1
Zarządzanie Projektem
Teleinformatycznym
Zarządzanie ryzykiem
dr inż. Konrad Jackowski
e-mail:
konrad.jackowski@pwr.wroc.pl
C3 111
Plan wykładu
• Zarządzanie ryzykiem wg. PMI
• Ryzyko w projekcie
• Analiza i zarządzanie ryzykiem
• Zarządzanie zmianami
Ryzyko
• Ryzyko to możliwość, prawdopodobieństwo, że coś się nie uda;
przedsięwzięcie, którego wynik jest niepewny, nieznany.
• Ryzykiem określa się wszystkie zdarzenia, sytuacje stany, które wpływają
negatywne na realizację projektu i w rezultacie mogą wpłynąć na realizację
celów projektu (harmonogram, koszty, jakość)
• Istnienie zagrożeń w projekcie wynika w prosty sposób z niepewności
obecnej we wszystkich projektach jako działaniach innowacyjnych i
nowatorskich (co w szczególności dotyczy projektów informatycznych)
• Rozpoznanie zagrożeń pozwala na zaplanowanie reakcji na nie.
• Rozpoznane zagrożenie, może być traktowane jako zwyczajny problem.
• Zarządzanie ryzykiem jest przede wszystkim uświadomieniem sobie, że
ryzyko jest zawsze obecne. Jest także umiejętnością znajdowania
kompromisu między możliwymi negatywnymi konsekwencjami, które niesie
ryzyko, a potencjalnymi korzyściami, które daje nam szansa.
Zarządzanie ryzykiem wg PMI
• PMI definiuje następujące procesy związane z ryzykiem
– Planowanie strategii zarządzania ryzykiem,
– Identyfikację,
– Analizę,
– Planowanie działań zapobiegawczych,
– Monitorowanie i kontrolę projektu
• Do głównych celów zarządzania ryzykiem należą:
– Zwiększenie prawdopodobieństwa wystąpienia zdarzeń pozytywnych i
zwiększenie ich wpływu na projekt
– Zmniejszenie prawdopodobieństwa pojawienia się zdarzeń negatywnych
i ich wpływu na realizację projektu
Zarządzanie ryzykiem wg PMI
Procesy zarządzania ryzykiem
• Planowanie zarządzania ryzykiem – to procesy definiowania zasad
analizy potencjalnych zagrożeń oraz procedur ich monitorowania projektu
pod kątem możliwości ich wystąpienia oraz procedur reakcji w przypadku
ich wystąpienia
• Identyfikacja ryzyka – sporządzenie listy potencjalnych zagrożeń w
ustandaryzowanej formie
• Analiza jakościowa zagrożeń – określenie priorytetów (wagi)
poszczególnych zagrożeń
Zarządzanie ryzykiem wg PMI
• Analiza ilościowa ryzyka – analiza której wynikiem jest numeryczne
oszacowanie wpływu zidentyfikowanego zagrożenia na realizacje projektu i
jego poszczególnych celów
• Planowanie reakcji na zagrożenia – zdefiniowanie zasad postępowania
mających na celu maksymalne ograniczenie możliwości wystąpienia
zagrożeń oraz minimalizacji ich wpływu na realizację projektu
• Monitorowanie i kontrola ryzyka – procesy obejmujące opracowanie
szczegółowego planu śledzenia projektu pod kątem możliwości pojawienia
się zagrożeń, identyfikacji nowych zagrożeń, oraz ocena efektywności
zaproponowanych procedur
2
Typy zagrożeń
Ze względu na źródło powstawania zagrożeń ryzyko dzielimy na:
•
Zagrożenia harmonogramu
–
Błędny WBS
–
Zbyt optymistyczne oszacowanie zapotrzebowania na zasoby
–
Zbyt optymistyczne oszacowanie nakładu pracy
Efekty
–
Wydłużenie terminów realizacji projektu/faz/zadań
•
Zagrożenia budżetu/kosztów
–
Niedoszacowanie niezbędnych inwestycji (np.: zakup licencji)
–
Niedoszacowanie kosztów wynagrodzeń
Efekty
–
Konieczność dodatkowych inwestycji
–
Zwiększenie kosztów obsługi
–
Zwiększenie wynagrodzeń (rozrost puli zespołu)
Typy zagrożeń
•
Zagrożenia zakresu/wymagań
–
Niepoprawność definicji wymagań
–
Niekompletność wymagań
–
Niejasność lub niespójność wymagań
Efekty
–
Zmiany w zakresie projektu
•
Zagrożenia związane z jakością
–
Błędne założenia odnośnie jakości
–
Błędne oszacowanie pracochłonności niezbędnej do społnienia wymogów
•
Zagrożenia związane z prowadzeniem projektu
–
Nieporozumienia wynikające z błędnej komunikacji
–
Brak kontroli stanu realizacji prac
–
Zagrożenia wynikające z pojawiającymi się konfiltami
Identyfikacja
• Ryzyko występujące w projekcie może należeć do jednej z trzech
klas: znane, nieznane lub niepoznawalne.
