Ryzyko – definicja, klasyfikacja, obszary występowania

Literatura przedmiotu dostarcza wiele definicji ryzyka, z  których następujące wydają się być najpełniejsze i najlepiej oddające specyfikę zjawiska (Stanik, Szew-czuk 2001; Duncan 1996):

Ryzyko to: „możliwość klęski (niepowodzenia) przedsięwzięcia, możliwość wystąpie-nia niechcianej sytuacji, której urzeczywistnienie wpłynie na obniżenie poziomu sukcesu przedsięwzięcia informatycznego (łącznie z  całkowitym brakiem suk-cesu, czyli klęską)”.

Ryzyko jest „szansą jakiegoś wydarzenia, którego urzeczywistnienie będzie miało wpływ na realizację zamierzonego celu”.

Ryzyko jest „możliwością doświadczenia niepowodzenia”.

Ryzyko jest „zobiektywizowaną niepewnością wystąpienia niepożądanego zdarzenia”

(Woodward, Hemel, Hedley 1979)².

Ze względu na fakt, że ryzyko i niepewność występują razem i są ze sobą zwią-zane, bywają czasami utożsamiane (Kaczmarek 2002). Wszystkie powyższe definicje zawierają w sobie elementy, które są nieodłącznymi składowymi wszelkich podejmo-wanych działań. Są to mianowicie: niepewność i skutek, stanowiące w istocie rzeczy podstawowe cechy ryzyka. Dlatego też ich zdefiniowanie pozwoli lepiej zrozumieć ich naturę.

Rozpatrując jakieś działanie lub działania pod kątem właśnie wystąpienia ryzyka, nie analizuje się samego przebiegu tego procesu. Rozpatruje się ten proces w kate-gorii efektu, jakim się on zakończy. Zainteresowanie skupia się na wyniku, finalnym rezultacie, jak również określeniu, w jakim stopniu jego urzeczywistnienie może być zagrożone. Skutek jest zatem „efektem końcowym działań obarczonych ryzykiem, który zawiera w sobie wpływ tegoż ryzyka na osiągnięcie określonego, zamierzonego wcześniej celu. Odstępstwo od założonego celu jest właśnie skutkiem wystąpienia ryzyka, które należy oszacować.

2 W literaturze przedmiotu ta definicja ryzyka jest najczęściej stosowana por. Z. Szyjewski 2001a.

Drugim elementem składowym ryzyka jest niepewność. W praktyce wdrożenio-wej niepewność i ryzyko są ściśle ze sobą związanie (Kisielnicki 1999), co łączy się bezpośrednio z faktem, iż o niektórych zdarzeniach możemy powiedzieć jedynie, że albo wystąpią, albo nie. Jeżeli istnieje pewność, że dane zdarzenie wystąpi, to można się przygotować na jego zaistnienie. Natomiast jeżeli nie ma pewności, czy coś się zdarzy czy też nie, można mówić o niepewności. Niepewność jest jedną z właściwości projektów informatycznych. Wynika ona z nowatorskiego charakteru realizowanych przedsięwzięć. Niepewność jest stanem, w którym zaistnienie określonego, oczeki-wanego stanu nie jest pewne, tj. prawdopodobieństwo jego zaistnienia jest mniejsze od jedności. Nowa, niepowtarzalna sytuacja jest przyczyną niepewności w podejmo-waniu decyzji. Brak doświadczeń oraz niemożność odwołania się do wcześniejszych prac stwarzają warunki sprzyjające błędnym decyzjom oraz pomyłkom (Szyjewski 2001b). Niepewność można także rozumieć jako stan, gdy posiadana informacja jest niewystarczająca do zrealizowania założonego celu, dlatego też czasami bywa okre-ślana ona jako „niewiedza” (Kaczmarek 2002).

Wykres 2. Zwrot z inwestycji a poziom ryzyka

szybka implementacja

Zwrot inwestycji

Poziom ryzyka

Źródło: Szyjewski 2004.

W racjonalnym działaniu ludzi istnieje uzasadniona obawa przed podejmowa-niem decyzji obarczonych ryzykiem. Wielu decydentów staje często przed trud-nym wyborem poziomu ryzyka. Podejmowanie bowiem decyzji o wysokim poziomie ryzyka może mieć katastrofalne skutki. Ryzyko odznacza się jednak pewną prawidło-wością – im jest ono wyższe, tym potencjalne zyski (efekty) są większe. Zależność ta została przedstawiona na wykresie 2.

