Akademia Ekonomiczna we Wrocławiu
Streszczenie
Ryzyko jest istotnym elementem kaĪdego projektu. W artykule omówione są po-szczególne etapy procesu zarządzania ryzykiem w projekcie informatycznym. Celem artykułu jest wskazanie technik i narzĊdzi wykorzystywanych w fazie identyfikacji. W artykule przedstawiony jest model zarządzania ryzykiem i miejsce identyfikacji w tymĪe modelu.
Słowa kluczowe: projekt informatyczny, identyfikacja ryzyka, metody identyfikacji 1. Wprowadzenie
Ryzyko jest nieodłącznym elementem przedsiĊwziĊü, takĪe informatycznych. W duĪej mierze zarządzanie projektem powinno oznaczaü zarządzanie ryzykiem, jakie siĊ z nim wiąĪe. W procesie zarządzania ryzykiem projektu niezbĊdne jest utworzenie i ciągłe uaktualnianie listy potencjalnych ryzyk [DeMarco 2002, s. 85]. W związku z tym zarówno identyfikacja, jak i ocena, czy zapobieganie bĊdą fazami powtarzającymi siĊ w procesie. KaĪde z potencjalnych, zidentyfikowanych ryzyk powinno zostaü poddane ocenie ze wzglĊdu na prawdopodobieĔstwo jego wystąpienia, a takĪe na koszty, jakie moĪe generowaü. Celem artykułu jest zaprezentowanie miejsca oceny w procesie zarządzania ryzykiem projektu informatycznego oraz przedstawienie wykorzystywanych w tej fazie metod.
2. Proces zarządzania ryzykiem w projekcie informatycznym
Identyfikacja ryzyka związanego z realizacją projektu informatycznego, jest tylko jednym z elementów procesu, jakim jest zarządzanie ryzykiem projektu. W zaleĪnoĞci od koncepcji zarządzania ryzykiem wymieniane są róĪne jego fazy. W tabeli 1 przedstawiono zestawienie etapów procesu zarządzania ryzykiem, według wybranych koncepcji. W kaĪdej z nich wyodrĊbniono nieco inne fazy, przy czym naleĪy tu zwróciü uwagĊ, Īe wszystkie zawierają etapy związane z okreĞleniem zakresu, czy identyfikacją oraz z oceną (w jednej z koncepcji jest to analiza) wystĊpujących w projektach ryzyk.
W zasadzie iloĞü i rodzaj wymienionych w poszczególnych koncepcjach faz zaleĪy od ich definicji. Gdyby zanalizowaü, jakie czynnoĞci są podejmowane w ramach poszczególnych etapów, zauwaĪyü moĪna, Īe róĪnice w ramach całego procesu są niewielkie.
Tabela 1. Fazy procesu zarządzania ryzykiem projektu
APM UK MoD SCERT Szyjewski Prince2
Zdefiniowaü Inicjacja Zakres Zogniskowaü
Zidentyfikowaü Identyfikacja Identyfikacja Identyfikowanie Strukturalizowaü Analiza Struktura
WłasnoĞü Parametr
Estymowaü Manipulacja i
interpretacja Ocena
Oceniü Ocena WłaĞciciele
Planowaü Planowanie Zapobieganie Reakcja
Zarządzaü Zarządzanie Monitorowanie Zarządzanie
ħródło: opracowanie własne na podstawie Szyjewski Z., Metodyki zarządzania projektami infor-matycznymi, Placet, Warszawa 2004, Chapman C., Ward S., Project risk management. Processes, Techniques and Insights, Wiley, Chichester 1997, Bradley K., Podstawy metodyki PRINCE2, Cen-trum RozwiązaĔ MenedĪerskich, Warszawa 2003.
W niniejszym opracowaniu Autorka przyjĊła model procesu zarządzania ryzykiem w projek-tach informatycznych przedstawiony na rysunku 1.
