Analiza ryzyka.

POLITECHNIKA KOSZALIŃSKA
WYDZIAŁ ELEKTRONIKI
Analiza ryzyka.
Daniel Chrzanowski
KOSZALIN 2009
Opis
Zarządzanie ryzykiem w projekcie to zarządzanie polegające na monitorowaniu i obniŜaniu
ryzyka do poziomu akceptowalnego przez menedŜera projektu.
Według metodyki PMBOK zarządzanie ryzykiem składa się z następujących procesów głównych:
1. Planowanie zarządzania ryzykiem
2. Identyfikacja ryzyka
3. Jakościowa analiza ryzyka
4. Ilościowa analiza ryzyka
5. Planowanie reakcji na ryzyko
6. Monitorowanie i kontrolowanie ryzyka
Planowanie zarządzania ryzykiem Jest to zbiór czynności, które mają na celu z jednej strony
skłonienie menedŜera projektu do przygotowania i zorganizowania procesu zarządzania ryzykiem, z
drugiej zaś mają one doprowadzić do powstania infrastruktury organizacyjnej, której zadaniem
będzie podjęcie działań zmierzających do: izolowania i zmniejszenia ryzyka, eliminowania ryzyka
(jeśli jest to moŜliwe i uzasadnione), przy-gotowania alternatywnych sposobów działania oraz
określenia rezerw czasowych i pienięŜnych w celu zabezpieczenia przed zagroŜeniami mogącymi
pojawić się podczas planowania i wykonywania prac projektowych. Materiałami wejściowymi do
planowania procesu zarządzania ryzykiem są: karta projektu, polityka organizacji w zakresie
zarządzania ryzykiem, ewidencja ról i obowiązków pracowników, wytyczne dotyczące tolerancji
interesariuszy (udziałowców projektu) wobec moŜliwych ryzyk, szablony planu zarządzania
ryzykiem w firmie (jeŜeli takie istnieją) oraz struktura podziału pracy. Materiały te powinny być
wykorzystane podczas spotkań, których celem będzie stworzenie planu zarządzania ryzykiem. Plan
taki powinien zawierać:
•
metodykę określającą sposoby, narzędzia i źródła danych, które naleŜy wykorzystać w
zarządzaniu ryzykiem,
•
opis ról i obowiązków poszczególnych zespołów roboczych jak i indywidualnych
pracowników organizacji względem procesu zarządzania ryzykiem,
•
całkowity budŜet projektu oraz kwotę przeznaczoną na proces zarządzania ryzykiem,
•
listę terminów określających wszystkie działania związane z procesem zarządzania
ryzykiem na wszystkich etapach projektu,
•
system oceny i interpretacji zdarzeń mogących wywołać niepoŜądany przebieg projektu,
•
progi akceptacji, czyli kryteria określające, kiedy powinny zostać podjęte działania będące
odpowiedzią na zaistniałe ryzyko,
•
sposoby tworzenia dokumentacji procesu zarządzania ryzykiem oraz
•
charakterystykę procesu śledzenia ryzyka w czasie realizacji projektu.
Identyfikacja ryzyka Są to działania, których celem jest wykrycie źródeł ryzyka, a następnie ich
usystematyzowanie według przyjętych kategorii. Identyfikacja ryzyka w metodyce PMBoK jest
procesem iteracyjnym, wykonuje się ją wielokrotnie zarówno podczas planowania, jak i w trakcie
realizacji projektu. Materiałami wejściowymi do identyfikacji ryzyka są:
•
plan zarządzania ryzykiem będący efektem poprzedniego etapu,
•
rezultaty procesów planowania projektu, do których naleŜą: karta projektu, struktura
podziału pracy, opis wytwarzanego produktu, harmonogram i szacunki kosztów, plany
uŜycia zasobów, plany zamówień, listy zagroŜeń i ograniczeń,
•
zdefiniowane kategorie ryzyka. Są to nazwy grup, do jakich będzie moŜna zakwalifikować
wszystkie niekorzystne zdarzenia mogące pojawić się podczas planowania i realizacji
przedsięwzięcia. Wprowadzenie kategorii (niekiedy nazywanych profilami) umoŜliwia
systematyzację wszystkich ryzyk projektowych. WaŜne jest, by przyjęte kategorie były
prawidłowo dobrane w zaleŜności od specyfiki projektu i tym samym odpowiadały
typowym źródłom ryzyka dla danej branŜy lub obszaru wykorzystania wytwarzanego
produktu. Do często wyróŜnianych kategorii ryzyka naleŜą: ryzyko techniczne, ryzyko
związane z zarządzaniem projektami ryzyko organizacyjne oraz ryzyko zewnętrzne,
•
dane historyczne dotyczące wcześniejszych realizacji projektów.
