Zarzdzanie ryzykiem Wszystkie przedsiwzicia s zwizane z pewnego

Zarządzanie ryzykiem Wszystkie przedsięwzięcia są związane z pewnego rodzaju ryzykiem. Może to wynikać z natury pracy (na przykład, jeśli jest wiele nowych elementów), z typu dostępnych zasobów, z obowiązujących umów lub z czynników politycznych wpływających na dane przedsięwzięcie. • Zwykle nie należy wyeliminować całego ryzyka — może to prowadzić do zablokowania innowacyjności i tłumienia kreatywności. • Można jednak zarządzać przedsięwzięciami w sposób, który rozpoznaje istnienie ryzyka i przygotowuje metody postępowania, jeśli to ryzyko rzeczywiście się pojawi.

Zarządzanie ryzykiem W ostatnich latach temat zarządzania ryzykiem nabiera znaczenia, ponieważ odpowiednie techniki zarządzania przedsięwzięciami są obecnie postrzegane jako sposób osiągnięcia pożądanej zmiany w firmie. Ponadto, przedsięwzięcia charakteryzują się coraz większą złożonością, stosowaniem różnych umiejętności i technologii, a wynikające stąd wzajemne zależności prowadzą do wyższego stopnia niepewności wyniku danego przedsięwzięcia.

Szkic procesu zarządzania ryzykiem Podejście do planu zarządzania ryzykiem Plan zarządzania ryzykiem Określenie ryzyka Ocena ryzyka Rejestr ryzyka Plan odpowiedzi na ryzyko Wykonywanie działań związanych z redukcją ryzyka Osiągnięte cele przedsięwzięcia

Zarządzanie ryzykiem – wymagania • Zarządzanie ryzykiem wymaga: – określenia mechanizmów pozwalających na utrzymywanie ryzyka pod kontrolą i zapewnienia, że jest ono brane pod uwagę; – środków identyfikujących potencjalne ryzyko w przedsięwzięciu; – oceny prawdopodobieństwa zmaterializowania się potencjalnego ryzyka; – oceny prawdopodobnych skutków ryzyka; – sformułowania działań pozwalających uniknąć powstania ryzyka; – opracowania działań zmniejszających ryzyko, jeśli działania zmierzające do jego uniknięcia zawiodą; – określenie pilności danego ryzyka i podejmowanie odpowiednich środków przeciwdziałających.

Rodzaje zagrożeń • Przy definiowaniu zagrożenia bierze się pod uwagę to, że każde zagrożenie ma dwie cechy: – niepewność zagrożenie może wystąpić lub nie; nie ma zagrożeń, które wystąpią na pewno; – strata jeśli zagrożenie wystąpi, to spowoduje jakieś straty lub inne niepożądane skutki.

Rodzaje ryzyka (I) • Zagrożenia projektowe mogą utrudnić realizację planu przedsięwzięcia. Jeśli takie zagrożenia wystąpią, to mogą spowodować przekroczenie terminów lub budżetu, a więc spowodować problemy z realizacją kosztorysu lub harmonogramu, przydziałem personelu, podziałem zasobów, komunikacją z klientem i specyfikacją wymagań, które mogą mieć negatywny wpływ na postęp prac. Także wielkość i złożoność planowanego produktu stanowią czynniki ryzyka projektowego.

Rodzaje ryzyka (I) • Zagrożenia techniczne wpływają na jakość produktów i terminowość procesów wytwórczych. Wystąpienie zagrożenia technicznego może sprawić, że stworzenie oprogramowania okaże się trudne lub niemożliwe. Tego rodzaju zagrożenia to potencjalne problemy z projektem systemu, jego implementacją, interfejsami, sprawdzaniem lub pielęgnacją. Także niedokładność specyfikacji i wszelkie nowoczesne, niestosowane wcześniej technologie mogą stanowić zagrożenie. Mówiąc ogólnie, ryzyko techniczne związane jest z faktem, że problemy mogą być trudniejsze do rozwiązania niż to się wcześniej wydawało.

Rodzaje ryzyka (I) • • Zagrożenia ekonomiczne mogą utrudnić osiągnięcie rynkowego sukcesu oprogramowania. Pięć najważniejszych takich zagrożeń to: powstanie doskonałego produktu, którego nikt nie potrzebuje (ryzyko marketingowe), powstanie produktu, który nie odpowiada ogólnemu profilowi firmy (ryzyko strategiczne), powstanie produktu, którego firma nie będzie umiała sprzedać, utrata zainteresowania kierownictwa firmy z powodu zmiany składu zarządu lub zmiany jego poglądów (ryzyko zarządzania), zmniejszenie budżetu lub liczby dostępnych pracowników (ryzyko budżetowe). Należy koniecznie pamiętać, że ten prosty podział nie zawsze sprawdza się w praktyce, a niektórych zagrożeń po prostu nie da się przewidzieć.

