Ryzyko pod kontrolą

Projekty prowadzone przez działy IT stają się coraz bardziej złożone. Im więcej elementów, tym większe zagrożenie, że projekt zakończy się porażką. Sukces wymaga sprawnego zarządzania ryzykiem.

Ryzyko w rozwiązaniach cloud computing

Często bolączką rozwiązań dostarczanych przez działy IT są problemy ze spełnieniem wymagań wydajnościowych. Projekt zostaje wprawdzie wdrożony produkcyjnie, ale klient nie otrzymuje z tego tytułu spodziewanych korzyści. W czasach, gdy moc obliczeniowa czy zasoby systemowe są dostępne teoretycznie w nieograniczonej ilości, wystarczy zidentyfikować takie zagrożenie i jako docelowe rozwiązanie zaproponować przeniesienie usług do zewnętrznego dostawcy, który dopasuje do potrzeb moc obliczeniową. Można ją dowolnie konfigurować, podobnie jak i inne zasoby chmurowe, bez naruszania harmonogramu projektu, czy też wprowadzania dodatkowych zmian.

Oczywiście, nie ma nic za darmo. Decydując się na rozwiązanie w chmurze, należy zdawać sobie sprawę z ryzyka, jakie się pojawia. Przeważnie każda firma ma swoje rozwiązania związane z bezpieczeństwem danych, a inwestując w chmurę, trzeba pogodzić się z tym, że nasze zasady nie będą uwzględniane. Zostanie przyjęte ogólne rozwiązanie, które niekoniecznie musi pokrywać się z danymi wymaganiami. Należy pamiętać, że klient może mieć specyficzne wymagania bezpieczeństwa danych, które mogą nie zostać spełnione przez technologie zaimplementowane w chmurze. Chmura skupia dane wielu przedsiębiorstw, przez co jest dla hakerów ciekawszym celem.

Wynika z tego, że zanim zostanie podjęta decyzja o wyższości rozwiązań wirtualnych nad tradycyjnymi, również potrzebne jest zarządzanie ryzykiem.

Chaos w zarządzaniu i złożoność projektów IT najczęściej decydują o ich porażkach. Liczba elementów składających się na projekt, jego faz, liczba zaangażowanych ludzi oraz podmiotów to czynniki wpływające na możliwą destabilizację początkowego planu. Działania naprawcze wynikające z nieprzewidzianych zdarzeń, zmiany uwarunkowań technicznych przedsięwzięcia mają ogromny wpływ na koszty i czas trwania całego projektu, a także na jego powodzenie lub porażkę. Czy prowadząc projekt, można przewidzieć skutki podejmowanych działań? Czy można aktywnie zarządzać ryzykiem i zwiększać swoją skuteczność poprzez dobór narzędzi lub metodologii?

Czy stać cię na ryzyko?

Jeśli ryzyko nie zostanie odpowiednio zidentyfikowane, to stroną potencjalnie poszkodowaną zawsze będzie klient. Skutki wystąpienia incydentu związanego z ryzykiem mogą negatywnie odbić się na projekcie, co może spowodować:

- opóźnienie wdrożenia;

- nieopłacalność przedsięwzięcia (koszt projektu przekroczy zwrot z inwestycji}

- obniżenie jakości produktu poniżej oczekiwań klienta;

- zakończenie projektu przed czasem ze względu na brak możliwości oszacowania kosztów całkowitych.

Warto zwrócić uwagę, że proces zarządzania ryzykiem podnosi nieznacznie koszty prowadzenia projektu, pozwalając jednocześnie na wyeliminowanie zagrożeń i zmniejszenie wydatków na nagłe i niezaplanowane incydenty.

Wszystkie znane metodologie, takie jak choćby PRINCE 2®, PMI® lub DELIVER®, kładą duży nacisk na zarządzanie ryzykiem, począwszy od fazy rozpoczęcia projektu, a kończąc na jego zamknięciu. Podstawowym elementem tego procesu jest identyfikacja ryzyka. Projekty informatyczne są często bardzo złożone, w realizacji dochodzi do wielu zależności, zarówno wewnątrz firmy prowadzącej projekt, jak i pomiędzy kontrahentami. Podczas identyfikacji ryzyka należy zwrócić uwagę na każdy element projektu oraz na każdą pojedynczą relację, która w nim występuje. Pomocne w tym zadaniu jest doświadczenie, praktyka i wiedza zdobyta podczas poprzednich projektów. Gorzej, jeśli projekt jest innowacyjny i wdrażany przez niedoświadczonych menedżerów. Istnieje wówczas duże prawdopodobieństwo, że nie uda się zidentyfikować większości zagrożeń w projekcie. W takim przypadku warto postawić na dodatkowych ludzi, którzy brali już udział w podobnych projektach. Ich wiedza i doświadczenie pozwalają często na przewidzenie i identyfikację co najmniej 80% potencjalnych zagrożeń.