Potencjalne zyski³ przedstawione na wykresie 2⁴ są w dużej mierze uzależnione od poziomu podjętego ryzyka. Natomiast wszelkie działania o charakterze nowatorskim mają duże szanse na osiągnięcie zysku i przewagi konkurencyjnej (Kisielnicki 1999).

3 W literaturze anglojęzycznej zyski z inwestycji określane są jako ROA (ang. Return of Inve-stment).

4 Rysunek ilustruje jedynie pewną tendencję. Dla każdego projektu przebieg krzywej będzie determinowany przez konkretne uwarunkowania oraz specyfikę i zakres projektu, a zatem będzie różny od przedstawionego na rysunku 2.

Ryzyko takie warto podjąć, ponieważ czas, po jakim system zacznie przyno-sić korzyści, a  dochody firmy pokryją koszty jego wdrożenia, jest bardzo ważny.

W  zależności od tego, jak będzie on długi będzie zależeć ocena zarówno wdroże-nia, jak i samego systemu. Czas zwrotu kosztów z inwestycji w system informatyczny klasy ERP obrazuje wykres 3.

Wykres 3. Czas zwrotu z inwestycji w system informatyczny klasy ERP

0%

Źródło: zob. http://panorama-consulting.com/Documents/2011-ERP-Report.pdf – według stanu w kwietniu 2012 roku.

Jak widać na wykresie 3 czas zwrotu z inwestycji w system informatyczny klasy ERP w zdecydowanej większości przypadków wynosi nie dłużej niż trzy lata. Odse-tek przypadków, w których czas ten wynosi pięć lat lub dłużej nie przekracza 10%

(por. wykres 3), co należy uznać za wartość małą.

Literatura przedmiotu podaje wiele klasyfikacji ryzyka oraz metod jego oceny.

W zależności od przyjętego kryterium można wskazać wiele klasyfikacji. Wybrane z nich zostaną zaprezentowane poniżej.

Najogólniejszą klasyfikacją ryzyka jest jego podział oparty na kryterium typu.

Według niego podział ryzyka kształtuje się następująco:

• ryzyko typowe – występuje przy realizacji każdego projektu informatycznego, nie-zależnie od dziedziny, jakiej dotyczy. Jego wystąpienie wynika ze specyfiki i cha-rakteru przedsięwzięcia informatycznego;

• ryzyko specyficzne – ściśle związane ze specyfiką dziedziny, jakiej dotyczy wdra-żany, w  ramach projektu, system informatyczny. Ryzyko tego typu występuje w przypadku każdego konkretnego przedsięwzięcia realizowanego, np. na indy-widualne zamówienie, oparte na specjalnej lub niestandardowej metodyce czy też przy zastosowaniu specjalnych narzędzi. Pojawia się ono zawsze wtedy, gdy dzia-łanie nacechowane jest indywidualnością.

Stosując kryterium poziomu informacji, można dokonać następującego podziału ryzyka (Kaczmarek 2002; Stanik, Szewczuk 2001):

• ryzyko znane (ang. know risk) – ryzyko można zaklasyfikować do tej grupy, jeżeli na podstawie analizy projektu, potencjalnych źródeł wystąpienia ryzyka,

przepro-wadzenia symulacji możliwe jest jego zidentyfikowanie oraz określenie z pewną dokładnością konkretnych zdarzeń, jakie mogą zaistnieć;

• ryzyko przewidywalne (ang. predictable risk) – ryzyko należy do tej grupy wtedy, gdy na podstawie wiedzy osób zaangażowanych w projekt (kierownik projektu, konsultanci, informatycy) można wyznaczyć źródła wystąpienia potencjalnego ryzyka oraz oszacować poziom zagrożenia dla projektu spowodowanego wystą-pieniem tego ryzyka;

• ryzyko nieprzewidywalne (ang. unpredictable risk) – występuje wtedy, kiedy nie można przewidzieć zarówno wystąpienia niepożądanych zdarzeń, jak i ich skut-ków. O ryzyku nieprzewidywalnym można mówić zawsze wtedy, gdy wdroże-nie dotyczy nowego systemu oraz kiedy brak jest doświadczeń wdrożeniowych w danym obszarze. Ryzyko takie jest nieodłączną częścią każdego projektu wdro-żeniowego.

