Streszczenie pracy doktorskiej Koncepcja metody identyfikacji i analizy ryzyka w projektach informatycznych

Transkrypt

1 Uniwersytet Szczeciński Wydział Nauk Ekonomicznych i Zarządzania mgr inż. Aleksandra Radomska-Zalas Streszczenie pracy doktorskiej Koncepcja metody identyfikacji i analizy ryzyka w projektach informatycznych Promotor prof. dr hab. Zdzisław Szyjewski Szczecin 2014 r.

2 Ryzyko jest istotnym elementem towarzyszącym realizacji projektów informatycznych, które swoim zasięgiem obejmują przede wszystkim technologiczny aspekt działania organizacji. Podczas wykonywania standardowych działań, staje się nieodłącznym czynnikiem przedsięwzięcia i w związku z tym konieczne jest wdrażanie skutecznych metod oceny ryzyka związanego z tworzeniem i funkcjonowaniem systemu informatycznego. Istnieje szereg koncepcji zarządzania ryzykiem, które służyć mają identyfikacji, analizie, ocenie oraz monitorowaniu zagrożeń w projekcie. Do różnych typów projektów, w zależności od stopnia zaawansowania prac, z uwzględnieniem dostępnych zasobów, czy doświadczenia zespołu realizującego działania projektowe, można zastosować inne podejście. Powodem uzasadniającym podjęcie tematu jest fakt, iż pomimo szerokiego wachlarza metod i technik, trudno jest wskazać koncepcję, która pozwalałaby szczegółowo zrealizować kluczowe etapy zarządzania ryzykiem, czyli jego identyfikację i analizę. Dotychczas stosowane podejścia odnoszą się do różnych aspektów projektów, lecz trudno znaleźć metodę, czy technikę obejmującą ich całość, a w szczególności bazującą na określeniu zależności pomiędzy zagrożeniami składowych obszarów przedsięwzięcia, a całościową wartością ryzyka projektu. Obserwując gwałtowny rozwój technologii informatycznych oraz zintensyfikowanie działań projektowych w tym zakresie, a przy tym mając na uwadze trudności związane ze wskazaniem metody obejmującej wiele obszarów oceny ryzyka, praca skupia się na identyfikacji i analizie ryzyka projektów związanych z tworzeniem oraz wdrażaniem systemów informatycznych. Kolejny powód podjęcia pracy stanowią wnioski, które płyną z badań własnych i pokazują, iż istotne jest przeprowadzanie oceny ryzyka projektu przed jego rozpoczęciem oraz w trakcie trwania projektu, jak również, że dotychczas proponowane podejścia nie obejmują wszystkich kluczowych aspektów ryzyka. Zazwyczaj proces zarządzania ryzykiem, ograniczony jest do reagowania w momencie pojawienia się czynnika zagrażającego, a nie wcześniejszej identyfikacji i przeciwdziałania sytuacjom kryzysowym, co znacznie obniża poziom skuteczności prowadzonych prac projektowych. Ze względu na wzrost znaczenia projektów informatycznych dla rozwoju gospodarczego przedsiębiorstw, za problem badawczy uznano ocenę wpływu metod i technik zarządzania ryzykiem na proces zarządzania projektami informatycznymi, która powinna obejmować analizę przyczyn nieudanych projektów oraz wskazanie rozwiązania, które mogłoby poprawić skuteczność działań projektowych. 2

