Analiza możliwości zastosowania technik wspierających zarządzanie ryzykiem w procesach realizacji projektów informatycznych

Pełen tekst

(1)ANALIZA MO LIWO CI ZASTOSOWANIA TECHNIK WSPIERAJCYCH ZARZDZANIE RYZYKIEM W PROCESACH REALIZACJI PROJEKTÓW INFORMATYCZNYCH JACEK WINIARSKI Uniwersytet Gdaski. Streszczenie Celem artykułu jest analiza moliwoci zastosowania wybranych sporód najbardziej popularnych, dwudziestu piciu technik wykorzystywanych do wspierania zarzdzania ryzykiem w procesach realizacji projektów. W tekcie porównano zarzdzanie ryzykiem opisane w trzech metodykach: PRINCE2, PMBoK oraz ISO/IEC 16085. Nastpnie przyporzdkowano wybrane techniki do poszczególnych etapów procesu zarzdzania ryzykiem w przedsiwziciach informatycznych. Kryterium doboru stanowiła maksymalizacja korzyci z zastosowania danej techniki. Słowa kluczowe: zarzdzanie projektami informatycznymi, zarzdzanie ryzykiem, inynieria oprogramowania 1. Wprowadzenie W nauce i praktyce opracowano ponad tysic metodyk zarzdzania projektami IT, ale wród nich tylko kilka zajmuje si szczegółowo procesem gospodarowania ryzykiem. Do powszechnie stosowanych tak zwanych cikich metodyk, uwzgldniajcych problematyk ryzyka, nale PRINCE2 i PMBoK. Istnieje te kilka metodyk badajcych ryzyko, wspieranych przez organizacje standaryzacyjne czy te przez due firmy informatyczne. S to ISO/IEC 16085, SCRAMM, MSF. Kada z wymienionych metodyk opisuje, jak ma przebiega proces zarzdzania ryzykiem, dzielc go na szczegółowe etapy. Jednoczenie adna z nich nie okrela, jakie techniki maj zosta uyte do oceny ryzyka w poszczególnych fazach procesu zarzdzania. To włanie zastosowanie prawidłowo dobranych technik umoliwia w praktyce wyznaczenie np. wielkoci prawdopodobiestwa wystpienia danego zagroenia czy te okrelenia wielkoci niezbdnych zapasów, które bd mogły zosta zuyte do zniwelowania przewidywanego wpływu niekorzystnych zdarze. Proces zarzdzania ryzykiem podzielony na etapy, jakie proponuj wymienione powyej metodyki odgrywa najwaniejsz rol w trakcie realizacji projektów IT, ale dopiero uycie stosownych technik pozwala na wyznaczenie wielkoci, na podstawie których powinny by podejmowane kluczowe decyzje dotyczce przebiegu realizacji badanego przedsiwzicia. Brak wskazania i przyporzdkowania technik do wyszczególnionych w metodykach etapów zarzdzania ryzykiem naley uzasadni tym, i metodyki te maj słuy wspieraniu realizacji kadego projektu IT. Musz one zatem by niezalene od wielkoci, czasu trwania projektu i ostatecznego przeznaczenia tworzonego systemu. W konsekwencji tego wymagania, autorzy projektujcy poszczególne metodyki zdecydowali si pozostawi swobod doboru technik, osobom zarzdzajcym indywidualnymi przedsiwziciami informatycznymi. Do bada nad moliwoci zastosowania w procesach zarzdzania ryzykiem w trakcie realizacji projektów IT zostało wybranych 25 technik, powszechnie wykorzystywanych do wspierania procesów realizacji przedsiwzi gospodarczych..