Zapomnij o adrenalinie

Zarządzanie ryzykiem powinno być tak naturalne, jak naturalne jest występowanie zagrożeń w projekcie. Dlatego powinno być jedną z ważniejszych aktywności w przedsięwzięciu. Pozwala na osiągnięcie sukcesu mimo występowania utrudnień. Należy je zidentyfikować we wstępnej fazie i podjąć działania zmierzające do zmniejszenia prawdopodobieństwa ich wystąpienia.

W erze sportów ekstremalnych wielu menadżerów traktuje projekt jak wyzwanie. Pomijają wszystkie możliwe zagrożenia, wyznając zasadę "no risk, no fun". Małe projekty, których budżet nie przekracza 1 mln zł, często udaje się ukończyć nawet przy tak niefrasobliwym podejściu menedżera. Wiąże się to jednak zawsze z obniżeniem satysfakcji klienta. Rezygnując z nakładów na zarządzanie ryzykiem, działające w ten sposób firmy kierują się maksymalizacją zysku z projektu. Ta polityka jest jednak krótkowzroczna. Klienci, którzy oceniają zrealizowane projekty poniżej oczekiwań, mając do wyboru wielu dostawców, szybko wyciągają wnioski już w fazie zamknięcia projektu.

Wybierz właściwą strategię

Warto zwrócić uwagę na dwa aspekty ryzyka: obiektywny i subiektywny. Pierwszy przedstawiany za pomocą określonych miar ryzyka, których wartość jest określana na podstawie danych, dotyczących np. częstotliwości występowania przewidywanych, niekorzystnych zdarzeń oraz uciążliwości ich skutków (wartość poniesionych strat). Drugi należy utożsamiać z podmiotowym odczuciem zagrożenia bądź awersją lub skłonnością do ryzyka osób podejmujących strategiczne decyzje. Ponadto ryzyko może być rozpatrywane np. w kontekście niebezpieczeństwa (zagrożeń), niepewności czy hazardu.

Rozpatruje się także ryzyko stałe i zmienne, systematyczne (zewnętrzne) i specyficzne (wewnętrzne) oraz ryzyko związane ściśle z dziedziną danego zagadnienia. Zagrożenie systematyczne związane jest z otoczeniem rynkowym. Może to być ryzyko stopy procentowej, walutowe, siły nabywczej, polityczne itp. Specyficzne natomiast obejmuje np.: ryzyko niedotrzymania umowy, zarządzania, biznesu, finansowe, bankructwa, rynkowej płynności, zmiany ceny, reinwestowania, zmienności itp. Ryzyko projektowe oznacza możliwość niedotrzymania technicznych i/lub finansowych warunków przedsięwzięcia.

Każdy idealny kierownik projektu, chciałby wiedzieć, które ryzyko się zmaterializuje, a które nie. Niestety, nie jest to możliwe. Możemy tylko zidentyfikować jak największą liczbę możliwych zagrożeń, przypisać im odpowiednie priorytety oraz wagi i… No właśnie, i co dalej?

Z pomocą przychodzą metodologie zarządzania ryzykiem, które pozwolą oszacować kosztowo oraz czasowo dane zagrożenie i zaplanować odpowiednie działania. Bazując na procesach najpopularniejszych metodologii, takich jak PRINCE 2, PMI, MoR, można wybrać różne strategie:

- Unikanie ryzyka - polega na takiej modyfikacji planów realizacji projektu, by zlikwidować dane ryzyko albo korzystnie zmienić uwarunkowania z nim związane. Krótko mówiąc, korzystamy z "objazdów", dopasowujemy się do ryzyka w taki sposób, jakby było częścią naszej lokalnej rzeczywistości projektowej.

- Transfer ryzyka - to działanie polegające na przeniesieniu skutków wystąpienia ryzyka na inny podmiot. Często obarczamy odpowiedzialnością innych poddostawców, ewentualne skutki finansowe staramy się przenieść na inny obszar, tworzymy rezerwy budżetowe, jak również kupujemy ubezpieczenie od zagrożenia.