3 Dysertację podzielono na część teoretyczną i empiryczną, w ramach których wyznaczono jako cel pracy opracowanie koncepcji metody obejmującej kluczowe aspekty zarządzania ryzykiem w projektach informatycznych z udziałem metodologii analizy systemowej. Dla osiągnięcia głównego celu pracy założono następujące cele szczegółowe: przegląd i porównanie dotychczas stosowanych metod zarządzania ryzykiem, określenie czynników mogących generować ryzyko w projekcie, wyznaczenie obszarów ryzyka, których składowe powinny stanowić skategoryzowane według określonych wyznaczników czynniki, obliczenie całkowitego ryzyka projektu. W pracy podjęto próbę oceny efektów wdrożenia zastosowania proponowanej koncepcji metody identyfikacji i analizy ryzyka w projekcie informatycznym, który zrealizowany ma zostać przy pomocy dwóch celów szczegółowych: wyodrębnienia czynników generujących ryzyko w badanym projekcie, wykazania wpływu wartości ryzyka na realizację prac projektowych. W warunkach intensywnego rozwoju technologicznego istotne jest, aby maksymalizować wykorzystanie procesu zarządzania ryzykiem, co skutkować powinno zmniejszaniem efektów wystąpienia lub eliminowaniem czynników przyczyniających się do porażek przedsięwzięć. Należy wskazywać na wagę procesu zarządzaniu ryzykiem oraz na fakt, iż istotną rolę powinna odgrywać umiejętność identyfikowania i analizy wpływu determinantów ryzyka na osiąganie założonych celów projektów. Założeniem proponowanej metody jest zintensyfikowanie działań związanych z zarządzaniem ryzykiem w projektach informatycznych, co zawarte zostało w postawionej hipotezie badawczej, weryfikację której wspomagać mają następujące główne pytania badawcze: jakie są czynniki generujące ryzyko w projektach informatycznych? jaki jest wpływ czynników ryzyka na realizację prac projektowych? jakie obszary ryzyka można wyodrębnić w projekcie informatycznym? czy dotychczas stosowane metody zarządzania ryzykiem są adekwatne do realizacji założonych celów projektów informatycznych? Uogólniając, w pracy weryfikuję się hipotezę, że celowe jest wyznaczenie całkowitego ryzyka projektu, wykorzystując zidentyfikowane i poddane analizie ryzyka szczegółowe. Ryzyka te identyfikuje się w oparciu o cząstkowe zagrożenia wynikające z relacji przyczynowo-skutkowych składowych projektu. 3

4 Aby zrealizować cel pracy oraz zweryfikować hipotezę badawczą, rozprawę podzielono na wstęp, cztery rozdziały, podsumowanie, zamieszczono załączniki, spis tabel i rysunków oraz bibliografię. W rozdziale pierwszym pracy dokonano przeglądu literaturowego odnoszącego się do zagadnień związanych z ryzykiem, projektem oraz systemami informatycznymi. W rozdziale zdefiniowano istotę ryzyka projektów, ze zwróceniem szczególnej uwagi na przedsięwzięcia informatyczne. Skupiono uwagę na charakterystyce terminu ryzyka oraz pojęcia zarządzania ryzykiem. Dodatkowo wyjaśniono termin projekt z uwzględnieniem opisu jego parametrów, jak również scharakteryzowano pojęcie cyklu życia projektu. Rozdział drugi stanowi przegląd metod i technik zarządzania ryzykiem w projektach. Przedstawiono wybrane aktualnie stosowane podejścia zarządzania ryzykiem, koncentrując się na koncepcjach odnoszących się głównie do przedsięwzięć informatycznych. Opisane metody i techniki pogrupowane zostały według możliwości ich wykorzystania w rożnych fazach procesu zarządzania ryzykiem. Pierwszą grupę stanowią koncepcje wykorzystywane przede wszystkim do identyfikacji czynników ryzyka oraz szacowania opóźnień, drugą grupę podejścia służące głównie do analizy ryzyka. W rozdziale trzecim rozprawy zaprezentowano założenia proponowanej koncepcji metody identyfikacji i analizy ryzyka. Na potrzeby przeprowadzenia badań wykorzystano archiwum bazy informatycznych projektów badawczych, które znajduje się pod adresem internetowym Wybrano 80 projektów, których celem było stworzenie i wdrożenie oprogramowania. Dodatkowo stworzenie metody poprzedzono analizą literatury oraz obszaru 97 projektów informatycznych zrealizowanych przez dwie firmy, z którymi autorka pracy współpracuje. Analizie poddane zostały projekty zakończone z różnym skutkiem, czyli część z nich zakończyła się sukcesem, część nie została zakończona lub zakończyła się poza uwarunkowaniami zawartymi w umowie. Jako materiał do badań wykorzystano dokumentację projektów prowadzoną przez firmy, jak również członkowie zespołów projektowych, w trakcie przeprowadzanych wywiadów wskazywali największe problemy oraz czynniki, które znacząco wpłynęły na określony skutek prac projektowych. Wiedzę i doświadczenie kierowników i członków zespołów projektowych wykorzystano również w procesie opracowywania koncepcji proponowanej metody zarządzania ryzykiem w projektach informatycznych. Budowa autorskiej koncepcji nawiązuje do dotychczas stosowanych metod i technik zarządzania ryzykiem, przy czym na podstawie analizy zastosowań modeli, przy wykorzystaniu danych historycznych i doświadczeń w realizacji projektów, wyłoniono kluczowe cechy, które 4