(2) 236. Jacek Winiarski Analiza moliwoci zastosowania technik wspierajcych zarzdzanie ryzykiem w procesach realizacji projektów informatycznych. 2. Struktura procesów zarzdzania ryzykiem – porównanie wybranych metodyk Procesy zarzdzania ryzykiem opisane w metodykach PRINCE2, PMBoK oraz ISO/IEC 16085 posiadaj wiele cech wspólnych. Kady z nich funkcjonuje w oparciu o cykl Deminga. Rónice widoczne s dopiero w szczegółowych wytycznych dotyczcych parametrów np: opisujcych ryzyko czy te charakteryzujcych struktur organizacyjn majc nadzorowa realizacj projektu. Metodyka PRINCE2 została zaproponowana jako narzdzie wspierajce realizacj zamówie publicznych w Wielkiej Brytanii. Okrela ona nastpujce etapy zarzdzania ryzykiem [1]: • identyfikacj ryzyka, • ocen prawdopodobiestwa wystpienia potencjalnego ryzyka, • ocen prawdopodobnych skutków (wpływu) ryzyka, • okrelenie pilnoci (nagłoci) potencjalnych zagroe, • zaplanowanie działa umoliwiajcych uniknicie wpływu ryzyka, • opracowanie działa zmniejszajcych ryzyko (jeeli działania prowadzce do jego uniknicia zawiod). Norma ISO/IEC 16085 przyjta w pa dzierniku 2004 roku jest metodyk słuc do planowania przedsiwzi informatycznych zaproponowan w celu identyfikacji i oceny potencjalnych zdarze mogcych niekorzystnie wpłyn na przebieg planowanego bd realizowanego projektu IT. Proces zarzdzania ryzykiem zdefiniowany w normie ISO/IEC 16085 obejmuje [2] i [3]: • okrelenie zakresu zarzdzania ryzykiem, • wdroenie strategii zarzdzania ryzykiem, • identyfikacj ryzyka, • stał analiz ryzyka według ustalonych kryteriów, • zdefiniowanie miar ryzyka, zmian ryzyk i monitorowanie skutecznoci działa, • podejmowanie działa prowadzcych do ograniczenia wpływu lub uniknicia ryzyka. Metodyka PMBoK, została opracowana na potrzeby zamówie publicznych zlecanych przez administracj pastwow w USA, okrela ona nastpujce etapy procesu zarzdzania ryzykiem: • planowanie zarzdzania ryzykiem, • identyfikacj ryzyka, • klasyfikacj ryzyka, • pomiar ryzyka, • planowanie metod reagowania na ryzyko, • kontrol i nadzorowanie ryzyka. Przedstawione róne etapy procesów zarzdzania ryzykiem posiadaj zblione znaczenia. Wszystkie one mog by zaadaptowane na kadym poziomie organizacji dla przedsiwzi IT o rónych rozmiarach, znajdujcych si w rónych stadiach cyklu ycia systemu. W adnym z etapów z wymienionych metodyk nie okrela si precyzyjnie jak np. identyfikowa ryzyko, jak mierzy jego wielko czy te jak wyznacza prawdopodobiestwo wystpienia zdarze mogcych niekorzystnie oddziaływa na przebieg projektu. Do dalszych bada, majcych na celu przyporzdkowanie wszystkim etapom zarzdzania ryzykiem najbardziej skutecznych technik, autor wybrał opis procesu zaproponowany w PMBoK. Metodyka ta z całej rodziny tzw. cikich metodyk jest z pewnoci najczciej wykorzystywana.

(3) POLSKIE STOWARZYSZENIE ZARZDZANIA WIEDZ Seria: Studia i Materiały, nr 17, 2008. 237. przy wytwarzaniu oprogramowania komputerów. 3. Analiza szczegółowa etapów procesu zarzdzania ryzykiem w projektach IT 3.1. Planowanie zarzdzania ryzykiem Planowanie procesu zarzdzania ryzykiem w pracach projektowych posiada dwa zasadnicze cele. Pierwszym z nich jest przygotowanie i zorganizowanie procesu zarzdzania ryzykiem, drugi to konstrukcja struktury organizacyjnej, której podstawowymi zadaniami bd: izolowanie i zmniejszanie ryzyka, eliminowanie ryzyka (jeeli jest to moliwe i ekonomicznie uzasadnione), planowanie alternatywnych sposobów działania oraz okrelenie koniecznych rezerw czasowych i finansowych. Planowanie zarzdzania ryzykiem jako integralna cz procesu zarzdzania projektem powinno by powtarzane podczas jego realizacji w regularnych odstpach czasu oraz wykonywane dodatkowo w sytuacjach wystpienia stanów wyjtkowych. W praktyce wikszo duych przedsiwzi IT jest realizowana na podstawie planów wielokrotnie modyfikowanych. Zmiany te ostatecznie maj doprowadzi do bardziej skutecznych działa na rzecz osignicia wyznaczonego celu. Na cz powstałej w ten sposób dokumentacji powinien składa si równie plan zarzdzania ryzykiem, opisujcy aktualne rezultaty oraz status procesu planowania zarzdzania ryzykiem. Ogólny schemat planu zarzdzania ryzykiem, który moe zosta zastosowany w procesach realizacji