• Zarządzanie ryzykiem zajmuje się dwiema pierwszymi kategoriami.
• Identyfikacja ryzyka jest wynikiem analizy następujących źródeł:
– Zakres produktu i projektu
– Struktura organizacyjna projektu
– Harmonogram prac
– Oszacowanie zasobów i innych parametrów projektu,
– Struktura finansowania projektu,
– Klient, kooperanci, dostępne zasoby,
– Inne czynniki wewnętrzne i zewnętrzne,
– Informacja z realizacji poprzednich projektów,
– Doświadczenie i wiedza członków zespołu projektowego.
Planowanie zarządzania ryzykiem
• Planowanie zarządzania ryzykiem – to procesy definiowania zasad analizy
potencjalnych zagrożeń oraz procedur ich monitorowania projektu pod
kątem możliwości ich wystąpienia oraz procedur reakcji w przypadku ich
wystąpienia
• Poprawna organizacja zadań związanych z zarządzaniem ryzykiem jest
podstawą poprawnego przeprowadzenia pozostałych procesów związanych z
zarządzaniem ryzykiem: identyfikacja, analiza, monitorowanie,…
• Obejmuje:
–
zaplanowanie spotkań grup roboczych
–
definicję technik, które mają zostać wykorzystane w kolejnych procesach
–
określenie ról i odpowiedzialności
–
Oszacowanie budżetu oraz czasu niezbędnego do przeprowadzenia pozostałych
procesów
–
Zdefiniowanie definicji-kategorii zagrożeń (RBS - Risk Breakdown Structure)
–
Zdefiniowanie słowników parametrów opisujących zagrożenia
(prawdopodobieństwa, wpływ itp.)
–
Zdefiniowanie zasad raportowania i formatu dokumentów
Identyfikacja - narzędzia
•
Zalecane jest aby w procesach identyfikacji ryzyka zaangażowani zostali wszyscy
członkowie zespołu (różne doświadczenia, ogląd sytuacji z różnych stron, itp.)
•
W niektórych organizacjach projektowych powoływane są specjalne Zespoły
Zarządzania Ryzykiem
•
Proces identyfikacji ryzyka jest działaniem cyklicznym.
–
Po raz pierwszy realizowany w fazie opracowania projektu
–
Kolejne wywołanie procesu zależy od specyfiki projektu i ma na celu
identyfikację nowych zagrożeń.
•
Narzędzia zbierania informacji o zagrożeniach
–
Burza mózgów
–
Metoda Delficka – metoda konsensusu ekspertów bazująca na analizie i dyskusji
opracowanych przez ekspertów formularzy ankiet
–
Wywiady z udziałowcami
–
Kwestionariusze kontrolne
–
Audyty produktu i procesów projektu
Identyfikacja - narzędzia
• Identyfikacyjna lista kontrolna – opracowana na podstawie danych
historycznych i doświadczeń z realizacji poprzednich projektów.
– Ważne jest aby po ukończeniu projektu zaktualizować listę kontrolną
ryzyka
• Analiza założeń – analiza czy wszystkie poczynione w projekcie założenia,
hipotezy, scenariusze są zasadne i adekwatne dla aktualnie realizowanego
projektu
• Metody oparte na diagramach np.: diagramy przyczynowo skutkowe
(diagramy Ishikawy) wykorzystywane do identyfikacji źródeł zagrożeń
• Analiza SWOT (strengths, weaknesses, opportunities, threats) – analiza
mocny i słabych stron organizacji w której realizowany jest projekt np jej
struktury organizacyjnej, szans i zagrożeń w realizacji projektu w
kontekście analizy organizacyjnej
• Metoda ekspercka – bazująca na wiedzy i doświadczeniu
3
Identyfikacja - wynik
• Produktami identyfikacji ryzyka są
– Lista zidentyfikowanych zagrożeń - lista zawierająca możliwie
dokładny opis zagrożeń wraz z informacjami o tym jak mogą one
wpłynąć na realizację projektu
– Lista potencjalnych reakcji na pojawiające się zagrożenia (tu
jest elementem opcjonalnym. Plan możliwych reakcji jest
opracowywany w oddzielnym procesie)
Analiza jakościowa ryzyka
• Analiza jakościowa zagrożeń – określenie priorytetów (wagi)
poszczególnych zagrożeń w celu sporządzenia planu szczegółowej analizy.