Proces identyfikacji ryzyka w metodyce PMBoK moŜe być wspierany wieloma narzędziami i
technikami. Wydaje się to oczywiste, gdyŜ przewidzenie, jakie zdarzenia mogą istotnie wpłynąć na
niezrealizowanie planowanych zadań projektowych jest czynnością trudną i nie zawsze w pełni
moŜliwą do wykonania. Do najwaŜniejszych technik naleŜą:
•
przegląd dokumentacji. Jest to zwyczajowo pierwszy krok w procesie identyfikacji ryzyka.
Zespół zajmujący się zarządzaniem analizuje plany i załoŜenia projektu doszukując się
potencjalnych zagroŜeń,
•
techniki gromadzenia informacji o źródłach zagroŜeń, do których zalicza się: burzę
mózgów, technikę delficką, ankiety oraz analizę mocnych stron, słabych stron, szans i
zagroŜeń (SWOT),
•
listy kontrolne. NaleŜą do narzędzi tworzonych na podstawie danych historycznych oraz
wiedzy gromadzonej w podczas realizacji podobnych projektów w przeszłości. Są to proste i
skuteczne narzędzia identyfikacji ryzyka. Główną wadą ich jest to, Ŝe nie moŜna stworzyć
ewidencji wszystkich potencjalnych zagroŜeń projektowych,
•
analiza załoŜeń projektowych - ma na celu identyfikację ryzyka wynikającą z
niedokładności, niespójności lub niekompletności załoŜeń,
•
techniki oparte na diagramach. UmoŜliwiają łatwą identyfikację symptomów ryzyka oraz
przejrzyste ułoŜenie schematów przyczynowo skutkowych. Do popularnych technik
diagramowych naleŜą: diagramy przyczynowo-skutkowe (np. diagramy Ishikawy, rybich
ości), schematy blokowe systemu, diagramy wpływu.
W wyniku uŜycia jednej bądź wielu powyŜszych technik zespół zarządzający ryzykiem otrzymuje:
listę zidentyfikowanych źródeł ryzyka usystematyzowaną według określonych kategorii oraz spis
czynności wyzwalających (symptomów, sygnałów ostrzegawczych) wskazujących, Ŝe wkrótce
moŜe dojść lub Ŝe juŜ doszło do wystąpienia niekorzystnego zdarzenia.
Analiza jakościowa ryzyka Głównym zadaniem tej fazy procesu zarządzania ryzykiem jest
oszacowanie wielkości prawdopodobieństwa i skutków zaistnienia zidentyfikowanych uprzednio
ryzyk. Na tym etapie wykonuje się hierarchizację zidentyfikowanych niebezpieczeństw według ich
potencjalnego wpływu na proces realizacji przedsięwzięcia. Uzyskane wyniki będą stanowiły
podstawę do dalszego planowania reakcji na niekorzystne zjawiska. Jakościowa analiza ryzyka
wymaga zastosowania odpowiednich narzędzi. Autorzy metodyki zalecają, by uŜyć na tym etapie
technik macierzowych. Wielokrotne zastosowanie podczas realizacji przedsięwzięcia tych prostych
narzędzi umoŜliwia zaobserwowanie trendów, które mogą stanowić podstawę do podjęcia
uzasadnionych decyzji o intensyfikacji lub ograniczeniu działań związanych z zarządzaniem
ryzykiem. Materiałami wyjściowymi do jakościowej analizy ryzyka są: plan zarządzania ryzykiem,
lista zidentyfikowanych ryzyk wraz z podziałem ich na kategorie, raport o stanie zaawansowania
projektu, charakterystyka typu projektu (informacja o tym na ile realizowany projekt jest
nowatorski a w czym jest podobny do wykonanych juŜ przedsięwzięć), charakterystyka
dokładności danych, na podstawie których dokonano identyfikacji i opisu ryzyka (dane te powinny
być ocenione pod kątem ich wiarygodności i dostępności), zestaw przyjętych w firmie skal
prawdopodobieństwa i mierników skutków wystąpień zagroŜeń oraz listę załoŜeń które zostały