- Łagodzenie ryzyka - to najpowszechniejsza ze wszystkich strategii reagowania na ryzyko. Wybieramy najtańszą opcję, czyli godzimy się na wystąpienie ryzyka i odczucie jego skutków przy jednoczesnym minimalizowaniu kosztów. Niedostarczenie wszystkich funkcjonalności systemu dla klienta na czas nałożenia spowoduje konieczność wypłacenia kar umownych. Zakładamy we wstępnym budżecie projektu margines finansowy na pokrycie kar i jednocześnie na przedłużenie projektu, aby jednak dostarczyć wszystkie wymagane funkcjonalności, pomimo przewidywanego opóźnienia. Jakość zostanie utrzymana.

- Akceptacja ryzyka - polega na przyjęciu i udźwignięciu wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Jest to świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać w planie projektu żadnych zmian związanych z wystąpieniem danego zjawiska. Istnieją dwa podstawowe typy akceptacji ryzyka: aktywna i pasywna. Pasywna akceptacja polega na przyjęciu ryzyka bez podejmowania działań w celu rozwiązania problemów, jakie się z nim wiążą. Natomiast aktywna akceptacja wymaga przygotowania planu działania w razie wystąpienia niekorzystnego zdarzenia, a w niektórych przypadkach planu odwrotu. Zdarza się, że wybranie tej opcji kończy projekt w momencie wystąpienia ryzyka.

- Plan awaryjny - buduje się go tylko dla ryzyka o dużej wadze i prawdopodobieństwie, które może pojawić się w trakcie realizacji projektu. Wcześniejsze opracowanie planu awaryjnego może w sposób istotny obniżyć koszty działań podejmowanych w reakcji na wystąpienie danego niekorzystnego zjawiska. Każdy plan awaryjny musi być wcześniej przedstawiony i zaakceptowany przez komitet sterujący.

Udało nam się zidentyfikować większość możliwych zagrożeń w projekcie, czy możemy przejść teraz do jego realizacji? Czy możemy czuć się już bezpieczni? Nie, przebrnęliśmy dopiero przez pierwszy etap procesu. Teraz musimy znaleźć osobę, która będzie dokonywać systematycznej weryfikacji, czy dane zagrożenie nie wystąpiło, a w przypadku incydentu natychmiast poinformuje kierownika projektu. Ta osoba musi mieć dostęp do informacji dotyczących danego zagrożenia.

Jeśli obawiamy się, że projekt nie spełni wymagań jakościowych klienta, najlepszym kandydatem na obserwatora jest specjalista do spraw sprzedaży, który ma ciągły kontakt z klientem. To on najszybciej dowie się o ewentualnych uwagach klienta dotyczących jakości produktu. Jeśli brak nam pewności, czy uda się utrzymać projekt w ryzach finansowych, wyznaczmy na obserwatora zagrożenia księgowego, który na bieżąco zweryfikuje koszty projektu. Po ustanowieniu "punktów kontrolnych" pozostanie nam tylko cyklicznie sprawdzać stan ewentualnego zagrożenia, odpytując osobę przypisaną do danego ryzyka lub czekać na sygnał o wystąpieniu incydentu.

Autor jest konsultantem zarządzającym w firmie Capgemini.

Business Intelligence w zarządzaniu ryzykiem

Przy założeniu, że zespół projektowy ma już pewne doświadczenie w prowadzeniu projektów, a firma utworzyła biuro projektów, można na podstawie zebranej wiedzy usystematyzować zarządzanie ryzykiem. Wiedza jest zbierana w formie raportów, notatek oraz całej dokumentacji projektowej na zakończenie projektu. Zadaniem biura projektowego jest uporządkowanie dokumentacji tych zasobów, zebranie wniosków i przedstawienie ich w przejrzystej formie. Mając zbiory danych, łatwiej jest zespołowi próbować przewidzieć, z czym przyjdzie się zmierzyć podczas następnego przedsięwzięcia.

Dokumentację można przechowywać w formie papierowego archiwum. Nie jest to jednak wygodne ani efektywne. Do tego zadania można zaprzęgnąć systemy BI (Business Intelligence), wspierać zaprojektowane do wsparcia decyzji kierowniczych. Odpowiednia konfiguracja systemu, reguł zarządczych i baza wiedzy pozwolą na sprawne prowadzenie procesu zarządzania ryzykiem. Na podstawie bazy wiedzy i odpowiednich reguł wspomagania decyzji, kierownik będzie w stanie wybrać optymalną odpowiedź na wybrane zagrożenie. System ułatwi również ocenę ryzyka, które może wystąpić w następnym projekcie.


TOP 200