja muodostavat projektin ns. kriittisen polun. Tämä kriittinen polku voi kuitenkin muuttua yllättäen, kun jokin tehtävä kriittisen polun ulkopuolella venyy riskin realisoiduttua. Näistä riippuvuuksista muodostuu monimutkaisia kausaliteettejä, joiden ymmärtäminen ja hallinta on kriittistä, kun projekti halutaan saattaa päätökseen suunnitellussa aikataulussa. Tähän analysointiin käytetään projektiriskienhalinnalle tyypillisiä työkaluja, jotka eivät välttämättä kuulu yrityksen normaalin riskienhallinnan työkalupakkiin. Näistä aiheista Veli-Veikko tietää paljon ja avaa ajatuksiaan tämän postaussarjan toisessa osassa – jäämme jännityksellä odottamaan!
Lisää luettavaa projektiriskeistä kiinnostuneille:
https://www.pmi.org/learning/library/risk-breakdown-structure-understand-risks-1042
