Chaos w zarządzaniu i złożoność projektów IT najczęściej decydują o ich porażkach. Liczba elementów składających się na projekt, jego faz, liczba zaangażowanych ludzi oraz podmiotów to czynniki wpływające na możliwą destabilizację początkowego planu. Działania naprawcze wynikające z nieprzewidzianych zdarzeń, zmiany uwarunkowań technicznych przedsięwzięcia mają ogromny wpływ na koszty i czas trwania całego projektu, a także na jego powodzenie lub porażkę. Czy prowadząc projekt, można przewidzieć skutki podejmowanych działań? Czy można aktywnie zarządzać ryzykiem i zwiększać swoją skuteczność poprzez dobór narzędzi lub metodologii?

Czy stać cię na ryzyko?

Jeśli ryzyko nie zostanie odpowiednio zidentyfikowane, to stroną potencjalnie poszkodowaną zawsze będzie klient. Skutki wystąpienia incydentu związanego z ryzykiem mogą negatywnie odbić się na projekcie, co może spowodować:

- opóźnienie wdrożenia;

- nieopłacalność przedsięwzięcia (koszt projektu przekroczy zwrot z inwestycji}

- obniżenie jakości produktu poniżej oczekiwań klienta;

- zakończenie projektu przed czasem ze względu na brak możliwości oszacowania kosztów całkowitych.

Warto zwrócić uwagę, że proces zarządzania ryzykiem podnosi nieznacznie koszty prowadzenia projektu, pozwalając jednocześnie na wyeliminowanie zagrożeń i zmniejszenie wydatków na nagłe i niezaplanowane incydenty.

Wszystkie znane metodologie, takie jak choćby PRINCE 2®, PMI® lub DELIVER®, kładą duży nacisk na zarządzanie ryzykiem, począwszy od fazy rozpoczęcia projektu, a kończąc na jego zamknięciu. Podstawowym elementem tego procesu jest identyfikacja ryzyka. Projekty informatyczne są często bardzo złożone, w realizacji dochodzi do wielu zależności, zarówno wewnątrz firmy prowadzącej projekt, jak i pomiędzy kontrahentami. Podczas identyfikacji ryzyka należy zwrócić uwagę na każdy element projektu oraz na każdą pojedynczą relację, która w nim występuje. Pomocne w tym zadaniu jest doświadczenie, praktyka i wiedza zdobyta podczas poprzednich projektów. Gorzej, jeśli projekt jest innowacyjny i wdrażany przez niedoświadczonych menedżerów. Istnieje wówczas duże prawdopodobieństwo, że nie uda się zidentyfikować większości zagrożeń w projekcie. W takim przypadku warto postawić na dodatkowych ludzi, którzy brali już udział w podobnych projektach. Ich wiedza i doświadczenie pozwalają często na przewidzenie i identyfikację co najmniej 80% potencjalnych zagrożeń.

Zapomnij o adrenalinie

Zarządzanie ryzykiem powinno być tak naturalne, jak naturalne jest występowanie zagrożeń w projekcie. Dlatego powinno być jedną z ważniejszych aktywności w przedsięwzięciu. Pozwala na osiągnięcie sukcesu mimo występowania utrudnień. Należy je zidentyfikować we wstępnej fazie i podjąć działania zmierzające do zmniejszenia prawdopodobieństwa ich wystąpienia.

W erze sportów ekstremalnych wielu menadżerów traktuje projekt jak wyzwanie. Pomijają wszystkie możliwe zagrożenia, wyznając zasadę "no risk, no fun". Małe projekty, których budżet nie przekracza 1 mln zł, często udaje się ukończyć nawet przy tak niefrasobliwym podejściu menedżera. Wiąże się to jednak zawsze z obniżeniem satysfakcji klienta. Rezygnując z nakładów na zarządzanie ryzykiem, działające w ten sposób firmy kierują się maksymalizacją zysku z projektu. Ta polityka jest jednak krótkowzroczna. Klienci, którzy oceniają zrealizowane projekty poniżej oczekiwań, mając do wyboru wielu dostawców, szybko wyciągają wnioski już w fazie zamknięcia projektu.

Wybierz właściwą strategię

Warto zwrócić uwagę na dwa aspekty ryzyka: obiektywny i subiektywny. Pierwszy przedstawiany za pomocą określonych miar ryzyka, których wartość jest określana na podstawie danych, dotyczących np. częstotliwości występowania przewidywanych, niekorzystnych zdarzeń oraz uciążliwości ich skutków (wartość poniesionych strat). Drugi należy utożsamiać z podmiotowym odczuciem zagrożenia bądź awersją lub skłonnością do ryzyka osób podejmujących strategiczne decyzje. Ponadto ryzyko może być rozpatrywane np. w kontekście niebezpieczeństwa (zagrożeń), niepewności czy hazardu.

