1

Zarządzanie Projektem

Teleinformatycznym

Zarządzanie ryzykiem

dr inż. Konrad Jackowski

e-mail:

konrad.jackowski@pwr.wroc.pl

C3 111

Plan wykładu

• Zarządzanie ryzykiem wg. PMI

• Ryzyko w projekcie

• Analiza i zarządzanie ryzykiem

• Zarządzanie zmianami

Ryzyko

• Ryzyko to możliwość, prawdopodobieństwo, że coś się nie uda;

przedsięwzięcie, którego wynik jest niepewny, nieznany.

• Ryzykiem określa się wszystkie zdarzenia, sytuacje stany, które wpływają

negatywne na realizację projektu i w rezultacie mogą wpłynąć na realizację

celów projektu (harmonogram, koszty, jakość)

• Istnienie zagrożeń w projekcie wynika w prosty sposób z niepewności

obecnej we wszystkich projektach jako działaniach innowacyjnych i

nowatorskich (co w szczególności dotyczy projektów informatycznych)

• Rozpoznanie zagrożeń pozwala na zaplanowanie reakcji na nie.

• Rozpoznane zagrożenie, może być traktowane jako zwyczajny problem.

• Zarządzanie ryzykiem jest przede wszystkim uświadomieniem sobie, że

ryzyko jest zawsze obecne. Jest także umiejętnością znajdowania

kompromisu między możliwymi negatywnymi konsekwencjami, które niesie

ryzyko, a potencjalnymi korzyściami, które daje nam szansa.

Zarządzanie ryzykiem wg PMI

• PMI definiuje następujące procesy związane z ryzykiem

– Planowanie strategii zarządzania ryzykiem,

– Identyfikację,

– Analizę,

– Planowanie działań zapobiegawczych,

– Monitorowanie i kontrolę projektu

• Do głównych celów zarządzania ryzykiem należą:

– Zwiększenie prawdopodobieństwa wystąpienia zdarzeń pozytywnych i

zwiększenie ich wpływu na projekt

– Zmniejszenie prawdopodobieństwa pojawienia się zdarzeń negatywnych

i ich wpływu na realizację projektu

Zarządzanie ryzykiem wg PMI

Procesy zarządzania ryzykiem

• Planowanie zarządzania ryzykiem – to procesy definiowania zasad

analizy potencjalnych zagrożeń oraz procedur ich monitorowania projektu
pod kątem możliwości ich wystąpienia oraz procedur reakcji w przypadku
ich wystąpienia

• Identyfikacja ryzyka – sporządzenie listy potencjalnych zagrożeń w

ustandaryzowanej formie

• Analiza jakościowa zagrożeń – określenie priorytetów (wagi)

poszczególnych zagrożeń

Zarządzanie ryzykiem wg PMI

• Analiza ilościowa ryzyka – analiza której wynikiem jest numeryczne

oszacowanie wpływu zidentyfikowanego zagrożenia na realizacje projektu i
jego poszczególnych celów

• Planowanie reakcji na zagrożenia – zdefiniowanie zasad postępowania

mających na celu maksymalne ograniczenie możliwości wystąpienia
zagrożeń oraz minimalizacji ich wpływu na realizację projektu

• Monitorowanie i kontrola ryzyka – procesy obejmujące opracowanie

szczegółowego planu śledzenia projektu pod kątem możliwości pojawienia
się zagrożeń, identyfikacji nowych zagrożeń, oraz ocena efektywności
zaproponowanych procedur

2

Typy zagrożeń

Ze względu na źródło powstawania zagrożeń ryzyko dzielimy na:

•

Zagrożenia harmonogramu

–

Błędny WBS

–

Zbyt optymistyczne oszacowanie zapotrzebowania na zasoby

–

Zbyt optymistyczne oszacowanie nakładu pracy

Efekty

–

Wydłużenie terminów realizacji projektu/faz/zadań

•

Zagrożenia budżetu/kosztów

–

Niedoszacowanie niezbędnych inwestycji (np.: zakup licencji)

–

Niedoszacowanie kosztów wynagrodzeń

Efekty

–

Konieczność dodatkowych inwestycji

–

Zwiększenie kosztów obsługi

–

Zwiększenie wynagrodzeń (rozrost puli zespołu)

Typy zagrożeń

•

Zagrożenia zakresu/wymagań

–

Niepoprawność definicji wymagań

–

Niekompletność wymagań

–

Niejasność lub niespójność wymagań

Efekty

–

Zmiany w zakresie projektu

•

Zagrożenia związane z jakością

–

Błędne założenia odnośnie jakości

–

Błędne oszacowanie pracochłonności niezbędnej do społnienia wymogów

•

Zagrożenia związane z prowadzeniem projektu

–

Nieporozumienia wynikające z błędnej komunikacji

–

Brak kontroli stanu realizacji prac

–

Zagrożenia wynikające z pojawiającymi się konfiltami

Identyfikacja

• Ryzyko występujące w projekcie może należeć do jednej z trzech

klas: znane, nieznane lub niepoznawalne.