projektów informatycznych powinien składa si z pełnej charakterystyki omiu obszarów. S to [4]: • opisu projekt: celu projektu, prezentacji kluczowych funkcji, opis wymaganych własnoci operacyjnych, technicznych oraz koniecznego wsparcia, • podsumowanie projektu: podsumowanie wymogów, charakterystyki zarzdzania, opisu zintegrowanego harmonogramu, • uwarunkowania zarzdzania ryzykiem: strategia zarzdzania ryzykiem w organizacji, tolerancja grup interesu wobec ryzyka, schemat planu zarzdzania ryzykiem w organizacji, • struktura zarzdzania ryzykiem: definicje, rozwizania, synchronizacji w czasie, miernika, poziomy odniesie, wdroenia (ocen, obserwacji i podziałów obowizków i odpowiedzialnoci), • problemy zwizanych z realizacj: identyfikacji ryzyka, klasyfikacji ryzyka, pomiaru ryzyka, planowania metod reagowania na nie, nadzorowania i kontroli ryzyka, • pozostałe planów zwizanych z projektem, • podsumowanie metodologii, • bibliografia, • zestaw akceptacji. Menader przedsiwzicia IT uwzgldniajcy wyej opisane zagadnienia, powinien zaproponowa dla kadego projektu indywidualny plan zarzdzania ryzykiem. Technikami, które umoliwiaj wykonanie tego zadania w procesach realizacji przedsiwzi informatycznych s: metodologie zarzdzania ryzykiem, spotkania planistyczne, analizy załoe. Istniej równie techniki, które cho zostały zaprojektowane w celu wspierania innych etapów procesu zarzdzania ryzykiem, ale zastosowane podczas planowania zarzdzania ryzykiem w praktyce okazuj si przydatnymi narzdziami dostarczajcymi wielu cennych informacji. Mona do nich zaliczy : ankiety eksperckie, przegld dokumentacji, technik delfick, analiz SWOT, sza-.

(4) 238. Jacek Winiarski Analiza moliwoci zastosowania technik wspierajcych zarzdzanie ryzykiem w procesach realizacji projektów informatycznych. blony projektu, szacowanie zalenoci, systemy ocen, mnoniki ryzyka, macierz reagowania na ryzyko, nadzorowanie wyników, przegldy i audyty ryzyka. 3.2. Identyfikacja ryzyka Niewtpliwie najwaniejszym etapem w procesie zarzdzania ryzykiem w pracach projektowych jest identyfikacja zdarze, mogcych niekorzystnie wpłyn na realizacj przedsiwzicia. Identyfikacja ryzyka ma na celu wykrycie poszczególnych rodzajów zagroe, wystpujcych w badanym projekcie. W rzeczywistoci liczba zdarze mogcych spowodowa niekorzystne zmiany jest nieograniczona. W praktyce trudno podda szczegółowej analizie wpływ wszystkich moliwych zakłóce na wykonanie planowanych zada. Ale te nie ma potrzeby zajmowania si zdarzeniami, które albo mog mie nieistotny wpływ na przebieg realizacji projektu albo ich prawdopodobiestwo wystpienia jest na tyle małe, e mona je przyj (z akceptowalnie duym przyblieniem) za niemoliwe do zaistnienia. W procesie identyfikacji ryzyka naley rozpozna istotne zagroenia, a nastpnie je opisa . Do identyfikacji zagroe naley zastosowa odpowiednie techniki umoliwiajce znalezienie zdarze mogcych niekorzystnie wpłyn na realizacj prac projektowych. Techniki do tego uywane mona podzieli na dwie grupy. Pierwsza z nich to techniki słuce przede wszystkim do identyfikacji ryzyka, a druga to techniki wykorzystywane głównie do gromadzenia informacji o ryzyku. Do technik, które słu do identyfikacji ryzyka w pracach projektowych z brany IT naley zaliczy : listy kontrolne, przegld dokumentacji, analiz załoe, ankiety eksperckie, technik delfick, burz mózgów, metod Crawforda, metod analogii. Do technik gromadzenia informacji o ryzyku znajdujcych zastosowanie w procesach realizacji projektów informatycznych zalicza si: analiz SWOT, analiz PERT, diagramy przepływów (diagramy blokowe), diagramy GERT, diagramy VERT, diagramy przyczynowo-skutkowe Ishikawy (tzw. rybiego szkieletu), wykresy pola sił. Ostatecznym rezultatem przeprowadzenia procesu identyfikacji ryzyka jest dokument opisujcy poszczególne rodzaje ryzyka wystpujce w projekcie IT konstrukcj i treci powinien on umoliwi wykonanie kolejnego etapu procesu zarzdzania ryzykiem, jakim jest podział ryzyka na grupy (klasy). 