Opracowania, Studia, Materiały. Centrum Projektów Informatycznych MSWiA ZESZYT 1B

Opracowania, Studia, Materiały Centrum Projektów Informatycznych MSWiA ZESZYT 1B WARSZAWA, LIPIEC 2011

Centrum Projektów Informatycznych MSWiA Opracowania, Studia, Materiały Zeszyt 1 B Wydawca: Centrum Projektów Informatycznych Ministerstwa Spraw Wewnętrznych i Administracji ul. Pileckiego 63 02-781 Warszawa Redakcja dr Mariusz Grajek dr Zbigniew Olejniczak Autorzy publikacji w Zeszycie 1 B Izabela Adamska Marta Cyzio Joanna Danilczuk-Zembrzuska Małgorzata Furgała Ewa Gawrychowska-Kłak Natalia Kucharska Ewa Molenda Ewa Szczepańska Joanna Plesiewicz Justyna Podgórska Marta Wiktorko Tomasz Zając Dariusz Zakrzewski Marcin Żelazowski Zespół Zamówień Publicznych CPI MSWiA ISSN: 2083-4209 Druk i oprawa: Drukarnia nr 1 ul. Rakowiecka 37 02-521 Warszawa

SPIS TREŚCI Zeszyt 1 B Tytuł Autor Strona Zarządzanie Projektami Informatycznymi w Administracji Publicznej Zarządzanie ryzykiem w projektach informatycznych realizowanych przez administrację publiczną Tomasz Zając 6 Ewa Szczepańska 15 Rola zespołu wsparcia w prowadzeniu projektów informatycznych na przykładzie Centrum Projektów Informatycznych MSWiA (CPI MSWiA) Ewa Molenda Małgorzata Furgała 25 Audyt systemów informatycznych szczególny obszar audytu wewnętrznego Marcin Żelazowski 35 Transparentność działania administracji publicznej Izabela Adamska 45 Ochrona danych osobowych w środowiskach cloud computing Realizacja krajowych projektów teleinformatycznych ze środków europejskich Marta Cyzio 52 Dariusz Zakrzewski 66 Wpływ rozwoju systemów teleinformatycznych o publicznym zastosowaniu na konkurencyjność Polski Joanna Danilczuk Zembrzuska 74 epuap2, jako narzędzie realizujące założenia zrównoważonego rozwoju Marta Wiktorko 85 Analiza kryteriów oceny ofert Zespół Zamówień Publicznych 93 Wartościowanie stanowisk pracy na przykładzie Centrum Projektów Informatycznych MSWiA Joanna Plesiewicz 100 Obszary prawa wykorzystywane przy realizacji projektów w CPI MSWiA Ewa Gawrychowska-Kłak Justyna Podgórska 107 Ewidencja środków trwałych oraz wartości niematerialnych i prawnych w jednostkach sektora finansów publicznych na przykładzie państwowej jednostki budżetowej Centrum Projektów Informatycznych MSWiA Natalia Kucharska 120

Aby osiągnąć sukces należy: przewidywać, sprawnie omijać przeszkody, efektywnie organizować pracę, [ ]. Wsparcie w zarządzaniu projektami wpływa na poprawę komunikacji w organizacji, ułatwia rozwój założonej strategii, a także ma wymiar promocyjny, poprawia wizerunek organizacji, czy osoby, której projekt został powierzony. Zastosowanie technologii informatycznej w administracji publicznej staje się zasadniczym elementem usprawniającym pracę urzędnika państwowego, zarówno w zakresie wewnętrznych zadań organizacyjnych, jak również, a może nade wszystko, w zakresie komunikacji zewnętrznej. Budowanie zespołu składającego się z wykwalifikowanych specjalistów odbywa się nie tylko poprzez pozyskiwanie ich z rynku pracy, ale przede wszystkim poprzez utrzymanie i rozwój wewnętrzny. Planowanie i współfinansowanie ścieżek kariery, liczne szkolenia oraz różne formy nawiązywania umów stanowią narzędzia pozwalające kształtować pozytywną postawę wobec firmy oraz motywować pracowników do realizacji celów

Szanowni Państwo, Oddajemy w Państwa ręce pierwszy Zeszyt Centrum Projektów Informatycznych MSWiA. Opracowania, studia, materiały. Zdecydowaliśmy, aby materiały wypracowane przez naszych specjalistów podzielić na dwie części. Część 1 A, to opracowania, które mają bardzo bliski związek z projektami informatycznymi reali- zowanymi w CPI MSWiA, chociaż nie jest to prosta relacja z tego, co w projektach się już zdarzyło, dzieje się, lub może zdarzyć. Byłoby to zbył łatwe, a jednocześnie mało innowacyjne. Informacje o naszych projektach można przecież znaleźć na naszej stronie internetowej: www.cpi.mswia.gov.pl, prezentujemy je także na ulotkach i konferencjach. Materiały z części 1 A to bardziej refleksje w związku projektami. Niezwykle ważny bodaj najważniejszy blok projektów znakomicie oddaje ujęcie zaprezentowane już w pierwszym opracowaniu. Działania służb odpowiedzialnych za nasze (Obywateli) bezpieczeństwo nie mają jednego scenariusza. Najczęściej wezwanie o pomoc nie oddaje całego tragizmu sytuacji, a przecież zawsze chcemy, aby nasz problem był zauważony i uzyskał właściwe rozwiązanie. Chcemy wszyscy i tego możemy sobie życzyć, aby złota godzina nigdy nie trwała dłużej aniżeli 60 minut. Znakomitą szansą dla upowszechnieniu kontaktów Obywateli z urzędami poprzez internet jest epu- AP i Profil Zaufany. To drugi, ważny blok tematyczny w części 1 A. Projekt epuap jest kontynuacją prac z lat 2004 2006, ale dopiero teraz uzyskał swoją prawdziwą szansa na sukces. Część 1 A została dopełniona przez materiały związane z projektami realizowanymi na rzecz Policji i w związku z polską prezydencją. Przedsięwzięcia należy uznać za prestiżowe. Policja jest surowym i wymagającym recenzentem, a prezydencja musi być udana. Część 1 B to niezwykle cenne opracowania, które mają pośredni związek z projektami informatycznymi. Ich wyjątkowość wynika z faktu, że powstały w wyniku przemyśleń i refleksji naszych specjalistów zatrudnionych w zespołach i komórkach wspierających prace projektowe: zespół wsparcia projektów, zespół opiniodawczo-doradczy i prawny, zespół kadr. W większości podobnych instytucji, zagadnienia takie, jak: polityka kadrowa, obszary kompetencji prawnych, wybrane zagadnienia zarządzania projektami i zespołami ludzkimi, kwestie analizy doświadczeń podobnych projektów spychane są na peryferia działalności instytucji, ponieważ nie jest to działalność biznesowa i niesłusznie. Administracja publiczna, od wielu lat zbiera ogromny kapitał doświadczeń z działalności instytucji typu Centrum Projektów Informatycznych. Podobne instytucje działają w resorcie pracy, zdrowia, gospodarki i pokazują one, że można unowocześnić administrację publiczną i zasadniczo zmienić podejście do dużych, wieloletnich wyzwań projektowych i do relacji z biznesem. Działając w ramach administracji można przełamać uciążliwą mitręgę biurokratyczną i skomplikowany proces uzgadniania decyzji. Już dzisiaj warto zastanowić się, czy instytucje o podobnych charakterze jak CPI mają szanse wpisać się w rzeczywistość administracji publicznej w Polsce. Warto o tym myśleć już teraz, gdy mamy wciąż perspektywę kilku lat pracy, a nasi specjaliści i eksperci właśnie z pracą na rzecz administracji wiążą swoją przyszłość. REDAKTORZY ZESZYTU