Rodzaje ryzyka (II) • Zagrożenia znane to te, które można wykryć na podstawie dokładnej analizy planu przedsięwzięcia, środowiska, w którym będzie powstawał produkt i innych wiarygodnych źródeł informacji. Przykładami takich zagrożeń są: • nierealistyczny termin ukończenia prac, • brak udokumentowanej specyfikacji wymagań lub opisu zakresu działania produktu, • niedoskonałe środowisko tworzenia aplikacji.

Rodzaje ryzyka (II) • Zagrożenia przewidywalne można odgadnąć, analizując przebieg poprzednich przedsięwzięć. Przykładami takich zagrożeń są: • rotacja personelu, • nieskuteczna komunikacja z klientem, • rozproszenie działań zespołu na skutek konieczności pielęgnowania już stworzonych produktów. • Zagrożenia nieprzewidywalne to zdarzenia losowe, które mogą i będą występować, ale które bardzo trudno przewidzieć.

Identyfikowanie zagrożeń • Identyfikowanie zagrożeń to systematyczne opisywanie czynników zagrażających realizacji planu przedsięwzięcia (prognoz, harmonogramu, przydziału zasobów itp. ) Identyfikując znane i przewidywalne zagrożenia, kierownik przedsięwzięcia wykonuje pierwszy krok na drodze do zapobiegania im lub przynajmniej radzenia sobie z nimi. • Istnieją dwie odmiany wymienionych wcześniej zagrożeń : zagrożenia ogólne i specyficzne.

Zagrożenia ogólne • Zagrożenia ogólne mogą wystąpić podczas realizacji każdego przedsięwzięcia.

Zagrożenia szczególne • Zagrożenia specyficzne może zidentyfikować tylko ktoś, kto dobrze zna technologię, zespół i środowisko stosowane podczas prac nad konkretnym produktem. Aby ustalić listę zagrożeń specyficznych, należy przeanalizować plan przedsięwzięcia, opis zakresu działania produktu i zastanowić się, jakie specyficzne cechy produktu mogą zagrozić powodzeniu przedsięwzięcia.

Identyfikacja ryzyka • 1. Tło komercyjne • Dla każdego przedsięwzięcia sytuacja biznesowa może być oparta na błędnych przesłankach lub fundusze mogą nie zostać zatwierdzone. W przedsięwzięcie może być włączonych kilku klientów lub kilku dostawców, a związki pomiędzy nimi mogą być niejasne. Typ umowy może być niewłaściwy dla danego typu pracy. Przedsięwzięcie może dotyczyć nowego obszaru, w którym dostawca ma niewielkie doświadczenie. Daty końcowe mogą być nieprzekraczalne lub też mogą istnieć pułapy cen. • Najlepszym sposobem uniknięcia takiego ryzyka jest posiadanie pewnego rodzaju wstępnej procedury przeglądowej, w której są brane pod uwagę zarówno problemy techniczne, jak i komercyjne, które przedsięwzięcie może napotkać. Jeśli zostanie zidentyfikowane tego rodzaju ryzyko komercyjne, powinno ono znaleźć odzwierciedlenie w sposobie przygotowania przedsięwzięcia, łącznie z warunkami uzgadnianych umów.

Identyfikacja ryzyka • 2. Umowa • Największe ryzyko polega tutaj na tym, że zakres prac jest źle zdefiniowany lub nieuzgodniony pomiędzy wszystkimi uczestniczącymi stronami. Mogą być uciążliwe klauzule dotyczące kar za opóźnienie lub zbyt niską wydajność. Harmonogram płatności może być niejasny lub niepowiązany z materialnymi produktami przypisanymi do poszczególnych etapów prac. Jeśli istnieją uzgodnienia z wykonawcą głównym lub podwykonawcami, umowy mogą nie „przylegać do siebie", mogą zawierać podobne warunki odzwierciedlone na wszystkich poziomach danej umowy, pozostawiając niezabezpieczoną jedną ze stron. Może też nie być podpisanej umowy, a prace będą wykonywane na podstawie nieformalnych uzgodnień. • Jeśli obszary umowy są źle zdefiniowane, to wówczas rozsądne jest udokumentowanie wszelkich założeń i przedstawienie ich do zatwierdzenia klientowi; nawet jeśli ich nie zatwierdzi, dyskusja, jaka może się wywiązać, da możliwość usunięcia niepewności. Należy poprosić doświadczonego kierownika działu handlowego lub prawnika, aby przejrzał wszystkie umowy i sprawdził, czy interesy różnych stron są właściwie chronione.