3.3. Klasyfikacja ryzyka Klasyfikacja ryzyka jest to zadanie polegajce na uporzdkowaniu ryzyka według kryteriów takich jak: prawdopodobiestwo wystpienia oraz wielko przewidywanych strat. Jak wykazuje praktyka projektowa, w tego typu przedsiwziciach poziom ryzyka przypisany poszczególnym zidentyfikowanym zagroeniom jest relatywny i odzwierciedla osobowo analityka. W technikach pomiaru wielkoci zagroenia dominuj metody heurystyczne, wykorzystujce jako podstaw intuicj badaczy. W takiej sytuacji to samo zagroenie moe zosta przez kadego eksperta rónie ocenione. Klasyfikacja zagroe jest etapem poprzedzajcym zastosowanie systemów oceny ryzyka, których uycie ma na celu moliwie jak najwiksz eliminacj elementów intuicyjnych. Budowa systemów oceny ryzyka w uproszczonym modelu polega na opisie jego skutków, wyborze odpowiedniej skali, wyznaczeniu granic poszczególnych poziomów, a nastpnie przydzieleniu danego ryzyka do odpowiedniej grupy i przyporzdkowaniu mu wielkoci. Tak zaprojektowany system powinien pozwoli na ocen i klasyfikacj kadego rozpoznanego rodzaju zagroenia w analizowanym przedsiwziciu. Niestety zastosowanie wielkoci niewymiernych uniemoliwia.

(5) POLSKIE STOWARZYSZENIE ZARZDZANIA WIEDZ Seria: Studia i Materiały, nr 17, 2008. 239. wykonanie precyzyjnych porówna i uszeregowa. Skale uyte do wyceny prawdopodobiestwa zaistnienia zagroe i oceny potencjalnego jego wpływu na projekt (skutków), w praktyce powinny by moliwie jak najprostsze. Dla wielkoci opisowych czsto stosuje si trzy kategorie: wysokie, rednie i niskie. Menederowie zarzdzajcy ryzykiem mog dla kadego projektu zindywidualizowa skale potencjalnych skutków. W technikach oceny ryzyka realizowanych za pomoc niewymiernych wielkoci, zidentyfikowane rodzaje ryzyka przelicza si poprzez zastosowanie zindywidualizowanych systemów wag, okrelonych dla kadego projektu. W praktyce zarzdzania jest to etap, w którym menederowie czsto korzystaj z wielkoci nieempirycznych, w celu ich wyznaczenia uywaj intuicji. W odniesieniu do kosztów i harmonogramu skutki ryzyka mona z du dokładnoci wyrazi. za pomoc wielkoci wymiernych np. procentowo, przy uyciu wartoci bezwzgldnych lub jako wielkoci zalene od okrelonych zada czy te funkcji [1]. Z wielkoci prawdopodobiestwa jest inaczej. Cho warto ta jest zazwyczaj intuicyjnie wyznaczana, to nie indywidualizuje si jej w zalenoci od analizowanego projektu. Poziom prawdopodobiestwa wystpienia zagroenia w projektach informatycznych najczciej okrela si jednym z czterech alternatywnych sposobów: • za pomoc wielkoci wymiernych: procentowo, liczbowo np. z przedziału od 0 do 1, lub od 1 do 10 (jak w metodzie Heega), • za pomoc okrele wartociujcych (opisowo): małe prawdopodobiestwo, rednie, due - zwyczajowo wymagana jest skala, co najmniej trzystopniowa, • poprzez porównanie (np. bdzie tak jak w projekcie realizowanym dwa lata temu) - sposób rzadko w praktyce stosowany, • jako czstotliwo wystpienia (np. przynajmniej w trzech przypadkach na dziesi ). Do technik słucych klasyfikacji ryzyka, które wykorzystuje si w procesach realizacji projektów informatycznych naley zaliczy : systemy oceny ryzyka, modele ryzyka, sztuczne sieci neuronowe. Do grupy technik, które posiadaj inne podstawowe zastosowanie, ale ich wykorzystanie moe wspomóc proces klasyfikacji ryzyka w przedsiwziciach IT mona natomiast zaliczy : ankiety eksperckie, metodologie zarzdzania ryzykiem, oceny planu, analizy załoe, macierz reagowania na ryzyko. 3.4. Pomiar ryzyka W pomiarach ryzyka, bdcego permanentnym elementem kadej działalnoci gospodarczej prowadzonej w warunkach rynkowych, nie mona unikn równie elementów intuicyjnych. Eksperci zajmujcy si t problematyk stawiaj sobie pytanie, jak na podstawie danych zebranych w przy zastosowaniu metod heurystycznych wyrazi w wielkociach wymiernych ryzyko pojawiajce si podczas realizacji np. projektów informatycznych. Poszukiwany sposób pomiaru ryzyka ma pozwoli na wyliczenie jego wielkoci zarówno dla indywidualnych zada grób zada, jak i dla całego przedsiwzicia. Całociowo przeprowadzone badanie ryzyka powinno umoliwi dokonanie prawidłowej oceny szans na terminow realizacj badanego projektu, pozwoli na okrelenie niezbdnego poziomu rezerw (lub ich czci) oraz stworzy podstawy do przeprowadzenia szczegółowej analizy typu, „co-jeli”, która okazuje si by bardzo pomocn midzy innymi w planowaniu rodków prewencji. W wyniku przeprowadzenia pomiaru ryzyka menaderowie uzyskuj:.

