analiza ryzyka

Jacek Kszczanowicz
Politechnika Koszalińska
02.02.2009r.
Nr indeksu: 14051
Analiza ryzyka
Niepowodzenie projektów informatycznych jest ich nieodłącznym atrybutem. To czy dany
projekt informatyczny zakończy się sukcesem mało kiedy jest pewne. Na każdym jego etapie
jest mnóstwo kluczowych elementów, o których nic albo bardzo mało o nich wiadomo.
Tymczasem głównym zagrożeniem dla projektu nie jest to co się wie, ale to czego się nie wie.
Braku wiedzy nie można wyeliminować, ale poprzez zarządzanie ryzykiem można ograniczyć
jej skutki.
Celem projektu informatycznego jest dostarczenie aplikacji (systemu), który zadowoli
zleceniodawcę (potencjach klientów) oferowanym zakresem rozwiązań w ramach
ograniczonego budżetu jakim dysponuje zespół projektowy. Czas realizacji projektu jest
ważnym czynnikiem decydującym o sukcesie. Można śmiało stwierdzić, że każdy projekt
informatyczny zakończy się powodzeniem pod warunkiem zapewnienia mu dostatecznie
długiego czasu realizacji. Dlatego pierwszym symptomem świadczący o zagrożeniu realizacji
przedsięwzięcia informatycznego jest przekraczanie terminów realizacji prac zgodnie z
przyjętym harmonogramem. Ryzyko niskiej jakości produktu oraz przekroczenia budżetu lub
harmonogramu jest wysokie. Potwierdza to liczba projektów wstrzymanych, opóźnionych lub
przepłaconych. Według statystyk przeciętny czas realizacji projektów informatycznych jest
przekroczony o ponad 200%, koszt jego realizacji o 189% a funkcjonalność zrealizowana w
61%. Skuteczne zarządzanie tymi zagrożeniami jest obecnie postrzegane jako jeden z
najistotniejszych obszarów w zarządzaniu przedsięwzięciami. Dotychczasowa praktyka
zarządzania ryzykiem jest przeważnie oparta na intuicji i osobistym doświadczeniu
kierowników projektów. Prowadzone w tym zakresie badania mają na celu dostarczenie
efektywnego wsparcia dla czynności zarządzania ryzykiem, a w szczególności umożliwienie
ponownego wykorzystania informacji o ryzyku z wcześniejszych projektów.
Zarządzanie ryzykiem jest procesem iteracyjnym. Proces ten oparty jest o pięć etapów:
•
identyfikacja ryzyk,
•
analiza ryzyk,
•
plany reakcji,
•
śledzenie ryzyk,
•
kontrola ryzyk.
strona 1 z 5
Jacek Kszczanowicz
Politechnika Koszalińska
02.02.2009r.
Dotychczasowe techniki identyfikacji ryzyka dzielono na:
•
identyfikacja ryzyka za pomocą list kontrolnych (zarówno kwestionariusze jak i listy
zagrożeń),
•
identyfikacja ryzyka oparta na pracy grupowej (np. sesje typu „burza mózgów”).
Wypełnianie list kontrolnych jest łatwe lecz odpowiadanie na liczne pytania, nie zawsze
odpowiadające potrzebnemu poziomu szczegółowości, powoduje szybkie zniechęcenie
wykonujących tą pracę ludzi. Jako zaletę takich list trzeba wskazać to, iż pomagają one
kontrolować zakres i zapobiegają przeoczeniu ważnych zagrożeń. Praca grupowa zespołu,
taka jak burza mózgów, pozwala na wykazanie się każdego z jej uczestników w
zaangażowanie nad pracą w identyfikację ryzyka, jednak w znacznie mniejszym stopniu
pozwala kontrolować zakres identyfikacji.
Obecnie proponowany jest do identyfikacji ryzyka sposób, który można podzielić na dwa
najistotniejsze etapy:
•
jawne modelowanie procesu wytwórczego dla kontroli zakresu identyfikacji,
•
użycie wzorców ryzyka do identyfikacji potencjalnych czynników ryzyka.
strona 2 z 5
Jacek Kszczanowicz
Politechnika Koszalińska
02.02.2009r.