przyjęte w procesie identyfikacji i oceny źródeł ryzyka. Podstawowe narzędzia i techniki uŜywane
do jakościowej analizy ryzyka to: lista prawdopodobieństw i skutków ryzyka (korzysta się tu ze
skal opisowych np. bardzo wysokie, umiarkowane, niskie i bardzo niskie), macierze ocen
prawdopodobieństwa i skutków wystąpienia ryzyka (stosuje się w nich w zaleŜności od potrzeb
skale liniowe lub logarytmiczne), badanie złoŜoności projektu (ocenia się stabilność załoŜeń
projektowych oraz ewentualne skutki wpływu błędów popełnionych przy ich formułowaniu),
ranking dokładności danych (bada się dokładność i obiektywność danych wykorzystanych przy
planowaniu projektu). Rezultatem jakościowej analizy ryzyka jest: ogólny ranking projektu pod
kątem ryzyka (pozwalający na porównanie poziomu ryzyka z ryzykami występującymi w innych
projektach), lista hierarchii ryzyka (umoŜliwiająca wyszczególnienie źródeł ryzyka o bardzo duŜym
potencjalnie negatywnym wpływie na projekt, czy teŜ prawdopodobnie nieistotnych dla projektu),
trendy wynikające z rezultatów jakościowej analizy ryzyka przeprowadzonej wielokrotnie podczas
realizacji projektu.
Ilościowa analiza ryzyka Proces ten ma na celu określenie wymiernych wartości wielkości
prawdopodobieństwa oraz skutków wystąpienia zdarzeń niekorzystnych zarówno dla
poszczególnych czynności projektu, jak i dla całego przedsięwzięcia. Pomiar taki pozwala ustalić w
wielkościach wymiernych szansę osiągnięcia celów projektu, określić poziomy niezbędnych
rezerw, przeprowadzić szczegółową analizę typu, „co-jeśli”. Ilościowa analiza ryzyka często jest
poprzedzana badaniami jakościowymi. Materiałami wejściowymi do ilościowej analizy ryzyka są:
plan zarządzania ryzykiem, lista zidentyfikowanych ryzyk, lista hierarchii ryzyk, lista ryzyk do
dalszej analizy, dane historyczne, opinie ekspertów oraz rezultaty innych procesów planowania w
danym projekcie. Narzędzia wykorzystywane do analizy ilościowej róŜnią się miedzy sobą ze
względu na stopień skomplikowania. Do najczęściej uŜywanych naleŜą: ankiety (przeprowadza się
je wśród interesariuszy projektu i ekspertów w celu wyznaczenia wielkości prawdopodobieństwa i
skutków wystąpienia ryzyka), analiza wraŜliwości (pozwala na wyznaczenie, które ryzyka mają
potencjalnie największy wpływ na przebieg planowanego projektu), analiza drzew decyzyjnych
(ustala diagram następstw wraz z określonym ich prawdopodobieństwem i kosztami, zawiera kaŜdą
z moŜliwych logicznych ścieŜek zdarzeń mogących pojawić się w trakcie realizacji projektu) oraz
symulacje (najczęściej wykorzystuje się metodę Monte Carlo po to, by określić
prawdopodobieństwo osiągnięcia określonego celu projektu i dokonać ilościowego pomiaru
wpływu potencjalnych niekorzystnych zdarzeń na projekt, co ma pozwolić na ustalenie wielkości
kosztowych i harmonogramowych rezerw, które mogą okazać się niezbędne w trakcie realizacji
przedsięwzięcia). Efektem przeprowadzenia analizy ilościowej ryzyka dla danego projektu są: lista
zmierzonych ilościowo ryzyk uszeregowanych według priorytetów, analiza probabilistyczna
projektu (zawiera prognozy dotyczące kosztów i czasów realizacji zadań), wielkości
prawdopodobieństwa osiągnięcia celów kosztowych i czasowych, trendy charakteryzujące wyniki
ilościowej analizy ryzyka (dane te są uzyskiwane na podstawie kilkukrotnego przeprowadzenia
analizy ilościowej).