• Zarządzanie ryzykiem zajmuje się dwiema pierwszymi kategoriami.

• Identyfikacja ryzyka jest wynikiem analizy następujących źródeł:

– Zakres produktu i projektu
– Struktura organizacyjna projektu
– Harmonogram prac
– Oszacowanie zasobów i innych parametrów projektu,
– Struktura finansowania projektu,
– Klient, kooperanci, dostępne zasoby,
– Inne czynniki wewnętrzne i zewnętrzne,
– Informacja z realizacji poprzednich projektów,
– Doświadczenie i wiedza członków zespołu projektowego.

Planowanie zarządzania ryzykiem

• Planowanie zarządzania ryzykiem – to procesy definiowania zasad analizy

potencjalnych zagrożeń oraz procedur ich monitorowania projektu pod
kątem możliwości ich wystąpienia oraz procedur reakcji w przypadku ich
wystąpienia

• Poprawna organizacja zadań związanych z zarządzaniem ryzykiem jest

podstawą poprawnego przeprowadzenia pozostałych procesów związanych z
zarządzaniem ryzykiem: identyfikacja, analiza, monitorowanie,…

• Obejmuje:

–

zaplanowanie spotkań grup roboczych

–

definicję technik, które mają zostać wykorzystane w kolejnych procesach

–

określenie ról i odpowiedzialności

–

Oszacowanie budżetu oraz czasu niezbędnego do przeprowadzenia pozostałych
procesów

–

Zdefiniowanie definicji-kategorii zagrożeń (RBS - Risk Breakdown Structure)

–

Zdefiniowanie słowników parametrów opisujących zagrożenia
(prawdopodobieństwa, wpływ itp.)

–

Zdefiniowanie zasad raportowania i formatu dokumentów

Identyfikacja - narzędzia

•

Zalecane jest aby w procesach identyfikacji ryzyka zaangażowani zostali wszyscy
członkowie zespołu (różne doświadczenia, ogląd sytuacji z różnych stron, itp.)

•

W niektórych organizacjach projektowych powoływane są specjalne Zespoły
Zarządzania Ryzykiem

•

Proces identyfikacji ryzyka jest działaniem cyklicznym.

–

Po raz pierwszy realizowany w fazie opracowania projektu

–

Kolejne wywołanie procesu zależy od specyfiki projektu i ma na celu
identyfikację nowych zagrożeń.

•

Narzędzia zbierania informacji o zagrożeniach

–

Burza mózgów

–

Metoda Delficka – metoda konsensusu ekspertów bazująca na analizie i dyskusji
opracowanych przez ekspertów formularzy ankiet

–

Wywiady z udziałowcami

–

Kwestionariusze kontrolne

–

Audyty produktu i procesów projektu

Identyfikacja - narzędzia

• Identyfikacyjna lista kontrolna – opracowana na podstawie danych

historycznych i doświadczeń z realizacji poprzednich projektów.

– Ważne jest aby po ukończeniu projektu zaktualizować listę kontrolną

ryzyka

• Analiza założeń – analiza czy wszystkie poczynione w projekcie założenia,

hipotezy, scenariusze są zasadne i adekwatne dla aktualnie realizowanego

projektu

• Metody oparte na diagramach np.: diagramy przyczynowo skutkowe

(diagramy Ishikawy) wykorzystywane do identyfikacji źródeł zagrożeń

• Analiza SWOT (strengths, weaknesses, opportunities, threats) – analiza

mocny i słabych stron organizacji w której realizowany jest projekt np jej

struktury organizacyjnej, szans i zagrożeń w realizacji projektu w

kontekście analizy organizacyjnej

• Metoda ekspercka – bazująca na wiedzy i doświadczeniu

3

Identyfikacja - wynik

• Produktami identyfikacji ryzyka są

– Lista zidentyfikowanych zagrożeń - lista zawierająca możliwie

dokładny opis zagrożeń wraz z informacjami o tym jak mogą one

wpłynąć na realizację projektu

– Lista potencjalnych reakcji na pojawiające się zagrożenia (tu

jest elementem opcjonalnym. Plan możliwych reakcji jest

opracowywany w oddzielnym procesie)

Analiza jakościowa ryzyka

• Analiza jakościowa zagrożeń – określenie priorytetów (wagi)

poszczególnych zagrożeń w celu sporządzenia planu szczegółowej analizy.