Rozpatruje się także ryzyko stałe i zmienne, systematyczne (zewnętrzne) i specyficzne (wewnętrzne) oraz ryzyko związane ściśle z dziedziną danego zagadnienia. Zagrożenie systematyczne związane jest z otoczeniem rynkowym. Może to być ryzyko stopy procentowej, walutowe, siły nabywczej, polityczne itp. Specyficzne natomiast obejmuje np.: ryzyko niedotrzymania umowy, zarządzania, biznesu, finansowe, bankructwa, rynkowej płynności, zmiany ceny, reinwestowania, zmienności itp. Ryzyko projektowe oznacza możliwość niedotrzymania technicznych i/lub finansowych warunków przedsięwzięcia.

Każdy idealny kierownik projektu, chciałby wiedzieć, które ryzyko się zmaterializuje, a które nie. Niestety, nie jest to możliwe. Możemy tylko zidentyfikować jak największą liczbę możliwych zagrożeń, przypisać im odpowiednie priorytety oraz wagi i… No właśnie, i co dalej?

Z pomocą przychodzą metodologie zarządzania ryzykiem, które pozwolą oszacować kosztowo oraz czasowo dane zagrożenie i zaplanować odpowiednie działania. Bazując na procesach najpopularniejszych metodologii, takich jak PRINCE 2, PMI, MoR, można wybrać różne strategie:

- Unikanie ryzyka - polega na takiej modyfikacji planów realizacji projektu, by zlikwidować dane ryzyko albo korzystnie zmienić uwarunkowania z nim związane. Krótko mówiąc, korzystamy z "objazdów", dopasowujemy się do ryzyka w taki sposób, jakby było częścią naszej lokalnej rzeczywistości projektowej.

- Transfer ryzyka - to działanie polegające na przeniesieniu skutków wystąpienia ryzyka na inny podmiot. Często obarczamy odpowiedzialnością innych poddostawców, ewentualne skutki finansowe staramy się przenieść na inny obszar, tworzymy rezerwy budżetowe, jak również kupujemy ubezpieczenie od zagrożenia.

- Łagodzenie ryzyka - to najpowszechniejsza ze wszystkich strategii reagowania na ryzyko. Wybieramy najtańszą opcję, czyli godzimy się na wystąpienie ryzyka i odczucie jego skutków przy jednoczesnym minimalizowaniu kosztów. Niedostarczenie wszystkich funkcjonalności systemu dla klienta na czas nałożenia spowoduje konieczność wypłacenia kar umownych. Zakładamy we wstępnym budżecie projektu margines finansowy na pokrycie kar i jednocześnie na przedłużenie projektu, aby jednak dostarczyć wszystkie wymagane funkcjonalności, pomimo przewidywanego opóźnienia. Jakość zostanie utrzymana.

- Akceptacja ryzyka - polega na przyjęciu i udźwignięciu wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Jest to świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać w planie projektu żadnych zmian związanych z wystąpieniem danego zjawiska. Istnieją dwa podstawowe typy akceptacji ryzyka: aktywna i pasywna. Pasywna akceptacja polega na przyjęciu ryzyka bez podejmowania działań w celu rozwiązania problemów, jakie się z nim wiążą. Natomiast aktywna akceptacja wymaga przygotowania planu działania w razie wystąpienia niekorzystnego zdarzenia, a w niektórych przypadkach planu odwrotu. Zdarza się, że wybranie tej opcji kończy projekt w momencie wystąpienia ryzyka.

- Plan awaryjny - buduje się go tylko dla ryzyka o dużej wadze i prawdopodobieństwie, które może pojawić się w trakcie realizacji projektu. Wcześniejsze opracowanie planu awaryjnego może w sposób istotny obniżyć koszty działań podejmowanych w reakcji na wystąpienie danego niekorzystnego zjawiska. Każdy plan awaryjny musi być wcześniej przedstawiony i zaakceptowany przez komitet sterujący.

Udało nam się zidentyfikować większość możliwych zagrożeń w projekcie, czy możemy przejść teraz do jego realizacji? Czy możemy czuć się już bezpieczni? Nie, przebrnęliśmy dopiero przez pierwszy etap procesu. Teraz musimy znaleźć osobę, która będzie dokonywać systematycznej weryfikacji, czy dane zagrożenie nie wystąpiło, a w przypadku incydentu natychmiast poinformuje kierownika projektu. Ta osoba musi mieć dostęp do informacji dotyczących danego zagrożenia.

Jeśli obawiamy się, że projekt nie spełni wymagań jakościowych klienta, najlepszym kandydatem na obserwatora jest specjalista do spraw sprzedaży, który ma ciągły kontakt z klientem. To on najszybciej dowie się o ewentualnych uwagach klienta dotyczących jakości produktu. Jeśli brak nam pewności, czy uda się utrzymać projekt w ryzach finansowych, wyznaczmy na obserwatora zagrożenia księgowego, który na bieżąco zweryfikuje koszty projektu. Po ustanowieniu "punktów kontrolnych" pozostanie nam tylko cyklicznie sprawdzać stan ewentualnego zagrożenia, odpytując osobę przypisaną do danego ryzyka lub czekać na sygnał o wystąpieniu incydentu.

Autor jest konsultantem zarządzającym w firmie Capgemini.