Rysunek 1. Model zarządzania ryzykiem w projektach informatycznych ħródło: opracowanie własne
Zapobieganie i łagodzenie skutków Monitorowa-nie Identyfikacja Ocena Planowanie WłasnoĞü
Identyfikacja jest tym elementem procesu zarządzania ryzykiem, którego celem jest okreĞle-nie istotnych rodzajów ryzyka [Pritchard 2002, s. 30]. Są to potencjalne ryzyka, których wystąpie-nie bĊdzie miało wpływ na koszty związane z realizacją projektu. Identyfikacja jest tym etapem, w którym nastĊpuje utworzenie listy wszystkich potencjalnych zagroĪeĔ, czyli zdarzeĔ, których wystąpienie bĊdzie miało niekorzystny wpływ na przebieg całego projektu. W fazie identyfikacji szczególnie istotne jest wykrycie tych ryzyk, które mają kluczowe znaczenie dla realizacji przed-siĊwziĊcia. WĞród technik stosowanych w identyfikacji Pritchard wymienia (w dalszej czĊĞci artykułu omówione zostaną techniki wymieniane w metodyce PMI) [Pritchard 2002, s. 30]:
1. przegląd dokumentacji;
2. techniki gromadzenia informacji, w tym: í ankiety eksperckie; í porównanie analogii; í technika delficka; í burza mózgów; í metoda Crawforda; í analiza SWOT; 3. listy kontrolne; 4. techniki diagramowe.
W fazie identyfikacji ma takĪe miejsce usystematyzowanie listy poszczególnych ryzyk ze wzglĊdu na ich rodzaj. Zidentyfikowane w tej fazie niekorzystne zdarzenia poddane są nastĊpnie badaniu w etapie oceny ryzyka.
Ocena ryzyka polega na analizie niekorzystnych zdarzeĔ, prawdopodobieĔstwa, z jakim wy-stąpią, oraz kosztów, jakie wygenerują, a takĪe na badaniu ich wpływu na ryzyko całego projektu. Efektem oceny powinno byü okreĞlenie łącznego ryzyka projektu. Pomiar ryzyka „pozwala ustaliü szansĊ osiągniĊcia celów projektu, okreĞliü poziom rezerw, zweryfikowaü poziomy docelowe wynikające z potrójnego ograniczenia i przeprowadziü szczegółową analizĊ typu „co-jeĞli” [Pri-tchard 2002, s. 36].
W nastĊpnej fazie – planowania, nastĊpuje okreĞlenie działaĔ, jakie powinny byü podejmo-wane w przypadku zajĞcia niekorzystnych zdarzeĔ, szczególnie tych, które zostały ocenione jako te, które mają duĪy wpływ na ryzyko całego projektu, oraz wczeĞniej, aby im zapobiegaü.
WłasnoĞü jest dalszym etapem, w którym powinna nastąpiü alokacja odpowiedzialnoĞci związanej za Ğledzeniem okreĞlonego rodzaju ryzyk.
Kolejnym etapem procesu zarządzania ryzykiem projektu jest zapobieganie i łagodzenie skutków, czyli podejmowanie kroków mających na celu wyeliminowanie, bądĨ zmniejszenie prawdopodobieĔstwa wystąpienia okreĞlonych zdarzeĔ, a w razie ich wystąpienia – kroków w celu minimalizacji ich niekorzystnych skutków. Podstawą są tu efekty etapu planowania.
Ostatnią jest faza monitorowania, polegającą na Ğledzeniu i wykrywaniu zaistnienia nowych ryzyk, bądĨ zmiany w zdarzeniach wczeĞniej zidentyfikowanych.
Ciągłe monitorowanie pozwala przede wszystkim na wczesne ostrzeganie w przypadku do-strzeĪenia symptomów okreĞlonego ryzyka. MoĪe równieĪ wpłynąü na powstanie potrzeby po-wtórnej identyfikacji, a w przypadku jej wystąpienia – na koniecznoĞü realizacji takĪe nastĊpnych faz zarządzania ryzykiem w projekcie. Mogą mieü takĪe miejsce niekorzystne zdarzenia, wcze-Ğniej zidentyfikowane, powodujące okreĞlone zmiany w poziomie ryzyka i wywołujące koniecz-noĞü powtórnej jego oceny. Powtarzalkoniecz-noĞü procesów wpływa na zwiĊkszenie bezpieczeĔstwa związanego z projektem informatycznym, poprzez ciągłe uzupełnianie listy ryzyk, a takĪe
ustala-nie ich wpływu na realizacjĊ, a co za tym idzie – koszty projektu. Proces zarządzania ryzykiem w projekcie informatycznym jest w metodykach zarządzania projektami, min. w MSF, czy PMI przedstawiany jako proces podlegający cyklicznoĞci. W metodyce MSF wyróĪnia siĊ 6 etapów w procesie zarządzania ryzykiem: identyfikacjĊ, analizĊ i priorytety, plan, Ğledzenie i raportowanie, kontrolĊ oraz uczenie. Te etapy przedstawia schemat:
Rysunek 2. Proces zarządzania ryzykiem projektu ħródło: MSF Risk Management Discipline, Microsoft Corp., 2002 3. NarzĊdzia i techniki identyfikacji
Identyfikacja ryzyka jest etapem, który zawiera okreĞlenie przez zespół potencjalnych ryzyk. Jako wstĊpny etap procesu zarządzania ryzykiem powinna byü przeprowadzona moĪliwie wcze-Ğnie i cyklicznie powtarzana przez okres trwania projektu. Ta koniecznoĞü powtarzania tego etapu zarządzania ryzykiem w projekcie informatycznym wynika przede wszystkim z moĪliwoĞci poja-wienia siĊ w kolejnych fazach Īycia projektu nowych ryzyk, które nie były brane pod uwagĊ na początku.