Tomasz Zając Centrum Projektów Informatycznych MSWiA ZARZĄDZANIE PROJEKTAMI INFORMATYCZNYMI W ADMINISTRACJI PUBLICZNEJ Streszczenie Tomasz Zając obecnie pracownik Centrum pro- jektów Informatycznych MSWiA. Od 2000 r. pracownik spółek z branży IT: Asseco SA (COMP Rzeszów SA), SoftBank SA, Apexim SA, KOMA SA: jako administrator baz danych, wdrożeniowiec, szkoleniowiec, kierownik projektu. Od 2006 r. pracownik administracji publicznej: stanowisko kierownik projektu, naczelnik Wydziału Projektów Teleinformatycznych. Największy sukces: podłączenie Polski do systemu informacyjnego Schengen: wdrożenie Centralnego Węzła Polskiego Komponentu SIS/VIS. Artykuł przedstawia zagadnienia związane z zarządzaniem projektami informatycznymi z perspektywy realizowanych w administracji publicznej przedsięwzięć teleinformatycznych. W pierwszej części artykułu przedstawiona została definicja projektu, najważniejsze cechy charakterystyczne oraz ogólny przegląd najpopularniejszych metodyk zarządzania projektami. W dalszej części artykułu przedstawiony został administracyjny kontekst realizacji przedsięwzięć informatycznych oraz kluczowe czynniki sukcesu warunkujące sprawne przeprowadzenie i skuteczne zakończenie procesu inwestycyjnego. Zarządzanie projektami, realizowanymi w CPI MSWiA wymaga uwzględnienia osobliwości poszczególnych przedsięwzięć. Projekt SIPR, to przede wszystkim integracja poszczególnych interesariuszy. Projekt OST 112 wymaga wnikliwej analizy otoczenia. Projekt pl.id wymusza analizę uwarunkowań obiektywnych o różnorodnych charakterze. Projekt eusługi oraz epuap to stawianie na dostępność usług wewnętrznym i zewnętrznym odbiorcom. Umiejętne zarządzanie projektami daje szansę na efektywność i skuteczność ich realizacji. WSTĘP W dzisiejszych czasach każda decyzja dotycząca inwestycji w system informatyczny powodowana jest potrzebą usprawnienia funkcjonowania danej organizacji, świadczonych usług czy obsługi klienta. Ostatecznie, w sektorze komercyjnym celem inwestycji jest obniżenie kosztów i maksymalizacja zysków firmy, zaś w obszarze administracji publicznej realizacja zdefiniowanego celu społecznego, np.: uproszczenie, skrócenie i usprawnienie komunikacji obywatela z urzędnikiem. Biorąc pod uwagę wykorzystywanie skomplikowanych, zaawansowanych technologicznie narzędzi IT, wielkość budowanych systemów, różnorodność i liczebność obsługiwanych procesów biznesowych powodzenie realizacji inwestycji niejednokrotnie ma decydujące znaczenie dla dalszego rozwoju a nawet funk- cjonowania organizacji. Stąd tak istotne jest profesjonalne i skuteczne zarządzanie procesem wdrożenia systemu informatycznego. Nie jest to zadanie proste. W czasie realizacji procesu inwestycyjnego z wykorzystaniem zaawansowanej technologii IT zawsze należy uwzględnić szereg okoliczności i czynników zarówno wewnętrznych jak i zewnętrznych takich jak, np.: aspekty prawne, finansowe, polityczne czy ludzkie. Proces zarządzania takim przedsięwzięciem musi być wysoce uporządkowany, metodyczny i zaplanowany. Niezbędnym jest powołanie osoby odpowiedzialnej za kierowanie wszystkimi zadaniami projektowymi oraz relacjami i zależnościami pomiędzy nimi. Jednocześnie, prowadzenie projektu informatycznego w jednostkach 6

administracji publicznej nakłada dodatkowe stopnie swobody, ograniczenia i ryzyka, które mogą mieć wpływ na ostateczne powodzenie przedsięwzięcia. W niniejszym artykule przedstawione zostały przemyślenia nt. zarządzania projektem informatycznym w sektorze administracji publicznej ze szczególnym uwzględnieniem kluczowych i najważniejszych czynników sukcesu, których wykorzystanie w znacznym stopniu zwiększy prawdopodobieństwo powodzenia przedsięwzięcia teleinformatycznego. ADMINISTRACJA PUBLICZNA, CELE I ZADANIA Administracja publiczna rozumiana jest potocznie, jako władza zarządcza, zespół ludzi i instytucji kierujących sprawami w określonych sferach życia społecznego. Słowo publiczna wskazuje dodatkowo, że władza owa ma charakter powszechny, wspólny skierowany do ogółu obywateli kraju. Administracja publiczna spełnia ważną i niezastąpioną rolę w obszarze życia społecznego kraju, zaś w świadomości obywateli ma ona zawsze charakter służebny i wspierający. Administrację publiczną można definiować na wiele sposobów, jednak współczesne ujęcie tego terminu bazuje na postrzeganiu trzech jej wymiarów: a) podmiotowego określającego strukturę, b) przedmiotowego określającego zakres działalności, c) formalnego określającego sposób prowadzenia owej działalności. Celem powołania administracji publicznej jest realizowanie zadań zmierzających do zaspokojenia zbiorowych i indywidualnych potrzeb obywateli kraju, wynikających ze współżycia ludzi w danych społecznościach 1. Sposób działania administracji ma jednak olbrzymie znaczenie. Formalizm, tak charakterystyczny dla sfery administracji publicznej, najczęściej kojarzy się z biurokratycznym podejściem urzędnika do obywatela. Jednak formalizm to nic innego, jak sposób postępowania, procedura która określa ściśle zdefiniowaną ścieżkę realizacji danej sprawy, regułę gwarantującą rzetelne i skuteczne przeprowadzenie postępowania administracyjnego, która nie ma i nie powinna mieć charakteru biurokratycznego. Jak zagwarantować, aby ten sposób postępowania urzędnika państwowego, był optymalny, szybki i skuteczny? Na pewno samoświadomość urzędnika państwowego o celu podejmowanych przez niego czynności, działanie na podstawie prawa i w granicach prawa, oraz wykonywanie obowiązków służbowych z należytą starannością są kluczowe dla zagwarantowania właściwej jakości obsługi obywatela. Nie można jednak nie zauważyć, iż narzędzia, techniki i metody, z jakich korzysta urzędnik, mają olbrzymie znaczenie na przebieg tego procesu. Zastosowanie technologii informatycznej w administracji publicznej staje się zasadniczym elementem usprawniającym pracę urzędnika państwowego, zarówno w zakresie wewnętrznych zadań organizacyjnych, jak również, a może nade wszystko, w zakresie komunikacji zewnętrznej. Z punktu widzenia komunikacji zewnętrznej i świadczonych za pomocą narzędzi IT usług wyróżnić można trzy rodzaje interakcji: a) A2C (Administration to Consumer) usługi świadczone dla obywatela, b) A2B (Administration to Business) usługi świadczone dla podmiotów gospodarczych oraz nie mniej ważne, c) A2A (Administration to Administration) usługi świadczone pomiędzy jednostkami administracji publicznej. Możliwość korzystania z narzędzi i technik informatycznych w dobie społeczeństwa informacyjnego wydaje się nieodzownym czynnikiem, determinującym sprawne funkcjonowanie administracji publicznej. Wykorzystanie narzędzi i technik informatycznych musi być poprzedzone inwestycją w infrastrukturę informatyczną, która z uwagi na swój niepowtarzalny i unikalny charakter, związany z potrzebą przygotowania, przeprowadzeniem i rozliczeniem procesu inwestycyjnego powinna być przeprowadzona w ramach realizacji projektu informatycznego. 1 J. Boć (red), Prawo administracyjne, Wrocław 2000. 7

