Riskien hallinta
Pohjat
Riskien hallinnan tarkoitus
Riskien hallinnalla on tarkoitus tunnistaa, arvioida ja suunnitella epävarmuuteen liittyviä asioita, jotka toteutuessaan vaikuttavat hankkeen tavoiteltavaan lopputulokseen. Hallinta on jatkuvaa toimintaa, jonka tulos on riskien ehkäiseminen tai haittojen vaikutuksen minimoiminen.
Koska hanke on luonteeltaan kertaluontoinen ja ainutlaatuinen, sen läpivientiin sisältyy aina riskejä. Riskit ovat siis olennainen osa hanketta ja riskien hallinta on olennainen osa hankehallintaa.
Riskin määritelmä
Riski on epävarma asia, joka tapahtuessaan vaikuttaa hankkeeseen. Riskien vaikutukset voivat olla sekä negatiivisia että positiivisia. Negatiivisista riskeistä puhutaan uhkina, positiiviset riskit ovat mahdollisuuksia. Riskit ovat eri asioita kuin muutokset ja niiden hallinta tulee pitää erillään muutoshallinnasta.
Tyypillisiä hankkeen riskejä ovat
Taloudelliset ja aikatauluriskit
- Kustannukset ylittävät alkuperäisen arvion ja/tai hyödyt jäävät suunniteltua vähäisemmiksi
- Aikataulun venyminen lisää kustannuksia ja siirtää hyötyjen realisoitumista eteenpäin
Laaturiskit
- Toteutettava järjestelmän tai palvelun laatu ei vastaa käyttäjien odotuksia
- Järjestelmä ei täytä asetettuja tietoturva- ja tietosuojavaatimuksia
- Toimittaja ei kykene täyttämään sopimusvelvoitteitaan, esim. tuotokset eivät ole vaatimusten mukaisia
Järjestelmä- ja toimintaympäristöriskit
- Järjestelmän kehitys, käyttöönotto ja/tai ylläpito vaatii sellaista tietotaitoa, johon ei ole varauduttu
- Lainsäädäntö tai muut toimintaympäristössä tapahtuvat muutokset vaikuttavat hankkeen sisältöön niin merkittävästi, että tuotokset eivät ole käyttökelpoisia
- Valittu teknologia ei täytäkään vaatimuksia tai vanhenee hankkeen aikana ja joudutaan päivittämään
Riskien luokittelu
Kaikille tunnistetuille riskeille ei voi tai ei kannata tehdä mitään. Toimenpiteet kannattaa kohdentaa kaikkien tärkeimmille riskeille. Päätöksenteossa käytetään apuna riskien luokittelua, jolla määritellään riskin tärkeys. Tärkeyteen vaikuttavat riskin toteutumisen todennäköisyys ja toteutuessaan riskin vaikutus.
Todennäköisyyden ja vaikutuksen tulo määrittelee kunkin riskin riskiluokan.
Riskien hallinnan menetelmät perinteisessä hankkeessa
Valmisteluvaiheessa hankepäällikkö tunnistaa hankkeen tärkeimmät riskit ja luokittelee ne todennäköisyyden ja vaikutuksen mukaan riskiluokkiin.
Käynnistysvaiheessa riskiluokittelua tarkennetaan ja tärkeimmille riskeille tehdään riskien hallintasuunnitelma, jossa huomioidaan myös aikataulu. Riskien hallintaa ei kannata aloittaa liian ajoissa, jotta vältytään mahdolliselta turhalta työltä.
Toteutusvaiheessa riskejä seurataan aktiivisesti ja käynnistetään tarvittaessa ehkäisevät tai korjaavat toimenpiteet.
Riskiloki
Riskiloki on työkalu, johon kirjataan riskien hallintaan liittyvät yllä listatut toiminnot. Lisäksi hankepäällikkö käyttää ohjaus/johtoryhmää varten esityspohjaa (riskiesitys), jossa on riskikartta sekä yhteenveto hankkeen riskien tilanteesta sekä mahdolliset nostot ohjaus/johtoryhmälle.
Ketterässä hankkeessa riskejä hallitaan iteroimalla
Toisin kuin perinteisessä hankkeessa, ketterän hankkeen lopputulosta ei määritellä tarkalla tasolla etukäteen, vaan ratkaisua mukautetaan jatkuvan palautteen pohjalta haluttuun suuntaan. Kokeilu ja iteratiivinen kehittäminen ovat siis ketterän hankkeen tärkeimpiä riskinhallintatoimenpiteitä.
Lisää aiheesta
- Tietoturvan riskianalyysi
- Tietosuojan vaikutustenarviointi ja riskianalyysi
- Vika- ja vaikutusanalyysi (FMEA, eli Failure mode and effects analysis) on menetelmä, jonka avulla voidaan arvioida järjestelmän vikaantumisesta aiheutuvia riskejä. Ohjelmistojen tapauksessa tämä tarkoittaa esimerkiksi satunnaisia virheitä, jotka voivat aiheuttaa tietojen katoamista tai vääristymistä. Tähän menetelmään liittyy oleellisesti vikaantumistilojen (ongelmien) visualisointi FTA:lla eli vikapuuanalyysin avulla.