Planowanie reakcji na ryzyko Jest to proces opracowywania wariantów postępowania
dotyczących czynności zmniejszających zagroŜenia i zwiększających potencjalne korzyści dla
sformułowanych celów projektowych. Plan reakcji na ryzyko to kluczowy etap procesu zarządzania
ryzykiem, gdyŜ opracowuje się w nim metody reagowania na zdarzenia korzystne i niekorzystne.
Skuteczność planowania reakcji na ryzyka zadań zagroŜonych ma bezpośredni wpływ na wzrost lub
spadek ryzyka realizacji całego projektu. Planowane reakcje muszą być proporcjonalne do skutków
wystąpienia niekorzystnych zjawisk, likwidować (lub niwelować) wpływy danego zagroŜenia w
sposób kosztowo efektywny oraz być realizowane terminowo. Materiałami wejściowymi do
planowania reakcji na ryzyko są: plan zarządzania ryzykiem, lista hierarchii ryzyk, ranking projektu
pod względem ryzyka, lista zmierzonych ilościowo ryzyk uszeregowanych według priorytetów,
analiza probabilistyczna projektu, prawdopodobieństwo osiągnięcia celów kosztowych i
czasowych, lista potencjalnych metod reakcji, progi ryzyka (są to wielkości akceptowalne ryzyka
przyjęte przez organizację), lista dysponentów ryzyka (zestawienie interesariuszy, którzy mają
moŜliwości reakcji na dane ryzyko), lista wspólnych ryzyk (ewidencja zjawisk niekorzystnych,
które mogą wywierać wielorakie skutki na proces realizacji projektu) oraz trendy będące wynikami
wielokrotnie przeprowadzonej jakościowej i ilościowej analizy ryzyka. W procesie planowania
reakcji na ryzyka powszechnie stosuje się kilka strategii. Do kaŜdego z ryzyk naleŜy tak dobrać
plan postępowania, by podjęte działania były jak najbardziej skuteczne. Do najbardziej popularnych
strategii zalicza się:
•
unikanie ryzyka - polega na takiej modyfikacji planów realizacji projektu, by zlikwidować
dane ryzyko (niestety nie moŜna w praktyce wyeliminować wszystkich zdarzeń, z którymi
wiąŜą się niebezpieczeństwa) albo korzystnie zmienić uwarunkowania z nim związane,
•
transfer ryzyka - to działanie polegające na przeniesieniu skutków wystąpienia ryzyka na
inny podmiot. Działanie to jest najskuteczniejsze w obszarze finansów, wiąŜe się ono
zazwyczaj z koniecznością wypłacenia premii podmiotowi przyjmującemu ryzyko (np.
ubezpieczenie na wypadek włamania do firmy),
•
łagodzenie ryzyka - to najpowszechniejsza ze wszystkich strategii reagowania na ryzyko.
Proces ten polega na podejmowaniu określonych działań prowadzących do zmniejszenia
prawdopodobieństwa lub skutków ryzyka,
•
akceptacja ryzyka - polega na przyjęciu i udźwignięciu wszelkich konsekwencji
wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Jest to świadoma
decyzja osób zarządzających ryzykiem, by nie wprowadzać Ŝadnych zmian w planie
projektu związanych z wystąpieniem danego niekorzystnego zjawiska. Istnieją dwa
podstawowe typy akceptacji ryzyka: aktywna i pasywna. Pasywna akceptacja polega na
przyjęciu ryzyka bez podejmowania jakichkolwiek działań w celu rozwiązania problemów
jakie się z nim wiąŜą. Natomiast aktywna akceptacja polega na pogodzeniu się z ryzykiem,
ale wymaga stworzenia specjalnego planu działania w razie wystąpienia niekorzystnego
zdarzenia, a w niektórych przypadkach tzw. planu odwrotu,
•
plan awaryjny - buduje się tylko dla zidentyfikowanych ryzyk, które mogą pojawić się w
trakcie realizacji projektu, wcześniejsze opracowanie planu awaryjnego moŜe w sposób
istotny obniŜyć koszty działań podejmowanych w reakcji na wystąpienie danego
niekorzystnego zjawiska.