• Ustalenie priorytetów ma na celu skoncentrowaniu się na najistotniejszych
zagrożeniach czyli takich, które mają istotny wpływ na projekt
• Analiza ta opiera się więc na określeniu prawdopodobieństwa wystąpienia
zagrożenia oraz siły wpływu na realizację projektu
• Istotność zagrożenia jest wynikową powyższych parametrów np.:
– Istotność = (Prawdopodobieństwo) x (Wpływ)
• Zazwyczaj wartości tych parametrów są dyskretne i często reprezentowane
słowami reprezentującymi ich poziom np.:
–
prawdopodobieństwo: bardzo małe, okazjonalnie, czasami często, bardzo często
–
Wpływ: brak, znikomy, średni, zasadniczy, bardzo duży
• Zdefiniowanie i standaryzacja zasad określania wartości parametrów
pozwala na obiektywizację ocen
Macierz ryzyka
Przykładowe poziomy ryzyka
•
A – akceptowalne
–
nie ma potrzeby dokonywania dalszej
analizy ani podejmowania szczególnych
akcji zapobiegawczych
•
R – Możliwe do zaakceptowania
–
Może być zaakceptowane ale niezbędna
jest dalsza dogłębna analiza w celu
opracowania zaleceń i planu reakcji
•
U – niepożądane
–
Możliwe do przyjęcia tylko i wyłącznie w
przypadku, gdy wdrożenie zadań
zapobiegawczych jest zbyt kosztowne
•
I - Nieakceptowane
–
Konieczne jest podjęcie zadań
zapobiegawczych
Analiza jakościowa ryzyka
• Produkt jakościowej analizy ryzyka
– Zaktualizowany rejestr zagrożeń z wyznaczonymi priorytetami
– Lista pogrupowanych wg zdefiniowanych kategorii zagrożeń
– Lista zagrożeń wymagających reakcji w najbliższym czasie
Analiza ilościowa ryzyka
• Analiza ilościowa ryzyka ma na celu wyliczenie wpływu jaki poszczególne
zagrożenia mogą mieć na czas lub koszty realizacji projektu w przypadku ich
wystąpienia
• Nie zawsze tak szczegółowa wiedza jest wymagana i potrzebna do
opracowania plany zapobiegania zagrożeniom
• W zależności od dostępności informacji oraz poziomu szczegółowości
opracowanego plany stosuje się różne techniki szacowania
• Techniki
–
Wywiady oraz wykorzystanie wiedzy
historycznej w celu oszacowania
numerycznego wpływu zagrożeń
na koszty i czas realizacji projektu
Analiza ilościowa ryzyka
• Techniki
–
EMV - Expected monetary value analysis – analiza statystyczna szacująca wartość
oczekiwaną kosztów w kontekście zdefiniowanych scenariuszy wystąpień
poszczególnych zagrożeń
4
Analiza ilościowa ryzyka
• Techniki
–
Modelowanie i symulacja – metoda iteracyjnego obliczania kosztów realizacji
projektu z losowo generowanymi kosztami zgodnie z zadanymi parametrami
prawdopodobieństwa. Wynik końcowy bazuje na estymatorach wyznaczonych na
podstawie symulacji.
Specyfikacja
• Wynik analizy ryzyka przeważnie umieszczane są w formularzu
ryzyka zawierającym
– Nazwę ryzyka,
– Prawdopodobieństwo jego pojawienia się,
– Wagę ryzyka
– Symptomy ryzyka
– Opis ryzyka
– Wpływ na poszczególne parametry projektu
– Sugerowane strategie minimalizacji ryzyka.
Planowanie reakcji na zagrożenia
• Planowanie reakcji na zagrożenia – zdefiniowanie zasad postępowania
mających na celu maksymalne ograniczenie możliwości wystąpienia
zagrożeń oraz minimalizacji ich wpływu na realizację projektu
• Techniki
– Unikanie ryzyka – modyfikacja planu tak aby całkowicie wyeliminować
zagrożenia np. poprzez wydłużenie czasów realizacji, zmianę zakresu
projektu, zmianę strategii realizacji, rezygnacja z projektu(!!!)
– Transfer – przesunięcie skutków wystąpienia zagrożenia na
podwykonawców - przesunięcie odpowiedzialności. Działanie takie
powinno pociągnąć za sobą zaplanowanie dodatkowej premii za
realizację zadań obarczonych ryzykiem oraz wybranych dodatkowych
opcji jak np.: ubezpieczenie, gwarancje, itp..
