Zarządzanie i pomiar ryzyka w projekcie informatycznym

Celem artykułu jest wskazanie metody wartoĞci naraĪonej na ryzyko VaR (Value at Risk) jako podejĞcia dającego moĪliwoĞü wyraĪenia w sposób finansowy ryzyka projektu. Wykorzystanie VaR stanowi wsparcie dla oceny ryzyka w projekcie. W artykule przedstawiono równieĪ tradycyjny sposób prezentacji ryzyka w oparciu o metodykĊ zarządzania projektami Prince2.

Słowa kluczowe: zarządzanie ryzykiem, pomiar ryzyka, wartoĞü naraĪona na ryzyko VaR (Value at Risk), metodyka zarządzania projektami Prince2

1. Wprowadzenie

Projekty informatyczne charakteryzują siĊ wysoką złoĪonoĞcią i dlatego są uznawane za jedne z najbardziej ryzykownych przedsiĊwziĊü. Ryzyko to jeden z głównych czynników, który musi byü wziĊty pod uwagĊ przy zarządzaniu dowolnym projektem. Zadaniem zarządzających ryzy-kiem jest jego kontrolowanie i ograniczanie po to by projekt zakoĔczył siĊ powodzeniem. NajczĊĞciej ryzyko jest definiowane jako niepewnoĞü, Īe dany wynik zostanie osiągniĊty. Według Instytutu Zarządzania Projektami (PMI – Project Management Institute) ryzyko jest niepewnoĞcią co do wystąpienia zdarzenia lub warunku, które jeĞli wystąpią, bĊdą miały istotnie negatywny lub pozytywny wpływ na przebieg projektu.

Głównym zadaniem przy zarządzaniu ryzykiem w projekcie jest radzenie sobie z sytuacją na-raĪenia projektu na niepomyĞlne (negatywne) zdarzenie, celem jest panowanie nad stopniem tego naraĪenia poprzez realizacjĊ działaĔ, które utrzymają ryzyko na akceptowalnym poziomie w spo-sób efektywny kosztowo.

KaĪda czynnoĞü w projekcie informatycznym (wdroĪeniowym czy konstrukcyjnym) jest związana z okreĞlonym ryzykiem. WaĪne, aby oceniü stosując rachunek ekonomiczny ryzyko dla wszystkich czynnoĞci po to, aby uzyskaü wartoĞciowy obraz ryzyka dla całego projektu.

2. Cykl zarzdzania ryzykiem na przykładzie metodyki PRINCE2

KaĪdy projekt poddawany jest nieustannym zmianom, zarówno tym wystĊpującym bezpo-Ğrednio w otoczeniu biznesowym jak i w dalszym Ğrodowisku. Zmiany dotyczą równieĪ zagroĪeĔ, na które naraĪony jest projekt. W trakcie postĊpów prac pojawiają siĊ nowe ryzyka, istotnoĞü in-nych zmienia siĊ, a jeszcze inne tracą na znaczeniu. Dlatego teĪ cykl zarządzania ryzykiem w projekcie powinien byü i jest kilkakrotnie powtarzany.

W metodyce Prince2 cykl zarządzania ryzykiem realizowany jest w kilku głównych krokach (rys. 1).

Rysunek 1. Cykl zarządzania ryzykiem według metodyki PRINCE2

ħródło: Opracowanie własne na podstawie: Managing Successful Projects with Prince2. The Sta-tionery Office Ltd., CCTA, Norwich 2002.

Pierwszym jest identyfikowanie zagroĪeĔ. Metodyka wyróĪnia kilka podstawowych kategorii ryzyka, które mogą stanowiü punkt startowy dla identyfikacji. Główne obszary ryzyka organizacji w odniesieniu do projektów to [5]:

• Ryzyka strategiczne, handlowe (np. bankructwo wykonawców, zmiennoĞü rynku, niespeł-nienie przez dostawców zobowiązaĔ wynikających z umowy w aspekcie jakoĞci, iloĞci, terminów).

• Ryzyka ekonomiczne, finansowe, rynkowe (np. inflacja, zmiennoĞü kursów walut, niesta-bilnoĞü stóp procentowych).

• Ryzyka prawne (np. nowe zmienione prawo, które uniewaĪnia załoĪenia bĊdące podstawą dla działaĔ w projekcie, wymagania licencyjne, zmiany w strukturze podatków).