Identyfikacja ryzyka 3. Klient • Struktura zarządzania w firmie klienta może być niejasna. Dostęp do ważnych osób z personelu klienta może być trudny i mogą być kłopoty z uzyskaniem decyzji. W firmie klienta mogą wystąpić trudności w polityce wewnętrznej. Może też być nie jeden, lecz kilku klientów, każdy z innym podejściem do danego przedsięwzięcia i o różnym poziomie jego poparcia. • Jeśli przewiduje się problemy z klientem, to wówczas kierownik przedsięwzięcia lub osoba odpowiedzialna za sprzedaż, powinny wcześniej starać się poznać różne zainteresowane strony i pozyskać je dla przedsięwzięcia. Jeśli występują wewnętrzne tarcia, kierownik przedsięwzięcia musi się upewnić, że najważniejsi uczestnicy są po stronie przedsięwzięcia i będą chcieli wykorzystać swoje uprawnienia do jego wsparcia

Identyfikacja ryzyka 4. Użytkownicy mogą nie być oddani przedsięwzięciu lub nie poświęcają mu dostatecznej ilości czasu. Mogą nie znać danej technologii i wymagać dodatkowego przeszkolenia. Mogą wykazać niechęć do zmiany sposobu pracy na pasujący do nowego systemu. Wyższe kierownictwo klienta i użytkownicy mogą mieć różne spojrzenia na to, co system ma robić. Nowy system może zagrażać stanowiskom pracy wielu użytkowników. Należy dołożyć wszelkich starań, aby włączyć użytkowników w przedsięwzięcie. Może to obejmować szkolenia, które pozwoliłyby użytkownikom skutecznie odgrywać swoje role. Jeśli wyższe kierownictwo klienta jest niechętne angażowaniu użytkowników, kierownik przedsięwzięcia musi ich przekonać do bardziej konstruktywnego podejścia.

Identyfikacja ryzyka 5. Akceptacja Kryteria akceptacji oraz mechanizmy akceptacji, mogą nie być zdefiniowane w umowie. Mogą też być naszkicowane bardzo ogólnie i nie wiązać się z określonym, mierzalnym wykazaniem skuteczności. Mogą istnieć inne aspekty przedsięwzięcia powodujące opóźnienia w wykonywaniu testów akceptacji przez klienta. Klient może według własnego uznania akceptować fragment lub całość systemu. Akceptacja najlepiej jest przeprowadzana jako proces przyrostowy. Najpierw jest uzgadniany plan testów, następnie specyfikacje testów, później poszczególne testy, a na końcu test całego systemu. W ten sposób unika się dużej dyskusji przy końcu przedsięwzięcia i prowadzi klienta stopniowo w kierunku akceptacji całego produktu. Ważne jest również, aby specyfikacja funkcjonalna była na tyle ścisła, że na pytanie, czy system spełnia określone wymagania, byłaby tylko odpowiedź tak/nie.

Identyfikacja ryzyka 6. Wymagania funkcjonalne Wymaganie może nie być formalnie zatwierdzone przed rozpoczęciem opracowywania systemu. Może też nie być kompletne lub mieć różny poziom szczegółowości lub być niespójne wewnętrznie. Wymaganie może być zdefiniowane w kilku dokumentach co rodzi ryzyko niespójności i niejednoznaczności. Może nie być zgodności między zrozumieniem danego wymagania przez klienta i twórcę systemu. Wymaganie funkcjonalne powinno być przeglądane niezależnie przez osobę niezaangażowaną w dane przedsięwzięcie w przeciwnym razie zbyt łatwo jest przeczytać raczej to, co powinno być, niż to, co rzeczywiście jest zapisane. Potrzebny jest rygorystyczny system zarządzania konfiguracją, który zapewni spójność dokumentacji. Formalna technika przeglądu, jak na przykład kontrola drobiazgowa, pomoże określić różnicę między oczekiwaniami dotyczącymi systemu ze strony klienta i twórcy tego systemu.

Identyfikacja ryzyka 7. Wymagania techniczne System może być bardzo złożony technicznie lub wymagać wysokiego stopnia innowacji. Może on wymagać zastosowania narzędzi, technik lub sprzętu, których twórca systemu nie zna. Projekt systemu może utrudniać testowanie, zwłaszcza jeśli chodzi o etapowe produkty wynikowe. Może być potrzeba połączenia z innymi systemami i testowania tych interfejsów przez symulację. Jeśli zespół realizujący przedsięwzięcie nie ma dostatecznego doświadczenia technicznego, to wówczas należy uzyskać ekspertyzę z zewnątrz, aby co najmniej zdefiniować odpowiednie podejście do problemów technicznych. Projekt całości powinien być gotowy przed przystąpieniem do szczegółowego projektowania poszczególnych składowych.