Wczesna świadomość możliwych zagrożeń zna jakie może napotkać projekt, stanowi
podstawę skutecznego obniżania ryzyka. Z tego powodu identyfikacja ryzyka jest zawsze
pierwszym krokiem w procesie zarządzania ryzykiem. Każde rozpoznane ryzyko powinno
być właściwie udokumentowane. Informacja o ryzyku składa się z dwóch najważniejszych
elementów:
•
opis ryzyka – opis danego wydarzenia, które, gdy zaistnieje, negatywnie wpływa na
projekt,
•
kontekst ryzyka – opis usytuowania wydarzenia w ramach zadań, personelu i
produktów w projekcie.
Opis ryzyka powinien dostarczyć właściwego objaśnienia niechcianego zdarzenia lub stanu,
zaistniałego w procesie realizacji projektu. Kontekst ryzyka odnosi zaistniałe zdarzenie bądź
stan do konkretnych aktywności w strukturze zadaniowej projektu, czyli do przyjętego
harmonogramu. Kontekst wskazuje również personel odpowiedzialny za zadania, materiały
źródłowe i produkty tych zadań. Do ustanowienia kontekstu zagrożeń potrzebny jest model
projektu informatycznego, który definiuje aktywności, role i artefakty procesu wytwórczego
oraz ich wzajemne powiązania. Powstały meta-model procesu projektowego zapisuje się w
postaci diagramu klas w języku UML, może on być następnie użyty do reprezentacji różnych
modeli procesów projektowych. Każdy taki model jest źródłem dostarczającym kontekst do
opisu możliwych zagrożeń. Ich ocena może być następnie zrealizowana poprzez odwołanie
się do rzeczywistego projektu.
Zdarzenie, które wpływa destrukcyjnie na model procesu projektowego, może być
reprezentowane jako zaburzenie związku w modelu. Poprzez przejrzenie wszystkich
elementów i związków w meta-modelu możliwe jest zdefiniowanie kompletnego zbioru klas
zdarzeń stanowiących ryzyko. Teraz analizując związki przyczynowo-skutkowe pomiędzy
zdarzeniami klas można stosunkowo łatwo określić możliwe wzorce identyfikacji ryzyka. W
celu uwzględnienia wszystkich możliwych wzorców ryzyka, należy połączyć wzajemnie
wszystkie klasy zdarzeń, które zachodzą na schemacie przyczyna-skutek Następnie trzeba
usunąć te kombinacje, które nie mają sensu niezależnie od rzeczywistych elementów modelu
procesu projektowego. Podstawiając rzeczywiste elementy procesu do opracowanego wzorca
można ograniczyć otrzymaną listę tylko do zagrożeń, które są istotne w kontekście danego
modelu procesu.
strona 3 z 5
Jacek Kszczanowicz
Politechnika Koszalińska
02.02.2009r.
W ramach pracy zaliczeniowej z laboratorium przedmiotu „Zarządzanie projektami
informatycznymi” nie będę wykonywał identyfikacji i analizy zagrożeń za pomocą tak
złożonej metody ale skupię się na podstawowych elementach.
Poniżej przedstawiam zarządzanie ryzykiem przy realizacji mojej pracy dyplomowej.
Zgodnie z teorią proces ten składa się z 5 etapów: identyfikacji, analizy, planu reakcji,
śledzenia i kontroli. Na podstawie materiałów zaczerpniętych z dokumentu „Krajowy System
Zarządzania BPI, Narzędzia i techniki wspomagające, Zarządzanie Ryzykiem w
Przedsięwzięciu” przedstawiam moje zarządzanie ryzykiem w za pomocą tabel od numer 1
do 3.
W tabeli nr 1 umieściłem skalę prawdopodobieństw wystąpienia ryzyk.
Ocena jakościowa prawdopodobieństwa
wystąpienia ryzyka
Opis prawdopodobieństwa wystąpienia
ryzyka
Minimalne, praktycznie niemożliwe
Niewielkie, ale możliwe
Średnie
Wysokie
Bardzo wysokie
A
B
C
D
E
Tabela 1 Skala prawdopodobieństw wystąpienia ryzyk
Tabela nr 2 zawiera skalę skutków wystąpienia ryzyk dla analizy jakościowej ryzyka
przedsięwzięcia.