• Ryzyka organizacyjne, zarządcze (np. słabe przywództwo, zła polityka firmy, niekompe-tentne zarządzanie, niekompletne informacje).

• Ryzyka Ğrodowiskowe (np. katastrofy naturalne, problemy transportowe).

• Ryzyka techniczne, eksploatacyjne, infrastrukturalne (np. błąd ludzki, niedbalstwo zawo-dowe, błĊdy wykonawcze).

WaĪne, aby przy identyfikacji ryzyka nie dokonywaü jego oceny. Mogłoby to doprowadziü do nieuzasadnionych decyzji o wykluczeniu danego ryzyka z listy potencjalnych zagroĪeĔ. Wszystkie

MONITOROWANIE I RAPORTOWANIE PLANOWANIE DZIAŁAē I PRZY-DZIAŁ ZASOBÓW OCENA ZAGROĩEē OKREĝLENIE MOĩ-LIWYCH REAKCJI NA ZAGROĩENIE WYBÓR REAKCJI

A

N

A

L

I

Z

A

R

Y

Z

Y

K

A

ZARZĄDZANIE

RYZYKIEM

Kolejnym krokiem w cyklu zarządzania ryzykiem jest ocena zagroĪeĔ. W metodyce Prince2 przyjmuje siĊ, Īe ryzyko projektu okreĞlają dwie miary tj. prawdopodobieĔstwo wystąpienia ryzy-ka oraz jego wpływ na projekt. Dokonując oceny ryzyryzy-ka zajmujemy siĊ z jednej strony oszacowaniem faktycznego prawdopodobieĔstwa wystąpienia danego zdarzenia, a z drugiej strony okreĞlamy jaki jest jego stopieĔ oddziaływania (wpływu) na projekt. Wpływ danego zdarzenia powinien byü rozpatrywany pod kątem takich elementów jak: czas, koszty, jakoĞü, zakres, korzy-Ğci, ludzie.

Pomocne w wizualizacji ryzyk wystĊpujących w projekcie jest ich przedstawienie za pomocą tzw. sumarycznego profilu ryzyka. Jest to graficzna prezentacja informacji, które znajdują siĊ w Rejestrze Ryzyka. Profil ryzyka prezentuje zagroĪenia wykorzystując identyfikatory zagroĪeĔ w kategoriach prawdopodobieĔstwa wystąpienia oraz stopnia oddziaływania. Tablica profilu ryzy-ka jest na bieĪąco uzupełniana wraz z aktualizowanym Rejestrem Ryzyryzy-ka. Te zagroĪenia, które zostały zakwalifikowane powyĪej tzw. „linii tolerancji ryzyka” uwaĪne są za najistotniejsze, mają-ce najwiĊkszy wpływ na powodzenie projektu, a decyzje odnoĞnie działaĔ, jakie naleĪy podjąü w ich zakresie powinny byü podejmowane na najwyĪszym szczeblu struktury zarządzania projek-tem.

wysokie Ryzyko nr1, nr2 Ryzyko nr 6

Ğrednie Ryzyko nr4 Ryzyko nr5

małe Ryzyko nr3

słabe umiarkowane duĪe

Rysunek 2. Sumaryczny profil ryzyka

ħródło: Opracowanie własne na podstawie: Managing Successful Projects with Prince2. The Sta-tionery Office Ltd., CCTA, Norwich 2002.

Po etapie oceny przystĊpujemy do okreĞlenia moĪliwych reakcji na zagroĪenie. Wykorzystuje siĊ tutaj piĊü kategorii reakcji pozwalających wybraü odpowiednie działanie:

• Zapobieganie (prewencja) – polegające na usuniĊciu zagroĪenia; wprowadza siĊ Ğrodki zaradcze, które albo wyeliminują wystąpienie zagroĪenia, albo wyeliminują jego wpływ na projekt.

• Redukowanie – związane z działaniami, które pozwolą w jakiĞ sposób sterowaü zagroĪe-niem tak, aby zmniejszyü prawdopodobieĔstwo jego wystąpienia albo ograniczyü jego oddziaływanie na projekt.

• Przeniesienie – działanie polegające na przekazaniu zarządzania ryzykiem stronie trzeciej np. za poĞrednictwem polisy ubezpieczeniowej czy klauzuli kary. W wyniku tego działania skutki zagroĪenia nie stanowią dalej problemu dla powodzenia projektu.

