Olen käynyt muutaman viime vuoden aikana läpi melkoisen
määrän riskienhallintaan liittyvää materiaalia syventäen osaamistani. Miksikö? Siksi, että
riskienhallinta on loputun suo, joka kuitenkin jää projekteissa hyvin vähälle
huomiolle. Aihe on erittäin mielenkiintoinen ja haastava ja aina oppii uutta. Materiaaliakin asiaan
löytyy pilvin pimein. Miksi siitä huolimatta riskienhallintaan
panostetaan niin vähän sen hyötyihin nähden? Miksi niihin reagoidaan vasta kun
riski toteutuu? Miten monilta ongelmilta projekteissa vältyttäisiin edes
pienellä panostuksella riskienhallintaan? Onko kukaan laskenut, paljonko on
aiheutunut kustannuksia siitä, kun jokin ennalta tunnistamaton riski on
toteutunut, ja on jouduttu tekemään korjaavia toimenpiteitä? Riski, joka olisi
voitu tunnistaa ajoissa, miettiä lieventäviä keinoja sen mahdollisesti
toteutuessa, tai jopa poistaa riski kokonaan? Onko joku tehnyt projektin
alkuvaiheessa listan riskeistä, ja haudannut sen mappi ööhön ja toivonut ettei
siihen tarvitse enää palata? Ei mitenkään harvinaista - valitettavasti.
Aloitin lukemaan Axeloksen M_o_R (Management of Risk:
Guidance for Practioners) kirjaa. Se ei ole niin mukaansa tempaiseva kuin toinen
taannoin lukemani projektikirja, Veikö Moolok vallan, mutta se antaa hyviä apuja
riskienhallintaan. Ennen kaikkea kirja antaa vinkkejä mm. miten rikkoa
riskienhallinnan esteenä olevat muurit. Tosin kirjan lista ei ole täydellinen. Ihminen
on loistava keksimään syitä välttyäkseen ”ylimääräiseltä” vaivalta. Aloitin
tekemään listaa näistä esteistä. Lopetin listan teon 14. esteen jälkeen, sillä
tajusin, että lista on loputon.
- Tietoisuuden puute riskienhallinnan tärkeydestä
- Työkalujen ja menetelmien puute
- Ennaltaehkäisevä toiminta koetaan viivästyttävän projektia ja lisäävän kustannuksia
- Aikataulupaineet (johdon ja sidosryhmien osalta)
- Resurssien puute (roolit ja vastuut, RACI-mallin puuttuminen)
- Siilot organisaation sisällä (mitä isompi organisaatio, sitä enemmän siiloutumista esiintyy)
- Pelko projektin epäonnistumisesta
- Organisaatiokulttuuri/projektimalli ei tue riskienhallintaa
- Kannustimen puute riskianalyysin tekemiseen
- Ylimmän johdon tuen puute
- Viestinnän puute
- Riskiarvioihin ei luoteta
- Prosessien, käytäntöjen ja suunnitelmien puute
- Koulutuksen puute
Riskianalyysin tekemiseen löytyy paljon perusteita, mutta
miksi siihen ei siitä huolimatta panosteta? Analyysin tekemiseen ei tarvita
kallista kaupallista työkalua. Excelillä pääsee jo pitkälle, mikäli vain halua
on. Erilaisia työkaluja löytyy myös webistä. Projektipäällikön ei tarvitse
tehdä analyysiä yksin. Toki päävastuu sen tekemisestä on usein
projektipäälliköllä, mutta listan työstämiseen tarvitaan koko projektitiimi,
asiakas ja muut kriittiset sidosryhmät. Ainakaan itse en ole vielä törmännyt
projektipäällikköön, joka ymmärtää projektinsa kaikki potentiaaliset riskit sekä
keinot niiden ennaltaehkäisemiseksi kaikkien sidosryhmien näkökulmasta. Riskianalyysia
voidaan täydentää esimerkiksi projektin kick off–tilaisuudessa, kun tarvittavat
osapuolet ovat paikalla.
Teemme Pasaatissa myös projektin kuntotestejä, joissa yhtenä osiona on
riskienhallinta. Testitulosten mukaan riskienhallinnassa on yleisesti ottaen
paljon kehitettävää. Muutama palaute on jäänyt erityisesti mieleen, sillä
vastaavanlaiset palautteet tuntuvat toistuvan:
”Riskit määritellään,
mutta vielä liian kevyesti, jolloin ne eivät olennaisesti vaikuta projektin
suunnitteluun. Kyseessä usein riskien tilanneraportointi, ei niiden hallinta.”
”Varmaan suunnitelma
tehdään ja varmaan seurataan. Jotakin. Pelkkää teatteria.”
”Riskienlaatijat
elävät liian kaukana todellisuudesta. Eivät näe kenttätason ongelmia tai eivät
ota todesta. Vähätellään ongelmia.”
Vastaavanlaiset kommentit ovat valitettavan yleisiä. Mitä
asialle voitaisiin tehdä?
Projektin riskienhallinta tulee ottaa osaksi
projektisuunnitelmaa. Se tulee tehdä yhdessä asiakkaan ja kriittisimpien
sidosryhmien kanssa. Jokaisella sidosryhmällä on omat näkemyksensä riskeistä.
Jollekin jokin riski voi olla merkityksetön, kun toiselle se voi olla hyvinkin
kriittinen. Konsensus pitää löytyä, ja jokaiselle riskille vastuuhenkilö. Ei
riitä, että potentiaaliset riskit listataan ja kenties analysoidaan. Se ei ole
riskienhallinnan tarkoitus ja tavoite. Tavoite on, että löydetään keinot,
joilla riskejä kyetään vähentämään, lieventämään tai jopa eliminoimaan. Ainakin
tulisi löytää keinot, miten toimia, mikäli jokin riski toteutuu. Jonkinlainen
plan B pitää olla ainakin jokaisen kriittisen riskin osalta.
Riskienlaatijat ovat niitä, jotka ovat projektissa mukana.
Kukaan ulkopuolinen ei kykene määrittämään sinulle projektisi riskejä. Jokainen
projekti on ainutlaatuinen, jolloin riskejä ei myöskään voida kopioida suoraan
jostain toisesta projektista. Riskejä tulee seurata ja pyrkiä vähentämään
niiden vaikutuksia. Riskit tulee ottaa osaksi projektikokouksia, ja
projektipäällikön tulee nostaa riskejä tarvittaessa ohjausryhmän kokouksissa
esille. Ongelmia ei tule vähätellä, vaan ne tulee nostaa rohkeasti pöydälle, ja
etsiä ratkaisu ongelmaan.
Riskienhallinnan tehtävä on vähentää projektin epäonnistumisen todennäköisyyttä. Olemalla proaktiivinen (ennakoimalla riskit) on aina parempi kuin olla reaktiivinen (maksaa virheistä jälkeenpäin). Tavoitteenahan kaikilla on vähentää projektin epävarmuutta ja saavuttaa projektin tavoite ilman ylimääräisiä, toteutuneista riskeistä tai yllättävistä ongelmista, aiheutuvia kustannuksia. Eikö vain? Lupaathan ainakin miettiä asiaa syvällisemmin seuraavassa projektissasi?