Ryzyko można podzielić także ze względu na jego źródła (Szyjewski 2004):

• wewnętrzne – spowodowane właściwościami procesu wdrożeniowego;

• narzucone – uwarunkowania realizacji projektu;

• wprowadzone – będące wynikiem niedostatecznej wiedzy czy zaniedbań w dzia-łaniu.

W każdym projekcie informatycznym występują obok siebie wszystkie rodzaje ryzyka. Sytuacja taka ma miejsce ze względu na specyfikę samego rozwiązania, jakim jest system informatyczny (głównie trudności związane z funkcjonowaniem systemu) oraz ze względu na dziedzinę, w jakiej dany system wspiera działalność przedsiębior-stwa (trudności związane ze specyfiką obszaru, w jakim został zastosowany).

Skutki związane z występującym ryzykiem mają miejsce, praktycznie, we wszyst-kich obszarach dotyczących realizowanego projektu. Do tawszyst-kich obszarów należą w szczególności:

• przygotowany harmonogram przedsięwzięcia, czyli wszystkie rozłożone w  czasie działania, podejmowane przy realizacji projektu. Skutki w  tym obszarze obja-wiają się najczęściej opóźnieniami w terminach realizacji poszczególnych działań;

• budżet projektu, czyli wymiar finansowy całego projektu. Skutki w tym obszarze są powiązane z harmonogramem. Wszelkie opóźnienia w realizacji projektu znaj-dują odzwierciedlenie w zwiększonych wydatkach, co jest jednoznaczne ze wzro-stem kosztów realizacji całego projektu;

• zasoby przedsiębiorstwa, tj. ludzie, materiały, środki techniczne. Zakłócenia w realizacji projektu wpływają na zmianę tych zasobów, powodując zmiany w ich wykorzystaniu, czego efektem może być ich niepełne lub niezgodne z  planem wykorzystanie;

• jakość wykonywanych przez dostawcę prac oraz wartość końcową produktu (wdro-żonego rozwiązania), która jest szczególnie ważna dla odbiorców – użytkowni-ków końcowych.

Skutki zaistnienia ryzyka można podzielić według kryterium ich wystąpienia, na wewnętrzne oraz zewnętrzne. Skutki wewnętrzne pojawiają się w obszarze związa-nym bezpośrednio z realizowazwiąza-nym przedsięwzięciem i dotykają głównie firmy klienta (nabywcy). Natomiast skutki zewnętrzne związane są z całym otoczeniem projektu,

tj. dotyczą nie tylko nabywcy, lecz także firmy dostawcy (producenta) zaangażowa-nego w całe przedsięwzięcie.

Wiedza o samym ryzyku oraz o miejscach (obszarach) wystąpienia jego skutków znacznie ułatwia przeciwdziałanie im, jak również podjęcie kroków, mających na celu zminimalizowanie ich rozmiarów. Aby jednak możliwa była pełna identyfika-cja ryzyka należy zwrócić uwagę na dodatkowe jego cechy, które obok niepewności i skutków pozwalają znacznie lepiej je określić. Do cech tych należą (Stanik, Szew-czuk 2001):

• zakres – określenie obszaru, zakresu działań, opis czynności projektu, jak również określenie przedziału czasowego, którego dotyczyć będzie ryzyko;

• zagrożenie – definicja sytuacji, która może mieć niekorzystny wpływ na wykony-wane czynności, zadania i w efekcie na przebieg projektu jako całości. Można je wszystkie rozpatrywać oddzielnie, łączyć w grupy, opierające się na różnych kla-syfikacjach i kryteriach. Wszystkie one pozostają w ścisłym związku z czynnikami ryzyka;

• czynniki ryzyka – określone stany wejściowe dla poszczególnych działań czy też procesów, które są determinantą wystąpienia w ich trakcie określonych zagrożeń, które mogą być pomocne w ocenie ryzyka;

• rozłożenie w  czasie – ryzyko wystąpienia konkretnej bariery czy też związanego z nią zagrożenia jest zazwyczaj powiązane z określonym przedziałem czasowym, w którym projekt jest realizowany.