5 powinny mieć istotne znaczenie z punktu widzenia całościowego procesu zarządzania ryzykiem w projektach informatycznych. W rozdziale trzecim zaprezentowano również wyłonione po wnikliwej analizie literatury oraz na podstawie przeprowadzonych badań, zarówno pierwotnych, jak i wtórnych, dziewięć składowych, które mogą stanowić źródła ryzyka w projekcie, a które skategoryzowane zostały w trzy obszary: 1. obszar organizacji projektu z czynnikami: zespół projektowy, parametry projektu oraz komunikacja w projekcie, 2. obszar wymagań systemowych z czynnikami: wymagania przetwarzania danych, wymagania systemu oraz wymagania bezpieczeństwa systemu, 3. obszar funkcjonalności systemu z czynnikami: projekt infrastruktury sprzętowej, specyfikacja funkcjonalna oraz interfejs. Oceniane obszary projektu stanowią składowe, na podstawie których wyliczana jest wartość całkowitego ryzyka przedsięwzięcia. Otrzymana wartość ryzyka całkowitego ma dostarczać informacji na temat zagrożeń w odniesieniu do osiągania założonych celów oraz wskazywać działania, które należy podjąć, aby te cele osiągnąć. W rozdziale czwartym rozprawy zaprezentowano wyniki weryfikacji proponowanej koncepcji. Badania przeprowadzono w okresie od marca do października 2013 r. na realizowanym projekcie budowy i wdrożenia rozproszonego systemu informatycznego. Na potrzeby weryfikacji koncepcji metody stworzono wspomagające narzędzie komputerowe wykorzystujące arkusze Ms Excel. Zakończeniem rozprawy jest podsumowanie zawierające wnioski końcowe, na które składają się opis weryfikacji celu głównego i celów szczegółowych oraz postawionej w rozprawie hipotezy badawczej. Należy dodać, iż w podsumowaniu na potrzeby weryfikacji głównej hipotezy badawczej, oceniono uzyskane odpowiedzi na postawione pytania badawcze. W podsumowaniu pracy ujęto również uwagi i wskazówki dotyczące dalszych badań w obszarze proponowanej koncepcji metody identyfikacji i analizy ryzyka w projektach informatycznych. Należy dodać, iż z przeprowadzonego procesu weryfikacji wynika, iż możliwe jest opracowanie spójnej metody identyfikacji i analizy ryzyka, która będzie obejmowała wiele obszarów projektów informatycznych. Dokonując porównania proponowanej koncepcji z dotychczas stosowanymi metodami i technikami zarządzania ryzykiem znaczące różnice, którymi są: 5