Identyfikacja ryzyka 8. Wydajność, niezawodność, dostępność, pielęgnowalność Dla danego systemu mogą istnieć surowe wymagania dotyczące wydajności. Może być wymagany wysoki stopień niezawodności lub dostępności. Może być trudno testować system przy użyciu realnej liczby transakcji lub użytkowników. Może nie być możliwości symulowania wydajności przy testowaniu systemu. Umowa powinna być dokładnie zbadana, czy nie są postawione zbyt wysokie wymagania dotyczące wydajności, a kierownik przedsięwzięcia musi zapewnić, aby były zdefiniowane dokładne warunki i sposób pomiaru. Zaleca się budowanie prototypów dla funkcji krytycznych i testowanie ich wcześnie w przedsięwzięciu w celu określania obszarów wymagających dodatkowych nakładów pracy.

Identyfikacja ryzyka 9. Plan przedsięwzięcia Kierownik przedsięwzięcia może nie uczestniczyć w etapie przetargu, a więc może nie brać udziału w przygotowaniu planu wstępnego. Przedsięwzięcie może mieć bardzo wąskie ramy czasowe lub być bardzo duże i wymagać szybkiego zgromadzenia personelu. Plan może nie uwzględniać potrzeby ponownego wykonania prac z poprzednich etapów. Może nie dodano odpowiednich rezerw lub może zostały one zmniejszone podczas procesu przetargowego. Można za bardzo opierać się na kilku kluczowych pracownikach. Jeśli kierownik przedsięwzięcia nie uczestniczył w etapie przetargowym, powinien przejrzeć plany jak najszybciej i zaznaczyć wszystkie problemy, niespójności i ewentualne ryzyko. Kierownicy przedsięwzięć powinni zakładać, że jeśli coś może pójść źle, to pójdzie źle i odpowiednio dopasować rezerwy.

Identyfikacja ryzyka 10. Umiejętności twórcy systemu Kluczowi pracownicy, na przykład kierownik przedsięwzięcia lub liderzy zespołów, mogą nie mieć doświadczeń w tej roli. Zespół jako całość może być niedoświadczony w danym obszarze biznesowym lub technologii i może wymagać wielu szkoleń. Prace analityczne lub projektowe mogą być wykonywane przez osoby o małym doświadczeniu w tej pracy. Wyższy personel techniczny może poszukiwać interesujących, ale niesprawdzonych jeszcze metod lub technologii. Jeśli któreś z tych rodzajów ryzyka może wystąpić, kierownik przedsięwzięcia powinien ponownie sprawdzić oszacowania i rozważyć na jakiej podstawie zostały one przygotowane. W razie konieczności plany powinny być skorygowane, aby odzwierciedlały skutki wykorzystania mniej doświadczonego personelu. Jeśli kierownik przedsięwzięcia stwierdzi, że w pewnym obszarze mogą wystąpić niebezpieczne słabości musi twardo zabiegać o dodatkowe wsparcie.

Identyfikacja ryzyka 11. Gromadzenie personelu przedsięwzięcia Personel może nie być dostępny na czas, lub może dołączyć do przedsięwzięcia zbyt wcześnie, gdy jeszcze niewiele jest do zrobienia. Personel może mieć inne obowiązki, odciągające go od danego przedsięwzięcia. Może być zbyt wielu młodych i niedoświadczonych pracowników, co prowadzi do zwiększenia nakładów pracy, lub zbyt wielu doświadczonych pracowników, co z kolei prowadzi do zwiększenia kosztów. Przedsięwzięcie może być wykonywane dla nowego klienta lub przy pomocy niewypróbowanych wykonawców. Przedsięwzięcie może zbiegać się w czasie z okresem dużych fluktuacji kadr. W zasadzie kierownik przedsięwzięcia powinien dążyć do zatrudniania ludzi wtedy, gdy są oni potrzebni. Jeśli personel ma być dzielony między dwa przedsięwzięcia, kierownik przedsięwzięcia musi wynegocjować z drugim kierownikiem dokładne warunki tego podziału i kiedy będą oni dostępni do pracy w każdym z zespołów.

Identyfikacja ryzyka 12. Środowisko tworzenia systemu Środowisko to może być nowe dla twórcy systemu. Może ono nie odpowiadać zbyt dokładnie rzeczywistemu środowisku, a dostęp do niego może być ograniczony. Może nie być możliwości uzyskania dodatkowego dostępu w sytuacjach pilnych. Dostęp do środowiska może się odbywać za pomocą połączeń zdalnych, które mogą nie być pod kontrolą twórcy systemu. Sprzęt może być zawodny lub słabo udokumentowany. Jeśli środowisko jest nowe dla twórcy systemu, musi być zapewnione odpowiednie szkolenie. Rozrzutnością jest uczenie się metodą prób i błędów, a jakość takiego oprogramowania będzie bardzo słaba. Jeśli to konieczne, należy zorganizować dostęp do eksperta technicznego w celu rozwiązania trudnych problemów. Negocjacje kierownika przedsięwzięcia z osobami odpowiedzialnymi, aby uzyskać odpowiedni dostęp do środowiska tworzenia systemu, mogą być trudne.