W fazie identyfikacji najistotniejsze jest okreĞlenie potencjalnych ryzyk, a takĪe opisanie ich cech charakterystycznych. Wiedza o moĪliwych ryzykach pochodzi z kilku Ĩródeł, min. z do-ĞwiadczeĔ zespołów biorących udział w przedsiĊwziĊciu. Innym waĪnym Ĩródłem wiedzy mogą byü bazy wiedzy o ryzyku, w których są przechowywane dane o wczeĞniej zrealizowanych projek-tach. ħródła wiedzy według metodyki MSF przedstawia rysunek 2.
2. Analiza i priorytety 4. ĝledzenie i raportowanie 3. Plan 1. Identyfikacja 5. Kontrola 6. Uczenie siĊ
Rysunek 3. Identyfikacja ryzyka ħródło: MSF Risk Management Discipline, Microsoft Corp., 2002
Identyfikacja ryzyka w projekcie informatycznym jest punktem wyjĞcia do dalszej analizy, która ma wyłoniü zaleĪnoĞci pomiĊdzy poszczególnymi obszarami ryzyka. Na tej podstawie moĪ-na dokomoĪ-naü oceny poszczególnych ryzyk i w konsekwencji oszacowaü ryzyko całego projektu. W wyniku identyfikacji uzyskuje siĊ pełną listĊ ryzyk, które mogą wystąpiü w danym projekcie.
IdentyfikacjĊ ryzyka moĪna realizowaü na kilka sposobów. Jednym z nich jest organizowanie sesji identyfikacji ryzyka [Szyjewski 2004, s. 227]. Na spotkaniach ich uczestnicy okreĞlają wszystkie zagroĪenia, jakie mogą wystąpiü w danym projekcie. W czasie takich spotkaĔ korzysta siĊ z róĪnych technik i narzĊdzi, wĞród których moĪna wymieniü min. [PMBOK 2007, s. 262]:
1. Przeglądy dokumentacji.
2. Techniki gromadzenia informacji. 3. Analiza list kontrolnych.
4. Analiza załoĪeĔ. doĞwiadczenie zespołu ryzyko organizacyjne zabezpieczenia i procedury specyfikacja projektu, historia, stan obecny,
kontekst
inne
baza wiedzy o ryzyku wiedza o klasyfikacji ryzyk w podobnych projektach identyfikacja ryzyka okreĞlenie ryzyka okreĞlenie ryzyka okreĞlenie ryzyka
5. Techniki oparte na diagramach.
Przeglądy dokumentacji mogą byü dokonywane na podstawie analizy dokumentacji projek-tu, np. planów, załoĪeĔ, kartotek wczeĞniejszych projektów i innych informacji. JakoĞü tych do-kumentów, tak jak ich konsekwencja w odniesieniu do wymagaĔ oraz przyjĊtych załoĪeĔ moĪe byü wskaĨnikiem ryzyka w projekcie.
Techniki gromadzenia informacji:
Burza mózgów – celem burzy mózgów jest otrzymanie wyczerpującej listy ryzyk w projekcie. Zespół na ogół dokonuje burzy mózgów z udziałem ekspertów z róĪnych dziedzin spoza zespołu. Kategorie ryzyka oraz struktura zagroĪeĔ mogą byü uĪyte jako szkielet. NastĊpnie ryzyka są identyfikowane i kategoryzowane, a ich definicje doprecyzowane.