Planowanie reakcji na zagrożenia
• Techniki
– Ograniczenie prawdopodobieństwa i wpływu bazujące na założeniu, że
tańsze jest zapobieganie niż reakcja. Możliwe są następujące działania:
• definiowanie mniej skomplikowanych zadań,
• zaplanowanie dodatkowych szczegółowych testów,
• wybór bardziej wykwalifikowanego zespołu i podwykonawców,
• opracowywanie prototypów
• założenie wykorzystania redundantnego sprzętu
– Akceptacja – wykorzystywana w przypadku, gdy nie ma możliwości
uniknięcia zagrożenia. Ogranicza się do dokumentowania wystąpienia
zjawisk nieporządanych
Śledzenie
• Śledzenie ryzyka polega na monitorowaniu stanu
rozpoznanego ryzyka i działań podjętych w celu
jego wyeliminowania lub zminimalizowania
• Kontrola ryzyka jest procesem nieustannego
sprawdzania i korygowania odstępstw od planów
i korygowania odstępstw od planu
• W niektórych przypadkach powołuje się osobe
odpowiedzialną za stałe monitorowanie projektu
pod kątem wystąpienia zagrożeń
Risk Documentation Form
Trigger for Contingency Plan: The conditions under which the contingency plan will begin to be
implemented.
Contingency Plan: The actions that will be taken to deal with the situation if this risk factor
actually becomes a problem.
Current Status:
Owner:
Date to Complete:
Date Started:
Mitigation Approaches: List of approaches to control, avoid, minimize, or otherwise mitigate the
risk. Mitigation approaches may reduce the probability or the impact.
First Indicator: The earliest indicator or trigger condition that might indicate that the risk is
turning into a problem
Risk Exposure:
Impact:
Probability:
Description: “condition – consequence”
Report Date:
Classification:
Risk ID:
Copyright © 2007 by Karl E. Wiegers
5
Zarz
ą
dzanie zmianami
Metoda miniaturowych kamieni milowych
• Jest to metoda redukcji zagrożeń przez definiowanie dużej liczby
często występujących kamieni milowych
• Podwyższa wrażliwość na najdrobniejsze opóźnienia w realizacji
projektu
• Jest łatwa do zaplanowania i możliwa do wykorzystania w procesie
tworzenia systemu
• Zalecana do projektów trudnych w zarządzaniu np. opartym na
schemacie prototyowania
• Kamienie milowe mogą być ustanawiane w odstępach kilkudniowych
• Kamienie milowe mają charakter binarny – zrealizowane/nie
zrealizowane
Zarządzanie zmianami
• Zarządzanie zmianami to proces obejmujący składanie proozycji
odnośnie zmian w dowolnym aspekcie realiacji projektu
(harmonogram, koszty,…), ich analizy, akceptacji, wdrażania,
śledzenie
• CCB- Change Control Board
– Grupa reprezentująca wszystkich interesariuszy projektu
– Jest odpowiedzialna za ocenę i akceptację zmian w projekcie na
podstawie analizy kosztów, wagi, strat/korzyści
• CC - Configuration Control – narzędzia wspomagające:
– Kontrolę zmian kodu,
– Zmiany wymagań
– Wersjonowanie kodu
Zarządzanie zmianami
• Procesy zarządzania zmianami powinny być jasno
zdefiniowane i udostępnione wszystkim
zainteresowanym
• Opracowanie strategii zarządzania zmianami
powinno być opracowane w fazie przygotowania
projektu.
Zasady zarządzania ryzykiem 1/2
• Wspólna wizja produktu - Powodzenie projektu powinno być
wspólną troską wszystkich udziałowców projektu.
• Praca zespołowa - Bardzo ważnym aspektem pracy zespołowej jest
zaangażowanie przyszłego użytkownika systemu. Nikt tak jak on
nie zna przyszłego środowiska pracy systemu.
• Myślenie przyszłościowe - Zarządzanie ryzykiem koncentruje się na
wczesnym wykryciu możliwego ryzyka i działaniach
prewencyjnych, nie zaś na usuwaniu skutków powstałych
problemów.
Zasady zarządzania ryzykiem 1/2
• Komunikacja - Wymiana informacji między wszystkimi poziomami
powinna być swobodna. Dotyczy to zarówno informacji o
rozpoznanym ryzyku jak i przyjętej strategii jego minimalizacji.
Każdy musi być odpowiedzialny za informowanie o wszystkim, co
może zakłócić realizację projektu. Rolą kierownika projektu jest
stworzenie struktury komunikacyjnej.
• Zintegrowane zarządzanie - Zarządzanie ryzykiem jest częścią
zarządzania projektem, dlatego musi być traktowane integralnie z
innymi działaniami wspierającymi. Znalezienie wszelkich
możliwych źródeł ryzyka i skuteczna minimalizacja jego skutków
powinna stanowić jeden z podcelów projektu.
• Ciągłość procesów - Na każdym etapie projektu ryzyko musi być na
nowo rozpoznane i oszacowane. Dobrą praktyką jest wpisanie do
harmonogramu projektu częstego przeglądu ryzyka projektu.