• Ustalenie priorytetów ma na celu skoncentrowaniu się na najistotniejszych

zagrożeniach czyli takich, które mają istotny wpływ na projekt

• Analiza ta opiera się więc na określeniu prawdopodobieństwa wystąpienia

zagrożenia oraz siły wpływu na realizację projektu

• Istotność zagrożenia jest wynikową powyższych parametrów np.:

– Istotność = (Prawdopodobieństwo) x (Wpływ)

• Zazwyczaj wartości tych parametrów są dyskretne i często reprezentowane

słowami reprezentującymi ich poziom np.:

–

prawdopodobieństwo: bardzo małe, okazjonalnie, czasami często, bardzo często

–

Wpływ: brak, znikomy, średni, zasadniczy, bardzo duży

• Zdefiniowanie i standaryzacja zasad określania wartości parametrów

pozwala na obiektywizację ocen

Macierz ryzyka

Przykładowe poziomy ryzyka

•

A – akceptowalne

–

nie ma potrzeby dokonywania dalszej

analizy ani podejmowania szczególnych

akcji zapobiegawczych

•

R – Możliwe do zaakceptowania

–

Może być zaakceptowane ale niezbędna

jest dalsza dogłębna analiza w celu

opracowania zaleceń i planu reakcji

•

U – niepożądane

–

Możliwe do przyjęcia tylko i wyłącznie w

przypadku, gdy wdrożenie zadań

zapobiegawczych jest zbyt kosztowne

•

I - Nieakceptowane

–

Konieczne jest podjęcie zadań
zapobiegawczych

Analiza jakościowa ryzyka

• Produkt jakościowej analizy ryzyka

– Zaktualizowany rejestr zagrożeń z wyznaczonymi priorytetami

– Lista pogrupowanych wg zdefiniowanych kategorii zagrożeń

– Lista zagrożeń wymagających reakcji w najbliższym czasie

Analiza ilościowa ryzyka

• Analiza ilościowa ryzyka ma na celu wyliczenie wpływu jaki poszczególne

zagrożenia mogą mieć na czas lub koszty realizacji projektu w przypadku ich
wystąpienia

• Nie zawsze tak szczegółowa wiedza jest wymagana i potrzebna do

opracowania plany zapobiegania zagrożeniom

• W zależności od dostępności informacji oraz poziomu szczegółowości

opracowanego plany stosuje się różne techniki szacowania

• Techniki

–

Wywiady oraz wykorzystanie wiedzy
historycznej w celu oszacowania
numerycznego wpływu zagrożeń
na koszty i czas realizacji projektu

Analiza ilościowa ryzyka

• Techniki

–

EMV - Expected monetary value analysis – analiza statystyczna szacująca wartość
oczekiwaną kosztów w kontekście zdefiniowanych scenariuszy wystąpień
poszczególnych zagrożeń

4

Analiza ilościowa ryzyka

• Techniki

–

Modelowanie i symulacja – metoda iteracyjnego obliczania kosztów realizacji
projektu z losowo generowanymi kosztami zgodnie z zadanymi parametrami
prawdopodobieństwa. Wynik końcowy bazuje na estymatorach wyznaczonych na
podstawie symulacji.

Specyfikacja

• Wynik analizy ryzyka przeważnie umieszczane są w formularzu

ryzyka zawierającym

– Nazwę ryzyka,

– Prawdopodobieństwo jego pojawienia się,

– Wagę ryzyka

– Symptomy ryzyka

– Opis ryzyka

– Wpływ na poszczególne parametry projektu

– Sugerowane strategie minimalizacji ryzyka.

Planowanie reakcji na zagrożenia

• Planowanie reakcji na zagrożenia – zdefiniowanie zasad postępowania

mających na celu maksymalne ograniczenie możliwości wystąpienia
zagrożeń oraz minimalizacji ich wpływu na realizację projektu

• Techniki

– Unikanie ryzyka – modyfikacja planu tak aby całkowicie wyeliminować

zagrożenia np. poprzez wydłużenie czasów realizacji, zmianę zakresu
projektu, zmianę strategii realizacji, rezygnacja z projektu(!!!)

– Transfer – przesunięcie skutków wystąpienia zagrożenia na

podwykonawców - przesunięcie odpowiedzialności. Działanie takie
powinno pociągnąć za sobą zaplanowanie dodatkowej premii za
realizację zadań obarczonych ryzykiem oraz wybranych dodatkowych
opcji jak np.: ubezpieczenie, gwarancje, itp..