(6) 240. Jacek Winiarski Analiza moliwoci zastosowania technik wspierajcych zarzdzanie ryzykiem w procesach realizacji projektów informatycznych. list monitorowan, jest to zestawienie zidentyfikowanych zagroe, uporzdkowane według przewidywanego stopnia istotnoci ich wpływu na analizowany projekt, • krzyw skumulowanego rozkładu prawdopodobiestwa (opcjonalnie). Listy monitorowane (ang. watch list) to rozbudowane narzdzie ewidencyjne. W praktyce umieszczanych jest w nich bardzo wiele informacji. Do najwaniejszych mona zaliczy : opis rodzajów ryzyka wraz z potencjalnymi ich skutkami uporzdkowanymi według stopnia przewidywanego oddziaływania na analizowany projekt oraz planowane metody reagowania na zidentyfikowane niebezpieczestwa. Krzywa skumulowanego rozkładu prawdopodobiestwa, w praktyce rzadko moliwa do wyznaczenia, jest metod graficznej prezentacji wartoci ryzyka zasobów kosztowych, czasowych i wydajnociowych. Osoba zarzdzajca ryzykiem posiadajc omawian krzyw moe z łatwoci okreli konieczne poziomy rezerw dla kadego z badanych zasobów. Do najczciej stosowanych technik pomiaru ryzyka w procesach realizacji przedsiwzi informatycznych zalicza si: metody punktowe (np. zasobowa, czasowa, Heega), symulacj np. Monte Carlo, analiz szacowania zalenoci, analiz decyzji - oczekiwanej wartoci pienidza, analiz PERT (GERT czy te VERT). Jako pomocnicze techniki mona zastosowa w projektach IT: ankiety eksperckie, metodologie zarzdzania ryzykiem, technik delfick, analiz załoe, systemy oceny. •. 3.5. Planowanie metod reagowania na ryzyko Opracowanie planów metod reagowania na ryzyko jest jednym z etapów procesu zarzdzania ryzykiem. W czasie jego wykonania okrela si za pomoc, jakich działa maj by rozwizane problemy, bdce konsekwencj zaistnienia poszczególnych rodzajów zagroe, zidentyfikowanych i ocenionych podczas realizacji procesu zarzdzania ryzykiem. Uogólniajc, w praktyce wyrónia si nastpujce kategorie metod reagowania na ryzyko [5]: • unikanie ryzyka, • transfer ryzyka, • łagodzenie ryzyka, • akceptacja ryzyka. W wielu sytuacjach, podczas realizacji indywidualnych zada czy te całych grup czynnoci projektowych zachodzi moliwo wykonania ich na kilka istotnie rónych sposobów. Istnieje wówczas moliwo wyznaczenia jednego rozwizania, a specjalnie dobrane kryterium wyboru bdzie miało na celu wskazanie cieki realizacji obcionej ryzykiem mniejszym ni pozostałe warianty. Jest to typowa sytuacja decyzyjna, umoliwiajca zastosowanie strategii unikania ryzyka. Menaderowie akceptuj dany wariant wykonania zadania, poniewa wie si z nim potencjalnie najmniej niekorzystny wynik. Nie zawsze unikanie ryzyka naley uzna za właciwe kryterium wyboru sposobu realizacji zada. Bywa tak, i podjcie si bardziej ryzykownych rozwiza wie si z wiksz elastycznoci w gospodarowaniu zasobami i umoliwia uzyskanie wyszej wydajnoci. Transfer ryzyka to działanie polegajce na przeniesieniu odpowiedzialnoci lub ewentualnych konsekwencji zwizanych z danym rodzajem ryzyka na inn grup interesariuszy. Transferu mona dokona równie na rzecz innych organizacji lub osób niebiorcych udział w przedsiwziciu, w tym np: ubezpieczycieli, kontrahentów, dostawców, partnerów czy te klientów..