PROJEKT I JEGO OTOCZENIE Czym zatem jest projekt? Powszechnie, bardzo często w życiu codziennym, spotyka się określenie potrzeby przeprowadzenia szeregu działań, zamiarem zajęcia się ciekawym zagadnieniem mianem przeprowadzenia interesującego projektu. Tymczasem pojęcie projektu jest ściśle określone. Co prawda definicji pojęcia projekt jest wiele, w zależności od metodyki i punktu spojrzenia, a w zasadzie wskazania na szczególne akcenty tego pojęcia, lecz zawsze można wyodrębnić cechy szczególne, które wskazują jednoznacznie, że mamy do czynienia z podejściem projektowym. Cytując Roberta K.Wysockiego i Rudda McGary ego, Projekt to sekwencja niepowtarzalnych, złożonych i powiązanych między sobą zadań, mających wspólny cel, przeznaczonych do wykonania w określonym terminie bez przekraczania ustalonego budżetu, zgodnie z założonymi wymaganiami 2. Zatem owe cechy charakterystyczne identyfikujące, że mamy do czynienia z projektem to: niepowtarzalność, sekwencyjność, złożoność, terminowość, celowość, opłacalność. Dodatkowo, prowadzenie projektów, a w szczególności projektów informatycznych, wymaga od organizacji zapewnienia specjalistycznych zasobów o odpowiednich kwalifikacjach, wiedzy i umiejętnościach, a także zapewnienia niezbędnych warunków organizacyjnych i środowiskowych. Oczywiście, zawsze w zależności od skali przedsięwzięcia, można zrezygnować z podejścia projektowego do realizacji poszczególnych zadań, lecz prawie zawsze, podejście takie kończy się niepowodzeniem zdefiniowanym, jako brak osiągnięcia założonego celu, albo wydatkowaniu znacznie większych środków finansowych na jego osiągnięcie. Zastosowanie podejścia projektowego nie jest jednoznaczne z osiągnięciem sukcesu, czyli powodzeniem projektu, lecz brak takiego podejścia w znacznym stopniu obniża prawdopodobieństwo, że wszystko potoczy się zgodnie z przyjętymi założeniami, w terminie i w granicach dopuszczalnych kosztów. Dlaczego tak się dzieje? Otóż samo działanie w sposób uporządkowany, zgodnie z uprzednio przyjętymi zasadami sposobu postępowania, z nastawieniem na osiągnięcie wyznaczonego ściśle określonego celu powoduje, że całe otoczenie takiego działania niejako sprzyja osiągnięciu sukcesu. Do tego samego, tak wydawałoby się oczywistego wniosku, doszedł Rząd Wielkiej Brytanii, który uznał, że nie można tolerować sytuacji, w której tak wiele podejmowanych przez urzędników przedsięwzięć kończy się niepowodzeniem, doprowadzając w ostateczności do niepełnego wykorzystania środków publicznych. Zwłaszcza z uwagi na fakt, dysponowania przez administrację publiczną dobrem publicznym, powierzonym przez ogół społeczeństwa, wymusił na decydentach Rządu Wielkiej Brytanii przyjęcie racjonalnego i rzetelnego podejścia do dysponowania środkami publicznymi. Central Computer and Telecommunications Agency (obecnie Office of Government Commerce in GB) w 1989 r. wprowadziła w brytyjskiej administracji, jako standard do stosowania, we wszystkich rządowych projektach dotyczących systemów informacyjnych, specjalny zbiór zasad zwany metodyką zarządzania projektami PRIN- CE2 (akronim od nazwy: Project IN Controled Environments) 3. W tym zbiorze zasad zostały uporządkowane i zebrane zagadnienia z wielu obszarów zarządzania: zarządzanie czasem, zakresem, jakością, zasobami materiałowymi jak i ludzkimi. Pełny zakres obszarów tematycznych umożliwiający takie prowadzenie przedsięwzięcia, aby osiągnąć założony cel. Projekt stał się zatem wydzielonym, specyficznym obszarem aktywności danej instytu- 2 Robert K.Wysocki, Rudd McGary Effective Project Management: Traditional, Adaptive, Extreme ISBN: 83-7361- 861-9. 3 Office of Government Commerce, Skuteczne zarządzanie projektami PRINCE2, wydanie 2005, 2009 ISBN 0 11 330946 5. 8

