Říká se, že riziko jako ohrožení musí být konkrétní a specifické, jinak je prevence „bezzubá“. V praxi jsme ale často svědky obecného popisu rizik, kdy v popisu daného ohrožení zůstáváme na úrovni „businessu“. Ohrožení druhu „zpoždění termínu“ nebo „vícenáklady“ nelze mnohdy lépe specifikovat, ale vysloveny být musí. Neváží se jednoznačně ke konkrétní aktivitě v projektu nebo ke konkrétnímu zdroji (členu týmu) – ač fáze „hledání viníka“ je nedílnou součástí každého „dobrého projektu“. Účinnou prevenci nelze stanovit (s doložitelným působením). Taková rizika rádi v obecném duchu popíšeme i naceníme. Důležité je o nich hovořit, diskutovat. Je to ale řízení rizik v „dobré tradici“ PMI? Ano i ne. Ano proto, že rizika typu ohrožení pojmenujeme a komunikujeme. Ne proto, že je nelze jednoznačně a účinně řídit (rozuměj skrze prevenci a korekci mitigovat).
Abychom rizika mohli skutečně řídit, musíme znát kde, kdy, komu a čemu „se dějí“. Ne nadarmo se říká, že kdo nemá zpětnou vazbu, neřídí. I řidič v autě má zpětná zrcátka (dnes i kameru, čidla aj.). Ať už je ohrožení prvotně popsáno jakkoliv obecně, je nutné se „dopídit“ konkrétní či původní příčiny, která se vždy děje v daném okamžiku, dané osobě, v daném úkolu (a ohrožuje konkrétní výstup či hodnotu projektu). Jak na to? Co si zavést pravidla „3A“: Aktér (komu), Aktivum (čemu), Aktivita (kdy a kde). Na každé „A“ bychom měli znát odpověď.
Teď jistě někteří praktici začnou kroutit hlavou – žádné poučky a pravidla nedokážou být stejně barevné jako samotná praxe – seniorní a zkušení dodají, „to nebude fungovat vždy a všude“. Pravdu budou mít jen na půl. Tam, kde ohrožení vychází z interních rizik projektu, se nám toto pravidlo „3A“ hodí, kde budou rizika externí, definovat je nedokážeme. Pointou ale je, snažit se mít cílenou a účinnou prevenci, a tu bez přímé vazby na úkoly v projektu nezajistíme.
A jak vzletné pravidlo „3A“ může souviset se strategiemi dle PMI? Jednoduše. Užijeme jej jen u strategie mitigate, tam, kde chceme mít prevenci. Anebo zkusme se na to podívat obráceně. Kde můžeme bez uzardění naplnit všechny 3 kolonky (Aktér, Aktivita, Aktivum) – při identifikaci je máme okamžitě na „jazyku“ – platí nebo by měla platit strategie mitigate.
Může být i jiný přístup, bližší „obecnému“ až „business“ pojmenování rizik? Stačí si vzpomenout na „dobrou praxi“ jiných metodik, na „rizikový faktor“ (vnější působení) a „zranitelnost“ (vlastnost aktiva). Rizikový faktor je vnější vliv v dané situaci, zatímco zranitelnost je vlastnost předmětu či aktivity v ohrožení, která je slabým místem či místem působení rizika. Obojí se nám opět pěkně hodí při identifikaci rizik. Obecně pojmenované ohrožení popíšeme scénářem události a na základě scénáře dohledáme (rozkryjeme) rizikový faktor a zranitelnost. Opět by někteří mohli namítnout, není to opět fádní teorie, bezpředmětná poučka? Není. Uveďme si klasický příklad: Autonehoda při služební cestě, rizikovým faktorem je náledí (počasí) a zranitelností stav pneumatik (přilnavost), případně stav a bdělost řidiče (obojí, auto i řidič (zaměstnanec), jsou aktivem v daném ohrožení).
Toto pojetí je také velmi atraktivní, hodí se nám vždy tam, kde je ohrožení externí, působí z vnějšku na úkoly projektu. Příčinu nemusíme mít možnost ovlivnit ale prevence je možná. Řekněme, že je to vedle pravidla „3A“ druhý možný přístup. Pravidlo „3A“ uplatněme u vnitřních ohrožení, rizikový faktor a zranitelnost u vnějších ohrožení. Vždy cílíme na konkrétní prevenci a mitigaci rizik.
Co říci na závěr? Snad je to, že ať už použijeme jedno či druhé uvedené pravidlo (doporučení) nebo nějaké uplně jiné, rizika vždy identifikujeme a hodnotíme v týmu, ideálně i za účasti stakeholderů. Obrázek sklíčeného projektového manažera, který sedí sám ve své kanceláři v půl osmé večer, a „vymýšlí“ rizika, už opravdu ponechme minulosti a říši hororových příběhů.