(7) POLSKIE STOWARZYSZENIE ZARZDZANIA WIEDZ Seria: Studia i Materiały, nr 17, 2008. 241. Akceptacja ryzyka to najbardziej popularna ze wszystkich metod reagowania na pojawiajce si zagroenia. Proces ten polega na podejmowaniu okrelonych działa, prowadzcych do niwelacji prawdopodobiestwa lub\i skutków wystpienia zdarze, których konsekwencje mog niekorzystnie oddziaływa na proces realizacji przedsiwzicia. Osoba zarzdzajca projektem powinna zaproponowa plan łagodzenia ryzyka, a nastpnie kontrolowa jego wdroenie. Niezbdne elementy tego planu powinny by wkomponowane w cały przebieg przedsiwzicia w postaci np. kamieni milowych redukcji ryzyka czy nowatorskich metod realizacji zada. Zaproponowany plan łagodzenia ryzyka powinien równie by uwzgldniony podczas tworzenia zestawie m.in. kosztów, harmonogramu czy te przy układaniu struktury podziału pracy. Akceptacja ryzyka polega na przyjciu i ud wigniciu wszystkich konsekwencji wynikajcych z ewentualnego wystpienia zdarze niekorzystnie oddziaływujcych na przebieg realizacji przedsiwzicia. Istniej dwie podstawowe odmiany akceptacji ryzyka – aktywna i pasywna. Akceptacja pasywna polega na przyjciu skutków zdarzenia ryzyka bez podejmowania jakichkolwiek działa w celu rozwizania pojawiajcych si problemów, jakie si z nim wi. Działania podejmowane przez pracowników przyjmujcych t postaw ograniczaj si zwykle do dokumentacji ryzyka oraz komunikowania menaderom, e dany rodzaj ryzyka faktycznie istnieje i e organizacja godzi si ud wign wszystkie konsekwencje zwizane z jego wystpieniem. Akceptacja aktywna równie polega na pogodzeniu si z ryzykiem, ale wymaga stworzenia i wdroenia specjalnego planu działania w razie wystpienia ryzyka. Plan ten moe by w niektórych przypadkach nawet i planem odwrotu. Plany te powinny zawiera szczegółowe instrukcje dotyczce metod reagowania na ryzyko, czy te w wersji uproszczonej stanowi okrelon dokładnie wielko rezerw budetu i czasu. Plan odwrotu jest stosowany w sytuacjach, gdy plany działa - strategie, specjalnie przygotowane na wypadek wystpienia zagroenia w procesie realizacji projektu, oka si niewystarczajce. Jest on działaniem ostatecznym, które ma zabezpieczy projekt (czy te firm) przed całkowitym niepowodzeniem realizowanego przedsiwzicia. Sens wydzielenia ewentualnych rezerw finansowo-czasowych, czy te wyznaczenia ich wielkoci w praktyce czsto budzi wród decydentów wiele emocji. Niektórzy postrzegaj rezerwy jako rodek na niwelowanie wszelkich problemów w procesie realizacji przedsiwzicia, inni jako sposób na niepotrzebne wsparcie dla niekompetentnych wykonawców projektu. Nie istniej uniwersalne zasady okrelenia wielkoci rezerw, uzaleniajcych je od specyfiki planowanego projektu informatycznego. Poziom rezerw powinien by funkcj akceptowalnego ryzyka danego projektu, ogólnego poziomu ryzyka oraz zwyczajów przyjtych w firmie. Wybór właciwej techniki planowania reakcji na ryzyko wie si czsto z koniecznoci okrelenia osobnej strategii dla kadego rodzaju ryzyka. Moe równie wymaga wyznaczenia, która z przyjtych strategii bdzie zastosowana jednoczenie do kilku rodzajów ryzyka czy te w sytuacji, gdy kilka ryzyk posiada jedn przyczyn. W takich przypadkach narzdziem czsto wykorzystywanym w procesach realizacji projektów IT jest macierz reagowania na ryzyko. Do grupy technik, których zastosowania moe wesprze proces planowania reagowania na ryzyko nadajcych si do zastosowania w przedsiwziciach informatycznych zalicza si: ankiety eksperckie, spotkania planistyczne, porównanie analogii, burz mózgów, metod Crawforda, analiz SWOT, szablony projektu, analiz sieciow..