cji, który ze względu na swój niepowtarzalny i ograniczony w czasie charakter uzyskał wyjątkowy status. Zarządzanie takim przedsięwzięciem, choć odbywające się z reguły w danej organizacji (rzadko, kiedy zlecany na zewnątrz), potrzebuje szczególnie bacznego i profesjonalnego podejścia do jego kierowania i to we wszystkich istotnych obszarach. Warto podkreślić, iż niepowodzenie projektu ma swoje niebagatelne konsekwencje, nie tylko dla samego przedsięwzięcia, ale przede wszystkim znaczące skutki dla samej organizacji. Brak lub niepełna realizacja założonego celu może spowodować, iż organizacja w najlepszym przypadku będzie zmuszona do rezygnacji z ulepszenia lub usprawnienia pewnych procesów biznesowych, aż do w skrajnym przypadku braku możliwości realizacji swojej misji, czyli podstawowego celu jej powołania, a zatem dalszego istnienia. Potencjalna konsekwencja rozwiązania organizacji lub jej upadku w sensie biznesowym spowodowała, że również przedsiębiorstwa z rynku komercyjnego zwróciły baczną uwagę na zastosowanie ustalonych z góry zasad w celu maksymalnego zagwarantowania powodzenia realizowanych przez nie inwestycji. Zainteresowanie to zaowocowało rozwojem różnorodnych metodyk, często bardzo specjalizowanych, ukierunkowanych na ściśle określony zakres danej dziedziny działalności organizacji. Dla przykładu można tu wymienić metody z dziedziny inżynierii oprogramowania jak RUP (Rational Unified Process) 4, SCRUM, CRYSTAL, XP (Extreme Programming) 5, czy też metody z dziedziny usług informatycznych ITIL (Information Technology Infrastructure Library) 6, czy funkcjonowania całego obszaru IT jak COBIT (Control Objectives for Information and related Technology) 7, czy TOGAF (The Open Group Architecture Framework) 8. Z punktu widzenia ogólnych zasad postępowania, przy prowadzeniu projektów różnego rodzaju, bez znaczenia, czy projekt dotyczy budowy systemów IT, czy na przykład budowy mostu, najbardziej znanymi i upowszechnionymi metodykami są: PRINCE2 (Project IN Controled Environments) oraz PMBok (Project Management Body of Knowledge) 9. To dwa zbliżone z punktu widzenia podejścia, sposoby zarządzania projektem. PRINCE 2 w nieco większym stopniu sformalizowany (8 procesów głównych, 45 podprocesów, 8 komponentów, 3 techniki), PMBok (5 grup procesów, 44 podprocesy, 9 obszarów wiedzy), jako zbiór dobrych praktyk zebranych i opisanych przez członków PMI (Project Management Institute). Pierwszy wywodzi się z sektora administracji w Wielkiej Brytanii, drugi ma korzenie czysto komercyjne. W Stanach Zjednoczonych Ameryki Północnej, PMBok został zatwierdzony przez American National Standard Institute jako powszechny standard zarządzania projektami, również w obszarze administracji publicznej. Pochodzenie tych dwóch metodyk ma swoje odzwierciedlenie w podejściu do zarządzania projektem. O ile PRICE2 jest w znacznym stopniu sformalizowana, to PMBok już nie, kładzie nacisk na pragmatyzm i skuteczność, podchodząc w elastyczny sposób do sposobu dokumentowania działań. PMBok skupia się na budżetowaniu, zarządzaniu ludźmi (miękkie aspekty zarządzania), harmonogramowaniu zadań, zaś PRINCE2 oparty jest na planowaniu wytworzenia konkretnych produktów, czyli na takim określeniu zestawu działań, który umożliwi wytworzenie określonych rezultatów pracy. PRINCE 2 skupiając się na wytworzeniu produktów zapewnia, że wszystkie prowadzone prace i planowane zadania są wykonywane w jednym celu, zaś prace i działania spoza tego obszaru zainteresowania są eliminowane, jako zbędne. Dlatego w samej metodyce PRINCE2 nie ma położonego nacisku na kosztorysowanie, budżetowanie, czy harmonogramowanie, co oczywiście nie oznacza, że aspekt ten w zarządzaniu wg tej metodyki został zupełnie pominięty. 4 Kroll P., Kruchten P., Rational Unified Process od strony praktycznej, WNT Warszawa 2007. 5 Shore J., Warden S., Agile Development. Filozofia programowania zwinnego, Helion, Gliwice 2008, oraz Beck K., Anders C., Wydajne programowanie extreme Programming, Mikom, Warszawa 2005, 6 ITIL, http://www.itil-officialsite.com. 7 ISACA, COBIT Control Practicies: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd ed. 8 The Open Group, TOGAF Version 9, 2009, http://www.togaf.org/ 9 Wikipedia, URL: http://pl.wikipedia.org/wiki/pmbok/. 9

ADMINISTRACYJNY KONTEKST PROWADZENIA PROJEKTÓW Doświadczenia i dobre praktyki, opracowane przez administrację Rządu Brytyjskiego potwierdzają, iż w administracji publicznej, niezależnie od szczebla, rządowego, czy samorządowego przy realizacji, dużych i skomplikowanych, a zwłaszcza kosztownych przedsięwzięć, należy w sposób uporządkowany i systematyczny, a przede wszystkim maksymalnie profesjonalny, podejść do zarządzania realizacją danego przedsięwzięcia. Podejście takie, jak najbardziej racjonalne oznacza, że przed pracownikiem administracji publicznej stanęły nowe wyzwania w zakresie pozyskania właściwych kompetencji, kwalifikacji i doświadczenia. W obecnym rozumieniu pracownik administracji publicznej posiada praktyczną znajomość przepisów prawa, wiedzę o państwie i organizacji struktur administracji publicznej, z zakresu finansów publicznych oraz socjologii i psychologii. Zawsze jednak urzędnik państwowy, to pracownik działający na podstawie prawa i w granicach prawa, wykonujący swoje obowiązki służbowe z najwyższą, należytą starannością zgodnie z kryteriami legalności, gospodarności, rzetelności i celowości, brakuje jednak umiejętności szukania rozwiązań, kompromisów, osiągania celów przy niesprzyjających i zmiennych warunkach zewnętrznych. Przy realizacji projektów informatycznych należy zwrócić uwagę na dodatkowe umiejętności i kompetencje. Wyjątkowo cenne stają się umiejętności pracy w zespole, zdolności interpersonalne i komunikacyjne a także predyspozycje myślenia analitycznego, kreatywność, otwartość na zmiany i nowe wyzwania. Standardowe zachowania, trzymanie się powszechnie utartych ścieżek postępowania, zamykanie się w schematach administracyjnych, mogą jedynie doprowadzić do zderzenia się z nieugiętą rzeczywistością i niepomyślnym zakończeniem procesu inwestycyjnego. Zdobywanie doświadczenia w dziedzinie zarządzania projektami, przyswajanie wiedzy z zakresu technik i sposobów radzenia sobie z niestandardowymi zagadnieniami jest niezbędnym warunkiem budowania kompetencji i kwalifikacji pracownika administracji publicznej. Czy prowadzenie projektu, a w szczególności projektu informatycznego w obszarze administracji publicznej różni się od tego samego procesu, w ogólnie pojętym segmencie rynku komercyjnego? Aby odpowiedzieć na tak postawione pytanie należy rozważyć, czy najważniejsze parametry realizacji projektu są inaczej, czy też tak samo postrzegane i zarządzane przez rynek komercyjny, i administrację publiczną. Każdy projekt, w tym również projekt informatyczny, posiada kilka parametrów determinujących osiągnięcie zamierzonego celu, są to: czas (C), zakres (Z), jakość (J), koszt (K), zasoby (L). Parametry te są ze sobą ściśle powiązane. Przy podejmowaniu decyzji o realizacji przedsięwzięcia zawsze określany jest przez decydentów (tzw. sponsora projektu) rezultat, cel końcowy, którego osiągnięcie musi zawierać się w pewnych uprzednio zdefiniowanych założeniach projektowych parametrach. Cel ten osiągany jest w określonym czasie, przy założonych kosztach i zdefiniowanych wymaganiach jakościowych oraz ilościowych, czyli w pewnym zakresie. W teorii dziedziny zarządzania projektami powstał termin tzw. złotego trójkąta projektu. Krótko mówiąc, zmiana któregokolwiek parametru: kosztów, czasu, zakresu bądź wymagań jakościowych powoduje jednoczesną zmianę pozostałych czynników adekwatnie. Zatem każda decyzja projektowa ma swoje ściśle określone konsekwencje, a dobrze zdefiniowany projekt wyznacza z góry ustalony próg tolerancji poszczególnych parametrów projektu, przy którym projekt jest dalej realizowany. Przekroczenie tego progu tolerancji skutkuje podjęciem decyzji o zamknięciu danego przedsięwzięcia. 10