Oddziaływanie P ra w d o p o d o b ie Ĕ st w o

• Akceptacja – polegająca na pogodzeniu siĊ ze zidentyfikowanym zagroĪeniem. Dzieje siĊ tak najczĊĞciej wtedy, gdy przeciwdziałania stają siĊ nieefektywne kosztowo lub wtedy, gdy prawdopodobieĔstwo wystąpienia oraz skutki ryzyka są na akceptowalnym poziomie. • Tworzenie rezerw – polegające na organizowaniu i planowaniu działaĔ po to, aby

uru-chomiü je wtedy gdy zagroĪenie siĊ urzeczywistni.

Odpowiednie reakcje na ryzyko mogą wynikaü z jednej lub kilku przedstawionych powyĪej kategorii. Istnieją sytuacje, w których nie ma opłacalnych działaĔ eliminujących dane zagroĪenie. Wtedy naleĪy zastanowiü siĊ czy moĪna zaakceptowaü dane ryzyko, czy teĪ projekt jest zbyt ryzy-kowny i naleĪy zaprzestaü jego kontynuowania.

Etap wyboru reakcji w cyklu zarządzania ryzykiem wiąĪe siĊ z identyfikacją i oceną kilku wa-riantów postĊpowania. Istotne jest, aby wybrane działania były proporcjonalne do zagroĪenia. KaĪde przeciwdziałanie generuje okreĞlone koszty, a wiĊc musi przynieĞü korzyĞü odpowiednią do poniesionych nakładów.

W związku z tym, Īe czĊsto istnieje kilka moĪliwych reakcji (a kaĪda daje inne efekty) mo-Īemy wybraü jedno działanie albo kombinacjĊ kilku. Po dokonaniu wyboru reakcji przygotowujemy i wdraĪamy plany zarządzania ryzykiem.

Dokonany wybór reakcji na zagroĪenie wiąĪe siĊ z koniecznoĞcią planowania i przydzielania zasobów. W metodyce Prince2 ten etap zarządzania ryzykiem obejmuje okreĞlenie iloĞci i rodzaju zasobów potrzebnych do realizacji wybranych przeciwdziałaĔ. Wymagana jest takĪe koniecznoĞü potwierdzenia celowoĞci podjĊcia działaĔ, okreĞlonych podczas oceny zagroĪenia, w Ğwietle wszystkich informacji dodatkowych.

Dla zarządzania ryzykiem konieczne jest przeznaczenie odpowiednich Ğrodków – budĪetu, czasu, zasobów. WaĪne, aby odpowiednie nakłady były przekazane nie tylko na działania dotyczą-ce reakcji na zaistniałe zagroĪenie, ale aby istniały Ğrodki na prowadzenie działaĔ wstĊpnych w procesie zarządzania ryzykiem, takich jak ocena ryzyka, która wymaga zróĪnicowanej wiedzy narzĊdzi czy technik. DoĞwiadczenie pokazuje, Īe przeznaczenie odpowiedniego budĪetu we wczesnych fazach cyklu Īycia projektu skutkuje wiĊkszym powodzeniem w zarządzaniu ryzy-kiem.

Ostatnim etapem w cyklu zarządzania ryzykiem jest monitorowanie i raportowanie. W związku z przyjĊtymi reakcjami na ryzyko konieczne staje siĊ stworzenie mechanizmów doty-czących monitorowania i raportowania ich realizacji. Działania z tego zakresu mogą polegaü jedynie na monitorowaniu zidentyfikowanego zagroĪenia lub teĪ obejmowaü mogą obserwowanie wczesnych sygnałów związanych z rozwojem zagroĪenia, czy teĪ sprawdzanie efektywnoĞci ogól-nego zarządzania ryzykiem.

W przypadku zagroĪeĔ finansowych ryzyko moĪe byü przedstawiane w postaci danych licz-bowych natomiast inne niemierzalne zagroĪenia mogą byü subiektywnie szacowane przez osoby bĊdące właĞcicielami1 danych ryzyk w projekcie. Szacowanie moĪe polegaü na przypisaniu okre-Ğlonych wag dla prawdopodobieĔstwa i wpływu.