6 - precyzyjna identyfikacja czynników ryzyka oraz ich przyczyn, co wynika z wysokiego poziomu szczegółowości działań związanych z szacowaniem ryzyka, a wpływa na podniesienie skuteczności prac bez konieczności wprowadzania licznych modyfikacji i poprawek w końcowych etapach prac projektowych Proponowany w pracy sposób identyfikacji ryzyka odnosi się do wielu aspektów realizacji przedsięwzięcia, zarówno związanych z organizacją realizującą projekt, jak i klientem, - wykorzystanie w procesie analizy wpływu pojedynczych czynników ryzyka na prace projektowe, ale również wpływu ryzyka obszaru, jako całości, na realizację zadań. Proponowana koncepcja umożliwia szacowanie zagrożeń, na podstawie czego dokonywana jest klasyfikacja obszarów do grup ryzyka i tworzona jest hierarchia zagrożeń, co wspomaga między innymi decyzje taktyczne związane z realizacją działań naprawczych mających wpływ na prace projektowe, - wykorzystanie do raportowania i oceny postępów prac, co wynika z powtarzalności działań związanych z wykorzystaniem koncepcji w określonych odstępach czasu oraz analizą stopnia zrealizowania działań w stosunku do planu projektu, - efektywne wykorzystanie zasobów, które wynika z oceny postępów, a możliwe jest również w przypadku realizowania równolegle kilku projektów, co przejawia się wspomaganiem planowania alokacji zasobów, pozyskiwaniem personelu, czy efektywnym wykorzystaniem wiedzy i umiejętności członków zespołu projektowego, - uniwersalność, która przejawia się możliwością wykorzystania koncepcji w różnych obszarach i niezależnie od etapu projektu. Cecha ta wynika z możliwości koncepcji, jaką jest identyfikowanie i analiza czynników i wskazywanie punktów odniesienia niezbędnych dla szacowania poziomu ryzyka, przy uwzględnieniu różnych obszarów i typów zagrożeń, - jednoznaczna interpretacja pomiarów wartości ryzyka poszczególnych obszarów, która możliwa jest dzięki normalizacji otrzymywanych wartości poziomu ryzyka dla badanych czynników, co przejawia się zastosowaniem jednej, spójnej miary dla poszczególnych obszarów, jak i całego projektu. - integracja ryzyka poszczególnych obszarów, poprzez powtarzalność etapów stosowania koncepcji, identyfikację i analizę zagrożeń w kilku badaniach i możliwość porównywania wyników uzyskanych w kolejnych pomiarach, co pozwala określać obszary, jak i poziomy zamian ryzyka oraz ich źródła, a w wyniku dokonywanych obliczeń uzyskiwania jest jedna wartość reprezentująca ryzyka całego projektu, - wsparcie decyzji strategicznych na etapie planowania prac projektowych, co związane jest oceną ograniczeń organizacji, pozycji finansowej, ograniczeń zasobowych, poziomu 6

7 uszczegółowienia informacji, kompetencji zespołu projektowego, czy zmiany w założonym zakresie projektu, - duża szybkość reagowania na zagrożenia, która wynika z powtarzalności etapów koncepcji, jak i wysokiego poziomu uszczegółowienia, co pozwala na bieżąco określać i oceniać czynniki ryzyka poszczególnych obszarów, a w konsekwencji podejmować działania zmierzające do minimalizacji ryzyka, - prostota i łatwość zastosowania, poprzez wykorzystanie udostępnionego narzędzia komputerowego, które umożliwia czytelną prezentację szacowanych wartości, jak i pomiary zmian poziomów ryzyka w czasie. Z całą pewnością należy podjąć działania w zakresie większej redukcji błędów subiektywnych, których nie udało się całkowicie wyeliminować na tym etapie prac nad koncepcją, a które związane są na przykład z koniecznością przydzielania stopnia istotności badanego czynnika dla projektu. Dalsze prace nad redukcją błędów wynikających z ocen subiektywnych powinny wiązać się z pozyskiwaniem i gromadzeniem danych z kolejnych zastosowań metody. Tu pojawia się kolejne działanie, które należy podjąć w przyszłości, czyli stworzenie mechanizmu gromadzącego dane na temat badanych czynników i wyniki analiz, aby możliwe było korzystanie ze sprawdzonych i skutecznych rozwiązań. Należałoby również rozszerzyć weryfikację koncepcję metody o równoległą realizację kilku projektów, co pozwoliłoby dokonać szczegółowej oceny w tym zakresie. Niewątpliwie jednak proponowane podejście umożliwia szczegółową, wieloczynnikową, wartościową ocenę ryzyk szczegółowych i ryzyka całkowitego, co stanowi przewagę nad metodami i technikami stosowanymi dotychczas. Ocena wskazanych obszarów pozwala identyfikować oraz szczegółowo analizować zagrożenia, dzięki czemu zaproponowana koncepcja metody identyfikacji i analizy ryzyka, może stanowić narzędzie wspomagające proces zarządzania ryzykiem w projektach informatycznych. 7