Rys. 1. Powiązanie matematyczne poszczególnych parametrów projektu Źródło: M. Trocki i inni, 2003. Generalnie zasada złotego trójkąta sprowadza się do powszechnie znanej tautologii: osiągnięcie celu projektu powinno być szybkie, tanie i zgodne z wymaganiami. Powiązanie matematyczne poszczególnych parametrów projektu przedstawił M. Trocki 10 : koszty projektu (pole trójkąta) rosną wraz z rozszerzeniem zakresu prac (Z 2 >Z 1 ) lub wzrostem wymagań głównego użytkownika wobec produktu końcowego (W 3 >W 1 ). Należy zauważyć, iż na projekt mają wpływ nie tylko prawidłowo zdefiniowane i należycie realizowane ww. parametry, ale również czynniki nieco bardziej delikatne w swojej naturze, niezależne i trudno przewidywalne. O powodzeniu projektu niejednokrotnie decyduje zatem otoczenie projektu, czynniki zewnętrzne, np.: prawne, makroekonomiczne, polityczne, czy społeczne, a także czynniki wewnętrzne związane z funkcjonowaniem jednostki; kultura organizacyjna, styl kierowania czy dostęp do niezbędnych zasobów. O ile można uznać, w dużym uproszczeniu, iż parametry projektu realizowanego w ramach przedsięwzięć komercyjnych oraz zadań administracyjnych są bliźniaczo podobne i podlegają takim samym regułom, o tyle kontekst realizowanych projektów, sposób podejścia do osiągnięcia założonego celu, a przede wszystkim wpływ rodzaju czynników otoczenia jest różny i odgrywa odmienną rolę. Administracyjny kontekst realizacji projektów można próbować definiować następująco: specyfika kultury organizacyjnej, motywacji pracowników, obowiązujące zasady i procedury formalne, realizowanie przedsięwzięć inwestycyjnych za pomocą zamówień publicznych (kontekst prowadzenia postępowań przetargowych) aspekt formalno-prawny, a także organizacyjny (pojawienie się dodatkowego interesariusza, Wykonawcy realizującego w imieniu Zamawiającego proces inwestycyjny), finansowanie przedsięwzięcia ze środków publicznych, w tym środków UE, obwarowane formalizmami sprawozdawczymi i ograniczeniami realizacyjnymi, realizowanie inwestycji przez pryzmat zapotrzebowania na świadczenie usług publicznych dla celów ogólnospołecznych aspekt identyfikacji potrzeb społecznych i racjonalizacji wydatków publicznych, specyficzne definiowanie, a często także identyfikowanie sponsora projektu admi- 10 Trocki M., Grucza B., Ogonek K., Zarządzanie projektami, PWE, Warszawa 2003. 11

nistracyjne rozmycie decyzyjności i odpowiedzialności, Rys. 2. Główne obszary i otoczenie projektowe Źródło: Opracowanie własne. podejmowanie decyzji projektowych z punktu widzenia zapotrzebowania politycznego w zależności od priorytetów programu partii politycznych, waga i znaczenia projektu oraz jego umiejscowienie w strukturze organizacyjnej organizacji brak świadomości wobec potrzeby dostępności wykwalifikowanej kadry i dedykowania właściwych zasobów materiałowych i finansowych. Do aspektu różnicy kontekstu projektu realizowanego w administracji publicznej, a realizowanego w ramach gospodarki rynkowej, dochodzi aspekt pewnych specyficznych zagadnień, które są charakterystyczne w obszarze ogólnie pojętej administracji: dezaktualizacja celu biznesowego w kontekście czasu realizacji jak i zapotrzebowania społecznego i politycznego, brak procedur sprawdzających jakość i dbałość o efekt końcowy produktu, niewystarczające i nieprecyzyjne definiowanie wymagań wobec produktu końcowego, związane z brakiem ostatecznej wizji funkcjonalności i możliwego zastosowania produktu na etapie projektowania, niedojrzała, niedostosowana do wyzwań struktura organizacyjna jednostki organizacyjnej (hierarchiczna struktura kierowania), niewystarczające umocowanie formalne członków zespołu projektowego, brak akceptacji ról i obowiązków projektowych (poruszanie się w ramach struktury hierarchicznej) Kierownik Projektu bez realnego umocowania decyzyjnego (w przeciwieństwie do tej samej roli w projekcie na rynku komercyjnym) brak realnego kierownictwa i poodejmowanie złych decyzji lub w ogóle brak decyzji, niewłaściwa komunikacja w projekcie wiele ośrodków opiniodawczych, bez realnej odpowiedzialności za prowadzenie przedsięwzięcia i wyznaczanie kierunków, nieodpowiednie planowanie, szacowanie czasu i kosztów projekty trwają dłużej i więcej kosztują, brak lub niedostateczne zarządzanie zmianą w projekcie nieznajomość metodyk oraz ograniczenia formalne (brak możliwości stworzenia rezerwy finansowej na nieprzewidziane okoliczności związane z ograniczeniami przepisów o finansach publicznych). KLUCZOWE CZYNNIKI SUKCESU REMEDIUM NA ADMINISTRACYJNE BOLĄCZKI Nie ulega wątpliwości, iż przy podejmowaniu decyzji inwestycyjnych, a także w trakcie ich realizacji, wszelka forma zaplanowania działań, ustalenia kosztów i nakładów pracy, a także w miarę możliwości, jak najdokładniejsze określenie oczekiwań wobec przedmiotu przedsięwzięcia, określenia kryteriów osiągnięcia sukcesu jest działaniem wysoce pożądanym, zwiększającym prawdopodobieństwo powodzenia. W każdym przypadku, kiedy zastosuje się w miarę metodyczny sposób, przemyślane i racjonalne podejście do zaplanowania i realizacji przedsięwzięcia, można z przekonaniem stwierdzić, iż efekty takiego działania będą znacznie skuteczniejsze niż gdyby pozostawić całość zadania codziennemu nurtowi spraw. Dodatkowo, jeżeli do powyższej konstatacji dołożymy tezę, iż warto jest skorzystać z do- 12