Technika delficka – jest drogą osiągniĊcia konsensusu wĞród ekspertów. W tym celu eksperci anonimowo udzielają odpowiedzi na pytania zawarte w kwestionariuszu. Kwestionariusze są kierowane do specjalistów, którzy wyraĪają opiniĊ na temat problemu i odpowiadają pisemnie na dodatkowe pytania. DziĊki udzielonym odpowiedziom nastĊpuje kolejny etap, czyli sprecyzowanie problemu i sposobu jego rozwiązania. Wyniki są nastĊpnie przedstawiane ekspertom razem z listą anonimowych uwag i uzasadnieniem propozycji. Eksperci rozwaĪają problem jeszcze w kilku cyklach, podczas których dochodzą wspólnie do propozycji rozwiązania problemu.
Ankiety
Identyfikacja przyczyn Ĩródłowych – polega na doprecyzowaniu definicji ryzyk i pozwala na pogrupowanie ryzyk według przyczyn.
Analiza SWOT
Analiza list kontrolnych moĪe byü realizowana na podstawie informacji historycznych i czeĞniej zgromadzonej wiedzy.
Analiza załoĪeĔ – jest narzĊdziem, które pozwala na odkrycie waĪnoĞci i moĪliwoĞci zasto-sowania załoĪeĔ w projekcie. Identyfikuje ryzyka związane z nieĞcisłoĞcią, sprzecznoĞcią i nie-kompletnoĞcią załoĪeĔ.
Techniki oparte na diagramach:
1. Diagramy przyczynowo-skutkowe – przydatne w identyfikacji przyczyn poszczególnych ryzyk;
2. Schematy blokowe systemu lub procesu – pokazują rozmaite elementy i powiązania w systemie, a takĪe mechanizmy przyczynowo-skutkowe;
3. Diagramy wpływów – są graficzną reprezentacją wpływów, porządku czasowego zda-rzeĔ, a takĪe innych relacji wĞród zmiennych i rezultatów.
Rezultatem identyfikacji ryzyka moĪe byü rejestr ryzyk, na który składają siĊ: í Lista zidentyfikowanych ryzyk;
í Lista potencjalnych reakcji; í ħródłowe przyczyny ryzyk; í Zaktualizowane kategorie ryzyk.
4. ZakoĔczenie
Identyfikacja potencjalnych zagroĪeĔ jest jednym z najtrudniejszych etapów procesu zarzą-dzania ryzykiem projektów informatycznych. WiąĪe siĊ to przede wszystkim z trudnoĞciami w okreĞleniu i zdefiniowaniu poszczególnych rodzajów ryzyk. WieloĞü metod identyfikacji ryzyka projektu informatycznego pozwala na dobór najbardziej odpowiedniej i na podstawie uzyskanych wyników na ocenĊ ich wpływu na projekt, a takĪe, w dalszych etapach – na podjĊcie Ğrodków zmierzających do wyeliminowania bądĨ zmniejszenia negatywnych skutków zdarzeĔ zwiĊkszają-cych ryzyko projektu.
Bibliografia
1. Bradley K., Podstawy metodyki PRINCE2, Centrum RozwiązaĔ MenedĪerskich, Warszawa 2003.
2. Chapman C., Ward S., Project risk management. Processes, Techniques and Insights, Wiley, Chichester 1997.
3. DeMarco T., ZdąĪyü przed terminem. OpowieĞü o zarządzaniu projektami, Studio Emka, Warszawa 2002.
4. Frączkowski K., Zarządzanie projektem informatycznym, Politechnika Wrocławska, Wrocław 2003.
5. MSF Risk Management Discipline v.1.1, Microsoft Corp., 2002 6. Project Management Body of Knowledge, 2007
7. Pritchard C. L., Zarządzanie ryzykiem w projektach. Teoria i praktyka, WIG-PRESS, War-szawa 2002.
8. Szyjewski Z., Metodyki zarządzania projektami informatycznymi, Placet, Warszawa 2004.
IDENTIFICATION OF INFORMATION PROJECT RISK
Summary
Risk is present in every aspect of information project. The article introduces the phases of project risk management process: identification, evaluation, planning, ownership, prevention and monitoring. The author presents selected techniques, which are useful in identification phase. The author describes the model of project risk management process and the place of identification in this process. The main aim of the article is an introduction to the methods of identification.
Keywords: information project, risk identification, methods of identification
Joanna Bryndza
Katedra Teorii Informatyki, Akademia Ekonomiczna, Wrocław, Koamndorska 118/120 http://www.ae.wroc.pl/