Rezultatami procesu planowania reakcji na ryzyka są: plan reakcji na ryzyka, ewidencja ryzyk
rezydualnych (lista ryzyk, które jeszcze pozostają w projekcie po wdroŜeniu strategii unikania,
przenoszenia i łagodzenia ryzyka), ewidencja ryzyk wtórnych (są to ryzyka, które powstają w
wyniku wdroŜenia strategii reagowania na ryzyko), postanowienia kontraktowe (umowy wraz
zakresami odpowiedzialności, jakie przejmują na siebie inne podmioty współuczestniczące w
realizacji projektu), wielkości niezbędnych kwoty rezerw projektowych (są to tzw. bufory
finansowo-zasobowe zarezerwowane przez menedŜerów na wypadek wystąpienia sytuacji
niekorzystnych), materiały wyjściowe do innych procesów oraz materiały wejściowe do weryfikacji
całości planu projektu (rezultaty planowania reakcji na ryzyko powinny być uwzględnione w
ostatecznym planie projektu).
Monitorowanie i kontrola ryzyka Jest to proces wdroŜenia planu zarządzania ryzykiem,
nieustannej obserwacji i nadzorowaniu zidentyfikowanych ryzyk, identyfikacji nowo powstałych
zagroŜeń oraz systematycznego oceniania skuteczności podejmowanych działań prewencyjnych. To
właśnie monitorowanie i kontrola ryzyka dostarcza informacji niezbędnych do podejmowania
decyzji wyprzedzających pojawienie się niekorzystnych zdarzeń. Celem monitorowania ryzyka jest
ustalenie czy:
•
wdroŜono zgodnie z planem strategie reakcji na ryzyka,
•
działanie podejmowane w ramach realizacji planów reakcji na ryzyko skutkują
oczekiwanymi rezultatami,
•
przyjęte załoŜenia projektu są aktualne,
•
podczas realizacji projektu nie doszło do zmian w szczególnym i ogólnym poziomie ryzyka
(np. zgodnie z analizą trendów),
•
wystąpiły czynniki wyzwalające zidentyfikowane ryzyka,
•
wystąpiły nowe ryzyka nierozpoznane uprzednio.
Materiałami wejściowymi do procesu monitorowania i kontroli ryzyka są: plan zarządzania
ryzykiem, plan reakcji na ryzyko, raporty będące wynikiem komunikacji podczas planowania i
realizacji projektu, zestawienia dodatkowych wyników identyfikacji i analiz ryzyka (wykrycie
nowych źródeł ryzyka), ewidencje proponowanych lub juŜ wdroŜonych zmian zakresów projektu.
Do narzędzi i technik stosowanych do monitorowania oraz kontroli ryzyka są zaliczane: audyty
reakcji na ryzyko, okresowe przeglądy ryzyka w projekcie, analizy wartości wypracowanej,
zestawienia pomiarów technicznych (ewidencja planowanych i osiągniętych wyników podczas
przebiegu realizacji projektu) oraz opisy dodatkowo planowanych reakcji na ryzyko. W wyniku
wykonania procesu monitorowania i kontroli ryzyka powstają: plany improwizacyjne (ewidencja
reakcji na zagroŜenia wcześniej nie zidentyfikowane), listy działań korygujących, aktualizacje
planów reakcji na ryzyko, baza danych o ryzykach w danym projekcie (jest to bardzo cenne
repozytorium wiedzy, umoŜliwiające prawidłowe planowanie zarządzania ryzykiem w przyszłych
projektach) oraz uaktualnione listy kontrolne zidentyfikowanych ryzyk.
O charakterze kaŜdego rodzaju ryzyka decydują trzy podstawowe składniki: zdarzenie,
prawdopodobieństwo oraz straty/dotkliwość. Niskie prawdopodobieństwo oraz niezbyt dotkliwe
skutki oznaczają niskie ryzyko. Wysokie prawdopodobieństwo oraz bardzo dotkliwe skutki
oznaczają wysokie ryzyko. Wysokie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają
niskie ryzyko dla ostatecznego powodzenia projektu.