świadczeń administracji publicznej innych krajów i wdrażać opracowane, sprawdzone sposoby postępowania w takich sytuacjach, czyli metodyki zarządzania projektami, np.: PRINCE2 czy PMBOK, to w zasadzie określenie kluczowych czynników sukcesu nie jest zasadniczo skomplikowane. Skoro jest to takie proste i oczywiste, to dlaczego tak wiele projektów, zarówno realizowanych przez przedsiębiorstwa komercyjne, jak i przez administrację publiczną kończy się niepowodzeniem. Otóż, chociaż teoria zarządzania projektami nie wydaje się złożona, to sukces tkwi w sposobie jej wprowadzenia w życie. Należy nabyć umiejętności i niezbędnego doświadczenia, aby na bazie opracowanej teorii zarządzania projektami wdrożyć konkretne rozwiązanie. Metodyka taka, czy Inna, to tylko narzędzie, które musi być odpowiednio zastosowane, aby przynosiło oczekiwany efekt. W przypadku, gdyby najpopularniejsze metodyki zarządzania projektami nie wydawały się odpowiednie do zastosowania do konkretnego przypadku, nie należy poodejmować decyzji o rezygnacji w ogóle ze stosowania metodycznego podejścia. Wówczas, korzystając z własnych doświadczeń lub z doświadczeń innych jednostek administracji publicznej, warto zbudować własne wytyczne i standardy prowadzenia projektów, przejmując na ile wydaje się to racjonalne podejście prezentowane przez znane i cenione metodyki. Dzięki zastosowaniu takiego podejścia można oczekiwać: kontroli nad właściwą jakością produktów projektu w wyniku przyjęcia zasady stałego monitorowania jakości wytwarzanych produktów, kontroli nad czasem realizacji poszczególnych zadań projektowych jak również realizacji całości projektu, właściwego wykorzystania zasobów, możliwości dysponowania środkami na czas i w odpowiedniej ilości, właściwej komunikacji wewnątrz organizacji jak i z otoczeniem, możliwości zapobiegania powstawaniu niekorzystnych zdarzeń, a w przypadku ich wystąpienia, ograniczenie skutków i konsekwencji zarówno finansowych, jak i rzeczowych zarządzanie ryzykiem, zarządzanie zmianą, zaangażowania najwyższego szczebla decyzyjnego jednostki organizacyjnej w najistotniejszych, strategicznych elementach działań projektowych, budowania kompetencji poprzez tworzenie bazy wiedzy do wykorzystania w podobnych przedsięwzięciach. Pozostaje pytanie w jaki sposób, dzięki jakim kluczowym elementom, tzw. czynnikom sukcesu, będzie można oczekiwać powodzenia w ramach realizacji przedsięwzięć teleinformatycznych w administracji publicznej. Niezbędnym wydaje się: 1. Uporządkowanie przepisów prawa i zagadnień formalno-legislacyjnych. W celu właściwego prowadzenia projektu informatycznego w administracji publicznej, często niezbędne staje się przygotowanie lub właściwe odniesienie się do istniejącego aktu prawnego. Spójność zapisów, definicji pojęć informatycznych, wizji oraz koncepcji budowy architektury informatycznej państwa odzwierciedlona w sposób niebudzący wątpliwości w obszarze legislacyjnym jest wyjątkowo istotna z punktu widzenia należytego opisu przedmiotu danego przedsięwzięcia. 2. Każdorazowe prowadzenie analizy rzeczywistych potrzeb i oczekiwań obywatela w stosunku do roli i zakresu działania administracji publicznej. 3. Unikanie redundancji podobnych lub takich samych komponentów systemów IT. 4. Zapewnienie środków publicznych zarówno w fazie inwestycji jak i późniejszego utrzymania produktów zrealizowanego projektu. Czynniki wewnętrzne: 1. Właściwa i kompetentna kadra stanowiąca zgrany zespół projektowy. Należy zdefiniować i obsadzić role projektowe ze szczególnym uwzględnieniem kompetencji w zakresie zamówień publicznych, prawa, finansów, zagadnień inżynieryjnych. Kierownik Projektu osoba decyzyjna z kompetencjami. 2. Silne wsparcie kierownictwa jednostki, tzw. sponsora projektu w rozwiązywaniu zagadnień projektowych na szczeblu strategicznym. 13