Planowanie reakcji na zagrożenia

• Techniki

– Ograniczenie prawdopodobieństwa i wpływu bazujące na założeniu, że

tańsze jest zapobieganie niż reakcja. Możliwe są następujące działania:

• definiowanie mniej skomplikowanych zadań,

• zaplanowanie dodatkowych szczegółowych testów,

• wybór bardziej wykwalifikowanego zespołu i podwykonawców,

• opracowywanie prototypów

• założenie wykorzystania redundantnego sprzętu

– Akceptacja – wykorzystywana w przypadku, gdy nie ma możliwości

uniknięcia zagrożenia. Ogranicza się do dokumentowania wystąpienia
zjawisk nieporządanych

Śledzenie

• Śledzenie ryzyka polega na monitorowaniu stanu

rozpoznanego ryzyka i działań podjętych w celu
jego wyeliminowania lub zminimalizowania

• Kontrola ryzyka jest procesem nieustannego

sprawdzania i korygowania odstępstw od planów
i korygowania odstępstw od planu

• W niektórych przypadkach powołuje się osobe

odpowiedzialną za stałe monitorowanie projektu
pod kątem wystąpienia zagrożeń

Risk Documentation Form

Trigger for Contingency Plan: The conditions under which the contingency plan will begin to be

implemented.

Contingency Plan: The actions that will be taken to deal with the situation if this risk factor

actually becomes a problem.

Current Status:

Owner:

Date to Complete:

Date Started:

Mitigation Approaches: List of approaches to control, avoid, minimize, or otherwise mitigate the

risk. Mitigation approaches may reduce the probability or the impact.

First Indicator: The earliest indicator or trigger condition that might indicate that the risk is

turning into a problem

Risk Exposure:

Impact:

Probability:

Description: “condition – consequence”

Report Date:

Classification:

Risk ID:

Copyright © 2007 by Karl E. Wiegers

5

Zarz

ą

dzanie zmianami

Metoda miniaturowych kamieni milowych

• Jest to metoda redukcji zagrożeń przez definiowanie dużej liczby

często występujących kamieni milowych

• Podwyższa wrażliwość na najdrobniejsze opóźnienia w realizacji

projektu

• Jest łatwa do zaplanowania i możliwa do wykorzystania w procesie

tworzenia systemu

• Zalecana do projektów trudnych w zarządzaniu np. opartym na

schemacie prototyowania

• Kamienie milowe mogą być ustanawiane w odstępach kilkudniowych

• Kamienie milowe mają charakter binarny – zrealizowane/nie

zrealizowane

Zarządzanie zmianami

• Zarządzanie zmianami to proces obejmujący składanie proozycji

odnośnie zmian w dowolnym aspekcie realiacji projektu
(harmonogram, koszty,…), ich analizy, akceptacji, wdrażania,
śledzenie

• CCB- Change Control Board

– Grupa reprezentująca wszystkich interesariuszy projektu
– Jest odpowiedzialna za ocenę i akceptację zmian w projekcie na

podstawie analizy kosztów, wagi, strat/korzyści

• CC - Configuration Control – narzędzia wspomagające:

– Kontrolę zmian kodu,
– Zmiany wymagań
– Wersjonowanie kodu

Zarządzanie zmianami

• Procesy zarządzania zmianami powinny być jasno

zdefiniowane i udostępnione wszystkim
zainteresowanym

• Opracowanie strategii zarządzania zmianami

powinno być opracowane w fazie przygotowania
projektu.

Zasady zarządzania ryzykiem 1/2

• Wspólna wizja produktu - Powodzenie projektu powinno być

wspólną troską wszystkich udziałowców projektu.

• Praca zespołowa - Bardzo ważnym aspektem pracy zespołowej jest

zaangażowanie przyszłego użytkownika systemu. Nikt tak jak on
nie zna przyszłego środowiska pracy systemu.

• Myślenie przyszłościowe - Zarządzanie ryzykiem koncentruje się na

wczesnym wykryciu możliwego ryzyka i działaniach
prewencyjnych, nie zaś na usuwaniu skutków powstałych
problemów.

Zasady zarządzania ryzykiem 1/2

• Komunikacja - Wymiana informacji między wszystkimi poziomami

powinna być swobodna. Dotyczy to zarówno informacji o

rozpoznanym ryzyku jak i przyjętej strategii jego minimalizacji.

Każdy musi być odpowiedzialny za informowanie o wszystkim, co

może zakłócić realizację projektu. Rolą kierownika projektu jest

stworzenie struktury komunikacyjnej.

• Zintegrowane zarządzanie - Zarządzanie ryzykiem jest częścią

zarządzania projektem, dlatego musi być traktowane integralnie z

innymi działaniami wspierającymi. Znalezienie wszelkich

możliwych źródeł ryzyka i skuteczna minimalizacja jego skutków

powinna stanowić jeden z podcelów projektu.

• Ciągłość procesów - Na każdym etapie projektu ryzyko musi być na

nowo rozpoznane i oszacowane. Dobrą praktyką jest wpisanie do

harmonogramu projektu częstego przeglądu ryzyka projektu.