Pomimo wprowadzonych w metodyce sposobów oceny ryzyka przez pryzmat prawdopodo-bieĔstwa wystąpienia oraz wpływu na projekt nie otrzymujemy miary ryzyka w wymiarze finansowym. Prezentacja ryzyka w Prince2 skutkuje jedynie zakwalifikowaniem danego

WłaĞcicielem ryzyka jest ta osoba, która jest odpowiedzialna za dane ryzyko („została do niego przypisana”) tzn. ma obowiązek je monitorowaü i raportowaü wszelkie zmiany, które zachodzą w jego obszarze.

3. Pomiar ryzyka w projektach informatycznych (metoda Value at Risk)

Zanim przystąpimy do okreĞlania ryzyka musimy dokonaü identyfikacji wszystkich poszcze-gólnych działaĔ w projekcie. Przebieg procesów w projekcie moĪna przedstawiü w postaci drzewa czynnoĞci informatycznych.

Rysunek 3. Drzewo czynnoĞci w projekcie informatycznym

ħródło: Opracowanie własne na podstawie: LasiĔski M.: Zarządzanie projektami informatyczny-mi. Wydawnictwo Naukowe PWN. Warszawa 2006.

Przykładowo dla procesu migracja danych wyznaczono czynnoĞci składowe konieczne w jego realizacji. Podobna dekompozycja moĪe byü przedstawiona dla dowolnego procesu. Aby okreĞliü całkowite ryzyko, z jakim wiąĪe siĊ realizacja projektu konieczne jest okreĞlenie poszczególnych ryzyk dla kaĪdego procesu.

Zastosowaü moĪna tutaj metodĊ Var (Value at Risk – wartoĞü ryzykowana, wartoĞü naraĪona na ryzyko), która jest miarą statystyczną, pokazującą maksymalną stratĊ jaka moĪemy uzyskaü dla danego procesu przy załoĪonym poziomie ufnoĞci. VaR dla projektu informatycznego liczona jest jako iloczyn prawdopodobieĔstwa ryzyka niepowodzenia procesu i wartoĞci naraĪonej na ryzyko. Przez wartoĞü naraĪoną na ryzyko bĊdziemy rozumieli wartoĞü realizacji procesu w projekcie.

Całkowita wartoĞü ryzyka w projekcie bĊdzie wyraĪona wzorem [6]:

VaR = _i n i i

Va

R •

gdzie Ri – prawdopodobieĔstwo wystąpienia ryzyka w obszarze i-tego procesu, Vai – wartoĞü naraĪona na ryzyko, wartoĞü i-tego procesu.

Dla okreĞlenia wartoĞci prawdopodobieĔstwa moĪna przyjąü dwa podejĞcia. Pierwsze to wy-korzystanie wiedzy poszczególnych członków zespołu projektowego do szacowania prawdopodobieĔstw ryzyk w obszarze danej czynnoĞci (procesu). Druga moĪliwoĞü to wykorzy-stanie duĪej iloĞci danych historycznych (ze zrealizowanych juĪ projektów) do estymacji ryzyka. Takie podejĞcie jest proponowane przez Instytut InĪynierii Oprogramowania Uniwersytetu Carne-gie Mellon w Pittsburgu, który w raporcie Software Risk Management [8] publikuje szacunkowe prawdopodobieĔstwa wystąpienia ryzyka w róĪnych obszarach projektu.

Zgodnie z przyjĊtymi poniĪej wartoĞciami moĪemy wyliczyü wartoĞü ryzyka dla procesu mi-gracja danych zgodnie ze wzorem (1) przyjmując przedział ufnoĞci na poziomie 99% (wartoĞü rekomendowana przez Komitet Bazylejski):

Tabela 1. Ocena wartoĞci ryzyka z zastosowaniem metody VaR

CzynnoĞü składowa procesu WartoĞü realizacji PrawdopodobieĔstwo ryzyka w obszarze czynnoĞci WartoĞü ryzyko-wana (VaR) Porządkowanie da-nych w systemach dotychczas uĪywanych 25 600 zł 16,6% 4 249,6 zł Opracowanie narzĊdzi i skryptów do migracji i weryfikacji danych 8 000 zł 13,2% 1 328 zł Migracja danych do nowego systemu 720 zł 2,8% 20,16 zł Weryfikacja popraw-noĞci danych 10 080 zł 13,7% 1 380,96 zł