3. Zapewnienie właściwej komunikacji w projekcie zarówno z interesariuszami zewnętrznymi, jak i wewnętrznymi. Niezbędne jest odpowiednie informowanie o stanie prac oraz zaangażowanie w prace projektowe i odbiory tzw. Użytkownika Końcowego. Ważne jest pokonanie oporu wewnętrznego, zmniejszenie lub wyeliminowanie czynnika stresogennego podczas zadań wdrożeniowych. 4. Właściwe przygotowanie zapisów kontraktu, umowy z Wykonawcą. Należy w umowie uwzględnić: a) dobrze zdefiniowany i opisany przedmiot umowy. Uniknięcie ryzyka zakupu niewłaściwego, niezadowalającego rozwiązania, b) realne zaplanowanie terminów dzielenie zadań na etapy, fazy, c) odpowiednio skonstruowane kary umowne kara nie może być zbyt wygórowana ale też nie może być za niska, czyli nieskuteczna, d) procedurę kontroli zakresu zmian: tryb zgłaszania, zatwierdzania, rozstrzygania, e) zapewnienie możliwości zmian umowy z przyczyn niezależnych od stron. Zapewnienie obsłużenia, wymienionych powyżej najważniejszych kryteriów powodzenia projektu, nie gwarantuje pomyślnego zakończenia przedsięwzięcia tym bardziej, że część z wymienionych kryteriów jest czynnikami zupełnie niezależnymi od członków zespołu projektowego, kierownika projektu, czy nawet kierownictwa danej jednostki administracji publicznej. Jednocześnie warto zaznaczyć, iż zastosowanie się do ww. wytycznych, podjęcie wysiłku organizacyjnego, a czasami nawet sama świadomość ograniczeń i występujących szans powoduje, iż projekt zaczyna zmierzać we właściwym, oczekiwanym kierunku. ZAKOŃCZENIE Oparcie realizacji projektów w administracji publicznej na udokumentowanych i znanych metodykach zarządzania projektami lub na podstawie samodzielnie opracowanych kompilacji znanych podjeść do zarządzania projektowego, wydaje się kluczowe, w celu skutecznej realizacji przedsięwzięć informatycznych. Niezbędna zatem staje się idea upowszechnienia wśród pracowników administracji publicznej konieczności podwyższania swojej wiedzy i kwalifikacji w przedmiotowym zakresie. Warto także zastanowić się nad wydzieleniem specjalistycznej, celowo zorientowanej na prowadzenie projektów informatycznych jednostki organizacyjnej administracji publicznej, dysponującej odpowiednim zespołem fachowców, kompetencjami, możliwościami organizacyjnymi. Przyznanie Polsce środków pomocowych w ramach funduszy UE wydaje się znakomitą okazją na podjęcie wyzwania w celu reorganizacji, przebudowy i tam gdzie to konieczne rozbudowy infrastruktury teleinformatycznej administracji publicznej. Powołanie przez ministra SWiA Centrum Projektów Informatycznych jednostki budżetowej w ramach resortu SWiA, specjalizującej się w realizacji przedsięwzięć teleinformatycznych, w maksymalny sposób racjonalizujących wydatkowanie środków pomocowych, jest wyśmienitym przykładem na rozważenie możliwości powołania tego typu instytucji na poziomie centralnym kraju. Literatura: 1. Trocki M., Grucza B., Ogonek K., Zarządzanie projektami, PWE, Warszawa 2003. 2. Office of Government Commerce, Skuteczne zarządzanie projektami PRINCE2, wydanie 2005, 2009 ISBN 0 11 330946 5. 3. Robert K.Wysocki, Rudd McGary Effective Project Management: Traditional, Adaptive, Extreme ISBN: 83-7361-861-9. 4. Kroll P., Kruchten P., Rational Unified Process od strony praktycznej, WNT Warszawa 2007. 5. Shore J., Warden S., Agile Development. Filozofia programowania zwinnego, Helion, Gliwice 2008. 6. Beck K., Anders C., Wydajne programowanie extreme Programming, Mikom, Warszawa 2005. 7. ISACA, COBIT Control Practicies: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd ed. 8. The Open Group, TOGAF Version 9, 2009, http://www.togaf.org/.

Ewa Szczepańska Centrum Projektów Informatycznych MSWiA ZARZĄDZANIE RYZYKIEM W PROJEKTACH INFORMATYCZNYCH REALIZOWANYCH PRZEZ ADMINISTRACJĘ PUBLICZNĄ Streszczenie Ewa Szczepańska jest absolwentką Executive MBA dla Menedżerów Information Technology oraz studiów podyplomowych z zakresu prawa handlowego, programowania i zastosowania komputerów, Aktualnie pełni funkcję zastępcy kierownika Wydziału Planowania i Organizacji Projektów Informatycznych CPI MSWiA. Od ponad 11 lat uczestniczy w budowie i wdrażaniu systemów IT dla potrzeb administracji państwowej. Celem niniejszego artykułu jest usystematyzowanie pojęć związanych z zarządzaniem ryzykiem, przedstawienie metodyk, procedur zarządzania ryzykiem oraz najczęstszych kategorii zagrożeń, jakie mają miejsce w prowadzonych projektach informatycznych przez administracje publiczną. Tak trudny i długotrwały proces jakim jest zarządzanie ryzykiem przejawia się również w korzyściach, jakie mają miejsce w organizacji zarówno w perspektywie strategicznej, programowej, projektowej jak również operacyjnej. Zarządzanie ryzykiem w projektach należy do najtrudniejszych wyzwań praktycznie w każdym projekcie. CPI MSWiA, realizując projekty: pl.id, OST 112, SIPR, eusługi, epuap, Prezydencja uwzględnia właściwe identyfikowanie elementów ryzyka. W dalszych czynnościach istotne jest, aby dla zidentyfikowanego ryzyka wybierać odpowiednie narzędzia jego eliminacji lub łagodzenia. WSTĘP DO ZARZĄDZANIA RYZYKIEM PODSTAWOWE DEFINICJE Zarządzaniu ryzykiem towarzyszy zestaw pojęć, który w różnych organizacjach może mieć odmienne znaczenie, dlatego konieczne staje się uporządkowanie i systematyzowanie słownictwa związanego z zarządzaniem ryzykiem. Niniejsza praca bazuje na zbiorze definicji opracowanych przez Office of Government Commerce w książce Zarządzanie ryzykiem: przewodnik dla praktyków. Wśród najczęściej stosowanych pojęć w zarządzaniu ryzykiem są: akceptacja reakcja na ryzyko będące zagrożeniem, świadoma i przemyślana decyzja powstrzymania się od jakichkolwiek działań na przykład przy założeniu, że podjęcie działań zapobiegawczych jest ekonomicznie nie- uzasadnione, zagrożenie powinno być stale monitorowane pod kątem tego, czy można je dalej tolerować, bliskość ryzyka parametr czasowy ryzyka oznaczający, że ryzyko może się zmaterializować w określonym momencie czasowym, albo że efekt może zależeć od czasu, w którym to nastąpi, okazja przyszłe wydarzenie, które jeżeli zajdzie, będzie miało pozytywny wpływ na cele lub korzyści, oszacowanie ryzyka ocena prawdopodobieństwa i skutku każdego ryzyka przy uwzględnieniu obowiązujących standardów, dopuszczalnych poziomów ryzyka, współzależności i innych związanych czynników, 15