Wpływ wystąpienia ryzyka na:
Ocena
jakościowa
skutków
Przekroczenie
terminów na
napisanie pracy
magisterskiej
Niezaliczenie sesji
egzaminacyjnej
Nadmiar zleceń w
pracy zawodowej
I
Bardzo łagodne –
pomijalne
Niezauważalne lub
minimalne
przekroczenie
terminów
Wydłużenie czasu
możliwe do
zalokowania dzięki
wykorzystaniu
dostępnych
zapasów czasu
wydłużenia czasu
realizacji
niektórych prac
przesunięcie o 3 mc
Nieuniknione
Podejście do
egzaminów w
drugim terminie
Rzadkie
wydłużanie czasu
pracy
Podejście do
egzaminów w sesji
poprawkowej
Czasowe,
niewielkie
wydłużenie godzin
pracy
Podanie do
dziekana o
przedłużanie sesji
poprawkowej
Sezonowe
niewielkie
wydłużenie godzin
pracy
Problemy z
kompatybilnością
aplikacji i sprzętu
Wpis warunkowy
Sezonowe
Awaria urządzeń
II
Łagodne
akceptowalne
–
III
Umiarkowane
marginalne
–
IV
strona 4 z 5
Problemy ze
sprzętem
komputerowym i
aplikacją przy
budowaniu
systemu
informatycznego
Niewielkie
problemy z
funkcjonowaniem
aplikacji
Niewielkie
problemy z
funkcjonowaniem
aplikacji z sprzętu
Jacek Kszczanowicz
Dotkliwe
krytyczne
–
V
Bardzo dotkliwe katastrofalne
Politechnika Koszalińska
znaczne wydłużenie
czasu realizacji
niektórych działań
Przesunięcie
obrony na grudzień
Nieuniknione
znaczne wydłużenie
czasu realizacji
wszystkich działań,
zmiana tematu
pracy, powtarzanie
roku
Konieczność
powtarzania
semestru
02.02.2009r.
wydłużenie godzin i
zwiększenie dni
pracy
zewnętrznych
Stałe znaczące
wydłużenie godzin
pracy i zwiększenie
dni pracy, przejęcie
zadań od innych
pracowników
Awaria komputera i
utrata części
aplikacji
Tabela 2 Skala skutków wystąpienia ryzyk
Ocena jakościowa
prawdopodobieństwa
wystąpienia ryzyka
Ocena jakościowa skutków wystąpienia ryzyka
I
II
III
IV
V
A
1
2
4
8
10
B
3
4
8
13
14
C
5
6
12
16
18
D
7
8
16
20
22
E
9
10
21
24
25
Indeks ryzyka
Interpretacja
1-5
Zagrożenie do odnotowania; planowanie i realizację odpowiedzi
na ryzyko odroczyć do momentu podwyższenia indeksu ryzyka
przy ponownym przeglądzie zagrożeń dla przedsięwzięcia.
Monitorować ryzyko, zaplanować i zrealizować odpowiedź na
ryzyko w przypadku zaistnienia symptomów wystąpienia
określonego ryzyka.
Zagrożenie nieakceptowalne – zaplanować odpowiedź na
ryzyko; zaplanowane działania zapobiegawcze zrealizować w
momencie przystąpienia do realizacji określonych działań
operacyjnych.
Zagrożenie krytyczne – w przypadku niemożliwości odstąpienia od
realizacji, bezzwłocznie zaplanować i zrealizować odpowiedź na
ryzyko.
6-10
11-19
20-25
Tabela 3 Macierz oceny indeksu ryzyka
Obecnie stopnie ryzyka przy realizacji mojego projektu wyglądają następująco:
Ryzyko
Ocena
Przekroczenie terminów na napisanie pracy magisterskiej
II
Niezaliczenie sesji egzaminacyjnej
I
Nadmiar zleceń w pracy zawodowej
III
Problemy ze sprzętem komputerowym i aplikacją przy budowaniu systemu
informatycznego
strona 5 z 5
I