Identyfikacja ryzyka 13. Oprogramowanie systemowe Może być ono nowe i niesprawdzone lub jeszcze niedostępne. Może być nieznane twórcy systemu, a obsługa techniczna może nie być łatwo dostępna. Koszty osiągnięcia wydajności mogą być nadmierne. Wersja może być niestabilna i zmieniać się w trakcie przedsięwzięcia. Oprogramowanie może składać się z wielu różnych elementów, być może dostarczonych przez różnych dostawców i niestosowanych wcześniej w takiej kombinacji. Powinno być zapewnione odpowiednie szkolenie, tak aby zespół realizujący przedsięwzięcie rozumiał zalety i ograniczenia oprogramowania systemowego. Wsparcie konsultacyjne na przykład ze strony sprzedawców oprogramowania może okazać się korzystne z punktu widzenia zaoszczędzonych kosztów w dłuższym czasie i bardziej wydajnej eksploatacji oprogramowania.

Identyfikacja ryzyka 14. Narzędzia i metody Twórcy systemu mogą nie znać określonych języków programowania. Mogą one nie pasować do poszczególnych wymagań przedsięwzięcia. Standardy i metody mogą być nowe dla personelu opracowującego system lub dla klientów, którzy będą wykonywali przeglądy produktów wynikowych. Może nie być właściwych narzędzi do takich prac, jak zarządzanie konfiguracją, planowanie przedsięwzięcia, testowanie itp. Zgodnie z potrzebami należy zapewnić szkolenia. Jeśli to konieczne, może być wskazane zastosowanie małych obszarów przedsięwzięcia jako elementów pilotowych w celu nabrania doświadczenia w korzystaniu z tych narzędzi, które następnie może być przekazane reszcie zespołu. Jeśli narzędzia nie są dostępne, na przykład do zarządzania konfiguracją, kierownik przedsięwzięcia będzie musiał je opracować; w tych obszarach bardzo przydatne okazują się arkusze kalkulacyjne.

Identyfikacja ryzyka 15. Architektura docelowa Sprzęt może być nowy, niesprawdzony lub niestosowany wcześniej do tych celów. Część sprzętu może być budowana na zamówienie i być może dostępna dopiero w późniejszych etapach przedsięwzięcia. Mogą istnieć wątpliwości dotyczące możliwości sprzętu, jego pojemności lub wydajności. Może trzeba będzie scalić wiele różnych kawałków sprzętu pochodzących od różnych dostawców. Testowanie docelowego środowiska powinno być zaplanowane możliwie najwcześniej, aby był czas na znalezienie i poprawienie wszystkich problemów. Jeśli wybrany sprzęt jest blisko górnej granicy dopuszczalnego zakresu, należy dokładnie i krytycznie sprawdzić obliczenia dotyczące wielkości, ponieważ koszty błędu mogą być wysokie, gdy okaże się, że trzeba zmienić platformę na zupełnie inną.

Identyfikacja ryzyka 16. Elementy kupowane Jeśli potrzebne są produkty zakupione z firm trzecich, wówczas problemem może być małe doświadczenie dostawców lub złe doświadczenia z przeszłości. Dostawcy mogą być w złej sytuacji finansowej, co powoduje ryzyko zaprzestania działalności. Mogą być trudności w określeniu testów dla elementów kupowanych. Techniczne i finansowe zaufanie do potencjalnych dostawców powinno być dokładnie zbadane. Powinna być zapewniona możliwość zmiany dostawców, jeśli pojawią się problemy. Twórcy systemu powinni się upewnić, że umowa zabezpiecza ich w sytuacji, gdy dostawca zaprzestaje działalności.

Oszacowanie ryzyka Ze względu na różne określone i opisane rodzaje ryzyka, konieczne jest następnie oszacowanie ich wpływu i prawdopodobieństwa wystąpienia. Wówczas można się skoncentrować na tych rodzajach ryzyka, które mają największe prawdopodobieństwo wystąpienia oraz na tych, które, jeśli wystąpią, spowodują największe szkody w przedsięwzięciu. Dany rodzaj ryzyka może oczywiście powodować kilka ewentualnych skutków.

Oszacowanie ryzyka W celu zilustrowania problemu oszacowania ryzyka posłużymy się przykładem. Weźmy pod uwagę ryzyko słabej wydajności wykonawcy. Dokładniej ryzyko to można rozbić na trzy elementy: • Personel nie pracuje w tempie założonym przygotowywaniu oszacowań. • Personel nie stosuje się do standardów programowania twórcy systemu. • Niedoświadczeni kierownicy zespołów mają trudności z kierowaniem personelem.