WartoĞü ryzykowana (VaR) dla procesu migracja danych

6 978,72 zł

ħródło: Opracowanie własne na podstawie: Higuera R.P.,Haimes Y.Y.:Software Risk Management. Software Engineering Institute, Carnegie Mellon University, 1996.

wym dla projektu informatycznego jest moĪliwe dziĊki zastosowaniu metody VaR. Szacowanie wartoĞci ryzyka proponowanego w metodyce Prince2 nie skutkuje podobną kwantyfikacją, stąd warto uzupełniü ocenĊ ryzyka w projekcie o proponowaną metodĊ tak, aby w sposób jednoznacz-ny móc okreĞliü poziom ryzyka w momencie podpisywania kontraktu na wykonanie projektu informatycznego.

4. Zakoczenie

Zgodnie z ideą zarządzania ryzykiem dąĪymy do utrzymania ryzyka na takim poziomie, który bĊdzie akceptowalny, czyli zapewni takie warunki, w których nie poniesiemy (w wyniku wystą-pienia zdarzenia) strat wiĊkszych niĪ załoĪono. Pomocne w realizacji tego postulatu jest okreĞlenie wartoĞci naraĪonej na ryzyko. Miara VaR jest najczĊĞciej wykorzystywana w obszarze zarządza-nia ryzykiem portfela kredytowego banku, ale moĪna ją skutecznie zastosowaü przy ocenie ryzyka w projekcie informatycznym. Zastosowanie metody VaR daje moĪliwoĞü kwantyfikacji ryzyka na czynnik finansowy, to z kolei umoĪliwia porównywanie ryzyk wystĊpujących w róĪnych projek-tach. Dla Zarządu firmy wydającego zgodĊ na realizacjĊ projektu informatycznego istotna bĊdzie informacja na temat ogólnego ryzyka, na jakie naraĪony jest projekt. Metoda VaR moĪe wspieraü okreĞlenie całkowitego ryzyka dla projektu składającego siĊ z szeregu róĪnych procesów, które trudno porównywaü stosując prosty rachunek.

%LEOLRJUDILD

[1] Best P. WartoĞü naraĪona na Ryzyko. Oficyna Ekonomiczna, Kraków 2000.

[2] Frączkowski K. Zarządzanie projektem informatycznym. Oficyna Wydawnicza Poli-techniki Wrocławskiej, Wrocław 2003.

[3] Higuera R.P.,Haimes Y.Y.:Software Risk Management. Software Engineering Institute, Carnegie Mellon University, 1996.

[4] Kalinowski M. Zarządzanie ryzykiem walutowym w przedsiĊbiorstwie. CeDeWu, Warszawa 2007.

[5] M.FlasiĔski: Zarządzanie projektami informatycznymi. Wydawnictwo Naukowe PWN, Warszawa 2006.

[6] Majerowska E. WartoĞü naraĪona na ryzyko a ryzyko inwestowania w akcyjne fundusze inwestycyjne. Zeszyty Naukowe Uniwersytetu SzczeciĔskiego, Nr 415, Prace Ekono-metrii i Statystyki nr 16, 2005.

[7] Managing Successful Projects with Prince2. The Stationery Office Ltd., CCTA, Nor-wich 2002.

[8] Riehl H. Zarządzanie ryzykiem. WIB, Warszawa 2001.

[9] Wróblewski P. Zarządzanie projektami informatycznymi dla praktyków. Wydawnictwo Helion, 2005.

MANAGEMENT AND MEASURING THE RISK IN AN IT PROJECT Summary

In the article there are defined the steps in the management cycle of the project according to the methodology of Prince 2. It is shown the traditional way of quantifi-cation of the risk in the project and it is proposed to use the value held up to the risk VaR (Value at Risk) as the way which gives us the possibility of expressing in the fi-nancial way the total risk of the project.

Keywords: risk management, risk measurement, Value at Risk (VaR), Prince2 project manage-ment methodology

Magdalena Kieruzel

Katedra Organizacji i Zarządzania Wydział Informatyki

Zachodniopomorski Uniwersytet Technologiczny w Szczecinie ul. ĩołnierska 49, 71-410 Szczecin

e-mail: mkieruzel@wi.zut.edu.pl http://wi.zut.edu.pl/