(8) 242. Jacek Winiarski Analiza moliwoci zastosowania technik wspierajcych zarzdzanie ryzykiem w procesach realizacji projektów informatycznych. 3.6. Nadzorowanie i kontrolowanie ryzyka Po wykonaniu etapów identyfikacji, klasyfikacji, wyceny i planowania metod reagowania na ryzyko uzyskane wnioski powinny zasta wprowadzone w ycie. Proces nadzorowania i kontrolowania polega na wdroeniu planu zarzdzania ryzykiem, który powinien by integraln czci planu realizacji projektu. Z procesem nadzorowania i kontrolowania ryzyka wi si dwa istotne dla przedsiwzi. problemy. Pierwszy z nich polega na efektywnej realizacji planów zarzdzania ryzykiem i zadbaniu o ich aktualno . Drugi dotyczy właciwego dokumentowania przebiegu procesu zarzdzania ryzykiem. Realizacja planów nadzorowania i kontrolowania ryzyka musi odbywa si równoczenie z wykonywaniem projektu informatycznego. Jeeli oba plany s prawidłowo zintegrowane wówczas plany dotyczce ryzyka s wdraane niemal mechanicznie. Tymczasem, wymóg koniecznoci utrzymania aktualnoci planów zarzdzania ryzykiem nie jest czynnoci prost. Proces nadzorowania ryzyka to permanentna obserwacja poszczególnych rodzajów ryzyka oraz warunków, jakie s z nim zwizane. Badacze realizujcy to zadanie formułuj wiele pyta, na które za pomoc wybranych technik poszukuj odpowiedzi, s to np. czy przyjte metody reagowania na ryzyko s skuteczne, czy pojawiły si nowe istotne rodzaje ryzyka, albo te czy załoenia projektu nie uległy zmianie. Uzyskane odpowiedzi mog doprowadzi do modyfikacji planów realizacji a w sytuacjach skrajnych nawet do zaniechania jego dalszego wykonywania. Najwaniejszym elementem procesu nadzorowania i kontrolowania ryzyka jest reagowanie na zdarzenia ryzyka wtedy, gdy faktycznie zaczynaj one stanowi istotne zagroenie. Wszystkie niedocignicia nawet i bardzo starannie wykonanych planów ujawniaj si najczciej w trakcie ich wdraania. Niektóre przyjte strategie postpowania okazuj si bardzo skuteczne inne całkowicie nieprzydatne. Wówczas moe okaza si, e planowanie kontroli ryzyka trzeba wykona. ponownie, a w sytuacjach skrajnych powtórzy cały proces zarzdzania ryzykiem jeszcze raz zaczynajc od identyfikacji zagroe. W wyniku przeprowadzenia procesu nadzorowania i kontroli ryzyka osoby zarzdzajce projektem otrzymuj wiele rónorodnych informacji. Jest tak, gdy zmieniaj si wielkoci prawdopodobiestwa, jak i równie charakter potencjalnych skutków ryzyka. Zmiany te musz by natychmiast uwzgldnione w planie nadzorowania i kontroli ryzyka. W praktyce zarzdzania projektami IT wykorzystywane s jako narzdzia do nadzorowania i kontroli ryzyka przede wszystkim trzy techniki, nale do nich: szablony projektu, nadzorowanie wyników, przegld i audyty ryzyka. Natomiast jako technik wspierajce nadzorowanie i kontrolowanie ryzyka w projektach IT nadaj si fragmentarycznie nastpujce techniki: przegld dokumentacji, ocena planu i listy kontrolne. 5. Dobór technik zarzdzania ryzykiem do poszczególnych etapów realizacji projektów IT Kryteria, które ostatecznie przesdz, jakie techniki powinien wybra i wdroy menader na danym etapie realizacji przedsiwzicia informatycznego, zale od specyfiki planowanego bd realizowanego projektu IT. Powinny one uwzgldnia : koszty wdroenia danej techniki, infrastruktur i wyposaenie projektu, czas wdroenia, łatwo zastosowania, niezbdne zaangaowanie czasowe konieczne by menader mógł za pomoc danej techniki nadzorowa.