Oszacowanie ryzyka Wpływ tego ryzyka może powodować: • niemożność utworzenia przetestowanych jednostek kodu zgodnie z zaplanowanym terminem; • niemożność rozpoczęcia o czasie testowania systemu; • konieczność dostosowania harmonogramu testowania systemu do modułów, które są jeszcze niedostępne; • przerzucenie pracy na inne osoby.

Oszacowanie ryzyka Znaczenie tych skutków będzie zależało od wielkości prac programowania przekazanych wykonawcy. Jeśli korzystamy z wielu wykonawców zewnętrznych, to wówczas skutki te mogą być poważne. Jeśli wykonawcy ci stanowią tylko niewielką część zespołu programowania, to wówczas skutki te będą mniejsze. Czasami konieczne jest spróbowanie oszacowania tego wpływu naukowo, na przykład przez obliczanie prawdopodobnego opóźnienia w proporcji do nakładów pracy na przedsięwzięcie. Zwykle jednak wystarczy ocena, czy skutki te są duże, umiarkowane czy małe.

Oszacowanie ryzyka Odnosząc ten podział do kryteriów czasu/kosztu/jakości otrzymujemy: • duży wpływ: możliwe przedłużenie przedsięwzięcia o ponad 10%, • umiarkowany wpływ: możliwie przedłużenie przedsięwzięcia o 5 10%, • mały wpływ: możliwe przedłużenie przedsięwzięcia o mniej niż 5%. Można też zastosować inną skalę, właściwą dla rozpatrywanego przedsięwzięcia.

Oszacowanie ryzyka Inny czynnik, który należy uwzględnić, to możliwość lub prawdopodobieństwo, urzeczywistnienia się ryzyka. Kontynuując nasz przykład, ryzyko mogłoby być wysokie: • jeśli byłoby wiadome, że trudno jest znaleźć wykonawców o wymaganych umiejętnościach, • jeśli twórcy systemu nie mają wcześniejszych doświadczeń z wynajętym personelem, • jeśli nie byłoby niezależnego sposobu zweryfikowania doświadczenia personelu. Jeśli, z drugiej strony, plan zakłada wykorzystanie osób zatrudnionych wcześniej i mających dobrą opinię, to wówczas prawdopodobieństwo urzeczywistnienia się ryzyka mogłoby być ocenione jako niskie.

Oszacowanie ryzyka Podobnie jak dla skutków, możliwe jest spróbowanie oszacowania prawdopodobieństwa matematycznie, ale dla celów praktycznych wystarczająca będzie skala znaczne, średnie lub niewielkie. Można byłoby przypisać prawdopodobieństwu na przykład takie wartości liczbowe: • znaczne prawdopodobieństwo: ponad 30%, • średnie prawdopodobieństwo: 10 30%, • niewielkie prawdopodobieństwo: mniej niż 10%.

Oszacowanie ryzyka Możemy teraz porównywać rodzaje ryzyka i zdecydować, które z nich wymagają większej uwagi kierownika. Oczywiście najważniejsze są te, które mają duży wpływ i znaczne prawdopodobieństwo wystąpienia. Na drugim końcu są te, które mają niewielkie prawdopodobieństwo oraz mały wpływ. Między tymi skrajnościami znajdują się różne stopnie ważności.

Oszacowanie ryzyka

Oszacowanie ryzyka Mapa ryzyka pokazuje na jednej osi wpływ każdego rodzaju ryzyka, a na drugiej ich prawdopodobieństwo. Rodzaje ryzyka pokazane w lewym górnym rogu to te, które mają największy wpływ i prawdopodobieństwo. Stąd, przypuszczalnie, będą wymagały największej uwagi.

Oszacowanie ryzyka Jeszcze jednym czynnikiem, który należy uwzględnić jest nagłość ryzyka. Ma ona dwa aspekty: • nagłość, z jaką ryzyko prawdopodobnie się urzeczywistni, • nagłość, z jaką należy podjąć działania zapobiegawcze lub usprawniające. Może być na przykład tak, że przy porównywaniu dwóch rodzajów ryzyka, jedno okazuje się poważniejsze niż drugie. Ale dla ryzyka mniej poważnego może wystąpić natychmiastowa potrzeba podjęcia działania zapobiegawczego. W tym wypadku ryzyko to może być potraktowane jako pilniejsze, niż może wskazywać na to jego absolutne znaczenie.

Działania dotyczące ryzyka Do tej pory określaliśmy rodzaje ryzyka i mierzyliśmy ich wpływ. Teraz należy omówić działania odnoszące się do tego ryzyka. Są to dwa rodzaje działań: • • unikanie to, co próbujemy zrobić, aby zapobiec wystąpieniu ryzyka (działania odnoszące się do prawdopodobieństwa); łagodzenie kroki, które możemy wykonać, aby zredukować wpływ ryzyka, jeśli ono wystąpi (działania odnoszące się do wpływu). W praktyce musimy rozważyć oba rodzaje działań, gdyż środki zapobiegawcze mogą zawieść i wówczas może zaistnieć potrzeba odbudowy po wystąpieniu ryzyka.