Przykład
ANALIZA RYZYKA
Cel dokumentu
Dokument powstał na potrzeby realizacji pracy dyplomowej „Aplikacja wspomagająca projektowanie
prądowych układów kombinacyjnych”.
Celem tego dokumentu jest oszacowanie ryzyka, identyfikacja zagroŜeń oraz rekomendowanie środków
ochrony w zaistniałej sytuacji.
Zastosowano czterostopniową skalę wartości, określającą stopień waŜności zasobu :
•niska (wartość liczbowa 1),
•średnia (2),
•wysoka (3),
•maksymalna (4).
WYKAZ INFORMACJI PRZECHOWYWANYCH W SYSTEMIE
Lp.
Zasób
Opis zasobów
Ryzyko następstwa utraty
1.
Kod źródłowy
programu
2.
Dokumentacja Dokumentacja techniczna tworzonej aplikacji
techniczna
przechowywana na twardym dysku stacji roboczej
programu
Poufność
Integralność
Dostępność
2
4
2
2
4
2
Kod źródłowy tworzonej aplikacji przechowywany na
twardym dysku stacji roboczej
WYKAZ POZOSTAŁYCH ZASOBÓW
Lp.
Zasób
Rodzaj zasobu
Opis zasobu
1.
Stacja robocza
Sprzęt
Stanowisko pracy programisty
2.
CD-ROM
Nośnik
Płyta CD zawierająca kopię kodu źródłowego
3.
Pamięć USB
Nośnik
Pamięć USB zawierająca kopię kodu źródłowego
4.
Programista
UŜytkownik
Osoba tworząca projektowaną aplikację
ZESTAWIENIE ZAGROśEŃ DLA BEZPIECZEŃSTWA INFORMACJI
Lp.
Zasób niosący
zagroŜenie
Zasób zagroŜony
ZagroŜenie
Opis zagroŜenia
Wpływ na utratę
Poufność
1.
Stacja robocza
Kod źródłowy,
dokumentacja
Awaria stacji
roboczej
Brak moŜliwości
przetwarzania kodu
źródłowego
2.
CD-ROM
Kod źródłowy,
dokumentacja
Zgubienie lub
kradzieŜ
nośnika
Nielegalne
wykorzystanie kodu
źródłowego i
dokumentacji
tak
3.
Pamięć USB
Kod źródłowy,
dokumentacja
Zgubienie lub
kradzieŜ
nośnika
Nielegalne
wykorzystanie kodu
źródłowego i
dokumentacji
tak
Integralność
tak
Dostępność
tak
WYKAZ ZABEZPIECZEŃ
Lp.
Zasób niosący
zagroŜenie / zasób
zagroŜony
ZagroŜenie
Zabezpieczenia
Ochrona przed utratą
Poufność
1.
Stacja robocza / kod
źródłowy i dokumentacja
Awaria stacji
roboczej
Regularne aktualizacje,
zastosowanie firewall'a,
zastosowanie skanera
antywirusowego, kontrola
podzespołów stacji roboczej
2.
CD-ROM / kod źródłowy i Zgubienie lub
dokumentacja
kradzieŜ nośnika
Kontrola dostępu do nośnika
tak
3.
Pamięć USB / kod
źródłowy i dokumentacja
Kontrola dostępu do nośnika
tak
Zgubienie lub
kradzieŜ nośnika
Integralność
tak
Dostępność
tak
RYZYKO UTRATY BEZPIECZEŃSTWA KODU ŹRÓDŁOWEGO
Rodzaj informacji: Kod źródłowy / dokumentacja
Lp.
1.
Utrata: poufności
ZagroŜenia
Zgubienie lub kradzieŜ nośnika
Straty
średnie
średnia
Rodzaj informacji: Kod źródłowy / dokumentacja
Lp.
1.
Straty
wysokie
1.
Podatność
Ryzyko
średnie
Utrata: dostępności
ZagroŜenia
Awaria stacji roboczej
średnia
niska
Rodzaj informacji: Kod źródłowy / dokumentacja
Lp.
Ryzyko
Utrata: integralności
ZagroŜenia
Awaria stacji roboczej
Podatność
Straty
wysokie
Podatność
niska
Ryzyko
średnie