Obecność ryzyka w każdym projekcie jest nieunikniona. Występuje ono w każ-dym projekcie informatycznym, niezależnie od jego wielkości i zakresu działalności przedsiębiorstwa, jaki obejmuje. Pojawia się ono na wszystkich płaszczyznach reali-zacji projektu. Projekt wprowadza zmiany w dotychczasowym funkcjonowaniu orga-nizacji. W zależności od ich zakresu i  charakteru, ryzyko może być mniejsze lub większe, ale zawsze występuje (Szyjewski 2001b). Ryzyko dla powodzenia projektu zależy od płaszczyzny wystąpienia określonej bariery i  wynikających z  niej zagro-żeń. W pewnych obszarach prawdopodobieństwo wystąpienia ryzyka jest tak niskie, że można przyjąć, że w tym obszarze ono nie występuje, w innych zaś jest wysokie, co powoduje, że obszary te nazywane są obszarami ryzyka. Obszarami ryzyka nazy-wamy zatem te płaszczyzny, związane z  realizacją projektów informatycznych, na które ryzyko ma bezpośredni wpływ lub z którymi jest ono związane. W celu usys-tematyzowania wiedzy na temat barier i wynikających z nich zagrożeń, skutkujących wystąpieniem ryzyka niepowodzenia projektu wdrożeniowego, należy zawsze okre-ślić obszary ryzyka, w  których ono występuje. Podobnie jak w  przypadku samego ryzyka także i obszary, związane z jego wystąpieniem można podzielić według wielu różnych klasyfikacji. Najogólniej obszary ryzyka można podzielić w następujący spo-sób (Stanik, Szewczuk 2001):

• środowisko wykonawcze – związane ze stroną techniczną prowadzonego przedsię-wzięcia dotyczy głównie samego projektu, używanych narzędzi, stosowanej meto-dyki itd.;

• środowisko użytkownika – dotyczy przyszłych użytkowników systemu zarówno pracowników funkcyjnych, jak i  informatyków firmy klienta, odpowiedzialnych

za konserwację i utrzymanie systemu w ruchu. Zawiera w sobie poziom przygo-towania merytorycznego użytkownika, nastawienia do przedsięwzięcia itp.;

• środowisko przedsięwzięcia – zakres działań związany z  samym projektem, jego wielkością, organizacją, jak również z zespołem wdrożeniowym, zaangażowanym w realizację tegoż przedsięwzięcia.

Literatura przedmiotu przytacza wiele różnych klasyfikacji obszarów ryzyka.

Przykładowo firma ORACLE^® w swojej metodyce o nazwie CDM (ang. Customer Development Method), wyróżnia następujące obszary ryzyka⁵:

• zakres prac projektowych – wszelkie działania wykonywane w czasie realizacji pro-jektu wdrożeniowego;

• działania klienta – całość zachowań firmy klienta zarówno użytkowników końco-wych, jak i członków zespołu wdrożeniowego;

• aspekty techniczne – wszystkie zdarzenia, które mają miejsce zarówno w systemie, jak i narzędziach wspomagających prace wdrożeniowe;

• zasoby firmy wraz z logistyką – ryzyko związane z dostępnością zasobów, ich wła-ściwym wykorzystaniem oraz możliwościami elastycznego przeplanowania ich użycia;

• otoczenie rynkowe – wszystko to, co dzieje się poza stronami umowy, tj. dostawcą (producentem) rozwiązania a  klientem – firmą wdrażającą dane rozwiązanie u siebie;

• partnerzy umowy i przebieg projektu – ogół działań wykonywanych w ramach pod-pisanej umowy i wynikających z realizowanego w jej ramach projektu.

Zupełnie inne podejście – trójstopniową klasyfikację obszarów, związanych z  ryzykiem występującym podczas procesu wdrożeniowego – prezentuje Instytut Inżynierii Oprogramowania SIE (ang. Software Engineering Institute), działający przy Carnegie Mellon University (Hinguera, Haimes 1996):

1. Inżynieria produktu (oprogramowania):

• wymagania,

• proces projektowania,

• wdrożenie,

• integracja produktu,

• testowanie.

2. Otoczenie wykonawcze:

• proces wytwarzania,

• oprzyrządowanie,

• proces i metody zarządzania,

• środowisko prowadzonych prac.

3. kryteria zewnętrzne:

• zasoby,

• zawarta umowa,

• podmioty w otoczeniu.

5 Opracowano na podstawie materiałów dostępnych na stronie: http://www.postjobfree.com/

resume/yyttq – w  cytowanym kształcie witryna istniała w  listopadzie 2011 roku.

3. Podstawowe czynniki ryzyka w  projekcie