Działania dotyczące ryzyka Wracając do naszego przykładu ryzyka związanego z zatrudnieniem personelu zewnętrznego, działaniem związanym z unikaniem będzie wykorzystanie wyłącznie personelu zatrudnionego w pełnym wymiarze czasu pracy. Może się to jednak nie udać z powodu innych przedsięwzięć. Wówczas można określić działania łagodzące, takie jak: • zapewnienie, że zatrudniamy tylko tych wykonawców zewnętrznych, z którymi już mieliśmy do czynienia; • poddanie przyszłych wykonawców krótkiemu testowi, aby ocenić szybkość ich pracy; • prowadzenie wywiadów w celu zbadania ich stosunku do standardów.

Działania dotyczące ryzyka Żaden z tych środków nie wyeliminuje całkowicie ryzyka, ale mogą one zredukować jego prawdopodobieństwo lub skutki. Określając środki zapobiegawcze, musimy mieć świadomość tworzenia ryzyka wtórnego. Na przykład, jeśli zdecydujemy, że w żadnym wypadku nie będziemy posługiwać się wykonawcami z zewnątrz, to wówczas ryzyko wtórne może polegać na tym, że nie będziemy mieli dość osób do pracy przedsięwzięciu, co doprowadzi do opóźnienia w dostawie produktu. Jeśli ryzyko wtórne jest dość poważne, to powinno być traktowane podobnie jak inne rodzaje ryzyka i poddane pełnemu procesowi oceny. Po określeniu działań możemy wyznaczyć pilność ich podjęcia i postępować odpowiednio do tego.

Planowanie i kontrola zarządzania ryzykiem Wstępna identyfikacja ryzyka i środki zapobiegawcze stanowią tylko część zarządzania ryzykiem. W miarę rozwoju przedsięwzięcia natura ryzyka zmienia się. 1. Niektóre z przewidywanych rodzajów ryzyka realizują się i wymagają rozwiązania podobnie jak inne problemy w przedsięwzięciu. 2. Niektóre z przewidywanych rodzajów ryzyka znikną w wyniku różnych zdarzeń. 3. Pojawią się nowe rodzaje ryzyka, nieprzewidziane na początku przedsięwzięcia.

Planowanie i kontrola zarządzania ryzykiem Zarządzanie ryzykiem jest więc procesem ciągłym. Muszą istnieć procedury systematycznego przeglądania rejestru ryzyka i ponownej oceny statusu każdego rodzaju ryzyka. Musi też istnieć forum, na którym „właściciele" ryzyka mogą spotkać się i omówić kroki, które należy podjąć. W wielu przedsięwzięciach przeglądanie ryzyka jest wykonywane podczas regularnych spotkań dotyczących postępów prac. Prawdopodobnie tylko główne rodzaje ryzyka są tutaj omawiane, natomiast pozostałe są rozpatrywane indywidualnie poza spotkaniem. W wypadku bardzo dużych przedsięwzięć, o dużej liczbie złożonych rodzajów ryzyka, mogłyby odbywać się spotkania poświęcone przeglądom ryzyka. Bez względu na przyjęte podejście, powinno być to udokumentowane w planie zarządzania ryzykiem. Plan ten, w zależności od przedsięwzięcia, może stanowić część planu przedsięwzięcia lub też może być osobnym dokumentem.

Planowanie i kontrola zarządzania ryzykiem Plan zarządzania ryzykiem powinien zawierać: • Stwierdzenie zakresu i intensywności zarządzania ryzykiem w odniesieniu do danego przedsięwzięcia. Zarządzanie ryzykiem, podobnie jak inne zadania zarządzania przedsięwzięciem, musi być dostosowane do wielkości, wartości i złożoności poszczególnych przedsięwzięć. • Wyjaśnienie cyklu zarządzania ryzykiem, który będzie zastosowany w danym przedsięwzięciu, obejmujące to jak i kiedy odbywać się będą przeglądy ryzyka oraz czy będzie to oddzielny proces czy też część ciągłego monitorowania prac w przedsięwzięciu. • Role i uprawnienia: kto będzie odpowiadał za proces zarządzania ryzykiem oraz mechanizm przeglądania i kontrolowania ryzyka. • Opis produktów zarządzania ryzykiem na przykład regularne raporty oceny ryzyka przygotowywane dla wyższego kierownictwa.