(9) POLSKIE STOWARZYSZENIE ZARZDZANIA WIEDZ Seria: Studia i Materiały, nr 17, 2008. 243. skutecznie wybrany fragment projektu. Istotne s równie elementy zwizane z sam technik, takie jak: dokładno , wymagany poziom szczegółowoci oraz uyteczno otrzymanych wyników. Ostateczna decyzja menedera o wyborze techniki (bd kilku technik) wpierajcych zarzdzanie ryzykiem na poszczególnych etapach realizacji projektu IT, zaley równie od specyfiki wymaga projektowych (wielkoci i innowacyjnoci), pozyskanych finansów oraz obranych metod jego realizacji.. . . . . . . . Nadzorowanie i kontrola ryzyka. . Planowanie metod reagowania na ryzyko. Pomiar i reagowanie na ryzyko. . Klasyfikacja ryzyka. Ankiety eksperckie Spotkania planistyczne Metodologie zarzdzania ryzykiem Przegld dokumentacji Porównanie analogii Ocena planu Technika delficka Burza mózgów Metoda Crawforda Analiza SWOT Szablony projektu Listy kontrolne Analizy załoe Analizy decyzji Szacowanie zalenoci Analiza sieciowa Metody punktowe Techniki PERT, GERT, VERT Systemy oceny Modelowanie ryzyka Sztuczne sieci neuronowe Metody symulacyjne (Monte Carlo) Mnoniki ryzyka Macierze reagowania na ryzyko Nadzorowanie wyników Przegldy i audyty ryzyka. Identyfikacja ryzyka. Techniki zarzdzania ryzykiem. Planowanie zarzdzania ryzykiem. Tabela 1. Moliwoci zastosowania wybranych technik zarzdzania ryzykiem w procesach realizacji projektów informatycznych. . . . . . . . . . . . . . . Legenda: podstawowe zastosowanie, wspierajce zastosowanie. ródło: opracowanie własne na podstawie [4].. .

(10) 244. Jacek Winiarski Analiza moliwoci zastosowania technik wspierajcych zarzdzanie ryzykiem w procesach realizacji projektów informatycznych. 6. Uwagi kocowe Podczas wykonywania bada potencjalnych zagroe, mogcych pojawi si podczas realizacji projektów IT, najlepsze efekty osiga si poprzez zastosowanie wybranej techniki (bd kilku uzupełniajcych si technik), a nastpnie przekazanie uzyskanych wyników do oceny dowiadczonym ekspertom. W tym celu pracownicy odpowiedzialni za ryzyko w projekcie stosuj odpowiednio dobran technik (jedn, bd kilka) wspomagajc zarzdzanie ryzykiem, a nastpnie bazujc na dowiadczeniu osób wielokrotnie zarzdzajcych projektami IT, podejmuj kluczowe decyzje. Niestety, nawet i takie postpowanie nie zapewnia uzyskania całkowicie pewnych i kompletnych wyników. Ekspert posiada wiedz dotyczc przeszłoci, a badacz dysponuje narzdziami umoliwiajcymi jedynie wnioskowanie na podstawie wielkoci wyznaczonych w oparciu o zastosowanie metod heurystycznych.. Bibliografia 1. 2.. 3. 4. 5.. Cadle J., Yeates D.: Zarzdzanie procesem tworzenia systemów informatycznych, WNT, Warszawa 2004. Grocholski L., Niemiec A.: Norma ISO/IEC 16085 – procesy w yciu oprogramowania – zarzdzanie ryzykiem, W: Ryzyko przedsiwzi informatycznych, Pracownia poligraficzna Wydziału Informatyki Politechniki Szczeciskiej, Szczecin 2005 ISO/IEC 16085:2004, Infromation technology – Sotware Life Cycle Processes – Risk management. Pritchard C.L.: Zarzdzanie ryzykiem w projektach. Teoria i prak-tyka, WIG – PRESS, Warszawa 2002. Szyjewski Z.: Zarzdzanie projektem informatycznym, Agencja Wydawnicza PLACENT, Warszawa 2001..

(11) POLSKIE STOWARZYSZENIE ZARZDZANIA WIEDZ Seria: Studia i Materiały, nr 17, 2008. THE ANALYSIS OF POSSIBILITIES OF THE USE OF THE TECHNIQUES SUPPORTING RISK MANAGEMENT IN IT PROJECTS Summary The aim of the article is the analysis of possibilities of application of the techniques, which are commonly used for risk management supporting in IT projects. This text compares different approaches to risk management in three methods: PRINCE2, PMBoK and ISO/IEC 16085. The researched techniques have been applied to certain stages of risk management in IT projects, where a criterion of choice of a certain method was reaching of maximum of benefits. Keywords: risk management, software management, project IT management. Jacek Winiarski Zakład Biznesu Elektronicznego Wydział Ekonomii Uniwersytet Gdaski, 81-824 Sopot, ul. Armii Krajowej 119/121 e-mail: Jacek.Winiarski@ug.gda.pl http://ekonom.univ.gda.pl/. 245.

(12)