Rejestr ryzyka Kolejnym ważnym dokumentem w procesie zarządzania ryzykiem jest rejestr ryzyka. Może on mieć różną postać rejestru papierowego, pliku edytora tekstu, arkusza kalkulacyjnego lub bazy danych. Rejestr ten będzie stanowił centralne repozytorium informacji uzyskiwanych na temat każdego rodzaju ryzyka. W szczególności należy zarejestrować: • Referencje każdy rodzaj ryzyka musi mieć unikatowy identyfikator, stanowiący klucz do etapu, zadania lub produktu, na który ma wpływ. • Tytuł i opis ryzyka. • Bieżący status ryzyka na przykład kandydujące (określone, ale jeszcze nie ocenione), działające lub zamknięte. • Potencjalny wpływ może być wieloraki i dla każdego należy za rejestrować opis i ocenę jego prawdopodobieństwa oraz skalę oddziaływania. • Właściciela ryzyka osoba, która będzie odpowiedzialna za pod jęcie działań mających na celu określenie ryzyka. • Działania określone działania dotyczące unikania i łagodzenia. • Dziennik działań zapis postępów w rozładowywaniu działań ryzykownych.

Rejestr ryzyka Sposób przechowywania rejestru ryzyka będzie zależał od skali przedsięwzięcia oraz od zmienności określonego rodzaju ryzyka. Dla małych przedsięwzięć, o niewielu długoterminowych rodzajach ryzyka, system papierowy będzie zupełnie odpowiedni; dla dużych przedsięwzięć, z wieloma zmieniającymi się rodzajami ryzyka, korzystniejszy z pewnością byłby system skomputeryzowany.

Właściciele ryzyka Częścią procesu identyfikacji ryzyka jest zdecydowanie, kto powinien być właścicielem każdego rodzaju ryzyka. Właścicielem powinna być osoba, która: • ma dostateczną ilość informacji na temat danego rodzaju ryzyka, • ma niezbędne zasoby, • ma uprawnienia, aby coś zrobić z ryzykiem.

Właściciele ryzyka Powszechnym błędem jest przypisywanie własności ryzyka komuś na zbyt niskim szczeblu w firmie. Osoba taka może bardzo dobrze rozumieć ryzyko i jego wpływ, ale może nie mieć zasobów i uprawnień, aby coś z tym zrobić. Podobnie, przypisanie własności na zbyt wysokim poziomie może oznaczać, że właściciel ma zasoby i uprawnienia, ale nie traktuje zajmowania się ryzykiem jako głównego priorytetu. W niektórych przedsięwzięciach własność ryzyka jest przypisywana osobom, które będą odczuwały jego wpływ. Chociaż niewątpliwie daje to właścicielowi bodziec do zrobienia z tym czegoś, nie oznacza to, że ma on konieczne zasoby i uprawnienia, a więc w rzeczywistości nie będzie to najlepsza osoba jako właściciel ryzyka.

Inne pojęcia ryzyka W dużych przedsięwzięciach można zastosować dużo bardziej zaawansowane techniki. Na przykład można wykorzystać informacje z rejestru ryzyka i dodatkowo skonstruować „sieć ryzyka". Model ten jest następnie wykorzystywany do stawiania pytań typu „co by było, gdyby", np: „Jeśli okaże się, że wynajęci pracownicy będą zbyt wolni i podejmiemy decyzję przydzielenia pracy własnym pracownikom, jaki to będzie miało wpływ na wynik przedsięwzięcia? ".

Inne pojęcia ryzyka Techniki próbkowania i symulacyjne mogą być również zastosowane. Wiąże się to z wykorzystaniem teorii prawdopodobieństwa do modelowania różnych wyników przedsięwzięcia w zależności od prawdopodobieństwa, wpływu i wzajemnych zależności między różnymi rodzajami ryzyka. Jeśli mają być użyte inne metody niż proste, mając odpowiednie dane statystyczne, zalecane jest skonsultowanie się ze specjalistami na temat konstrukcji i interpretacji różnych modeli.

Podsumowanie Przedsięwzięcia w zakresie SI stają się coraz bardziej złożone i podlegają różnym rodzajom ryzyka. Ryzyka nie można uniknąć zupełnie, ale można nim zarządzać w taki sposób, aby je rozpoznać, a jego wpływu uniknąć lub go załagodzić. Istnieje wiele obszarów, w których może powstać ryzyko dla przedsięwzięcia, od ryzyka biznesowego, handlowego i ryzyka wynikającego z umów, do ryzyka technicznego. Podstawową sekwencją działań w zarządzaniu ryzykiem jest jego identyfikacja, oszacowanie oraz sformułowanie i realizacja działań redukujących ryzyko. Podejście do zarządzania ryzykiem w przedsięwzięciu powinno być udokumentowane w formalnym planie zarządzania ryzykiem.

Literatura • Pressman R. S. , Praktyczne podejście do inżynierii oprogramowania, WNT, Warszawa 2004 • Cadle J. , Yeates D. , Zarządzanie procesem tworzenia systemów informacyjnych, WNT, Warszawa 2004