prawdopodobieństwo oceniona możliwość zajścia określonego zagrożenia lub okazji uwzględniająca rozważania dotyczące częstości, z jaką zjawisko może występować, ryzyko niepewne zdarzenie lub ich grupa, które, jeżeliby zaszło, będzie miało wpływ na osiągnięcie celów. Ryzyko jest zazwyczaj mierzone (opisywane) prawdopodobieństwem i wpływem zagrożenia lub okazji na cele, skutek rezultat zmaterializowania się okazji lub zagrożenia, tolerancje na ryzyko poziom narażenia na ryzyko, które, jeżeli jest na to odpowiednia zgoda kierownictwa, mogą być przekroczone i jeżeli do tego dojdzie, to wyzwoli to określone reakcje (np. raport dotyczący sytuacji dla wyższego kierownictwa, które ma podjąć odpowiednie działania), zagadnienie zdarzenie, które właśnie zaszło, którego nie można było uniknąć i które wymaga natychmiastowych działań. Może to być problem, zapytanie, żądanie zmiany lub ryzyko, które się zmaterializowało, zagrożenie niepewne zdarzenie, które może mieć negatywny wpływ na cele lub korzyści, zarządzanie ryzykiem systematyczne stosowanie polityki, procedur, metod i praktyk w stosunku do zadań związanych z identyfikacją i oceną ryzyka, a w konsekwencji planowaniem i wdrażaniem reakcji na ryzyko. Zarządzanie ryzykiem tworzy proaktywne środowisko dla podejmowania decyzji. METODYKI ZARZĄDZANIA RYZYKIEM W zależności od obszaru, jakim ryzyko ma być zarządzane, możliwy staje się wybór odpowiedniej metodyki. W sytuacji, w której analizowana jest cała organizacja, z uwagi na kompleksowość podejścia, warto zastosować metodykę zarządzania ryzykiem COSO 11 II lub M_o_R 12. Jeżeli zarządzanie ryzykiem ma przebiegać w programach lub projektach godna polecenia jest metodyka PRINCE2 13 lub PMBoK 14. Amerykańska organizacja sektora prywatnego The Committee of Sponsoring Organizations of the Treadway Commission (COSO) wydała opracowanie pn. Zarządzanie ryzykiem korporacyjnym zintegrowana struktura ramowa, w którym w dwóch częściach przedstawia mechanizmy zarządzania ryzykiem. Pierwsza część omawia strukturę ramową, która definiuje zarządzanie ryzykiem korporacyjnym oraz opisuje zasady i koncepcje, stanowiące wskazówki do oceny i zwiększenia efektywności zarządzania ryzykiem na wszystkich szczeblach organizacji. Druga część skupia się na przedstawieniu technik, które można zastosować w elementach struktury ramowej. Zarządzanie ryzykiem korporacyjnym wg COSO II składa się z następujących elementów: uzgodnienia apetytu na ryzyko ze strategią, wzmocnienia decyzji w sprawie reakcji na ryzyko, ograniczenia niespodzianek i strat operacyjnych, identyfikowania i zarządzania wieloma rodzajami ryzyka w przedsiębiorstwie, wykorzystywania możliwości, szans oraz kapitału. Kompleksowe podejście korporacyjne do zarządzania ryzykiem prezentuje również brytyjska metodyka Management of Risk (M_o_ R). Office of Government Commerce (OGC) opracował przewodnik zarządzania ryzykiem w skali całej organizacji, prezentując spójne ramy do zarządzania ryzykiem jako części systemu wewnętrznej kontroli i kluczowego składnika ładu korporacyjnego. Wszystkie zasady, procesy i kroki określone w metodyce M_o_R możliwe są do zastosowania zarówno w organizacji, programie, projekcie, przedsięwzięciu oraz w działalności operacyjnej firmy. Metodyka M_o_R pokazuje globalne podejście do zagadnień ryzyka, konsekwencje w poszczególnych działaniach oraz hierarchiczność stosowania wytycznych. 11 COSO Committee of Sponsoring Organizations of the Treadway Commission. 12 Znak M_o_R jest zarejestrowanym znakiem handlowym Office of Government Commerce w Zjednoczonym Królestwie I innych krajach. 13 PRINCE2 Projects In a Controlled Environment - projekty w środowiskach sterowalnych. 14 Project Management Body of Knowledge. 16

Project Management Body of Knowledge (PMBoK) to standard utworzony przez Project Management Institute (PMI), który opisuje dobre praktyki dla kierownika projektu z zakresu zarządzania projektem w całym cyklu jego życia. W PMBoK wyróżnia się obszary wiedzy i procesy, które można podzielić na grupy. W skład głównych procesów wchodzą: procesy inicjowania, planowania, monitorowania i kontroli, procesy wykonawcze oraz procesy zamknięcia. Natomiast na obszary wiedzy składają się: integracja, zakres, czas, koszty, zasoby ludzkie, jakość, ryzyko, komunikacja, zamówienia. Ryzyko w PMBoK stanowi jeden z obszarów zarządzania i zostało przedstawione w 6 procesach. Zaplanowanie zarządzania ryzykiem polega na określeniu, w jaki sposób przeprowadzane będzie zarządzanie ryzykiem, jakie będą stosowane metody, narzędzie oraz techniki. Następnie identyfikuje się ryzyko, czyli określa się jego wpływ na projekt. Nie można zapomnieć o przeprowadzeniu jakościowej i ilościowej analizy ryzyka, jak również o zaplanowaniu i przygotowaniu reakcji na ryzyko, działań, decyzji oraz przypisaniu osób odpowiedzialnych za powyższe zadania. Monitorowanie i kontrola ryzyka to wdrożenie przygotowanych wcześniej działań. Druga metodyka zajmująca się zarządzaniem ryzykiem w projektach to PRINCE2 (Projects In a Controlled Environment projekty w środowiskach sterowalnych), której właścicielem jest Office of Government Commerce agenda Ministerstwa Skarbu w Wielkiej Brytanii. Metodyka PRINCE2 składa się z pryncypiów, czyli podstawowych zasad, procesów określających kroki, jakie należy wykonać w projekcie oraz tematów, które są grupą istotnych aspektów zarządzania i powinny znajdować się w centrum uwagi zarządzających projektem. Do pryncypiów zalicza się: ciągłą zasadność biznesową, korzystanie z doświadczeń, zdefiniowanie ról i obowiązków, zarządzanie etapami, zarządzanie z wykorzystaniem tolerancji oraz koncentrowanie się na produktach i dostosowanie do warunków projektu. Drugim elementem w metodyce PRIN- CE2 są następujące procesy: przygotowanie projektu, inicjowanie, sterowanie etapem, zarządzanie końcem etapu, zarządzanie dostarczeniem produktów, zamykanie projektu oraz zarządzanie strategiczne projektem. Natomiast na tematy, czyli sposób zaadaptowania pryncypiów do środowiska projektowego zalicza się: uzasadnienie biznesowe, organizację, jakość, plany, ryzyko, zmiany i postępy. Zarządzanie ryzykiem w PRINCE2 składa się z pięciu kroków, które są ujednolicone z metodyką M_o_R i obejmują identyfikowanie ryzyka, ocenianie, planowanie działań zarządczych w kontekście każdego ryzyka oraz wdrażanie wybranej reakcji na ryzyko. Nie Tabela 1. Procesy zarządzania ryzykiem zgodnie z PMBoK Lp. Proces Opis 1 Zaplanowanie zarządzania ryzykiem Określenie, w jaki sposób przeprowadzane będzie zarządzanie ryzykiem, jakie będą stosowane metody, narzędzie oraz techniki. 2 Identyfikowanie ryzyka Określenie, jakie ryzyko ma wpływ na projekt. 3 Przeprowadzenie jakościowej analizy ryzyka 4 Przeprowadzenie ilościowej analizy ryzyka 5 Zaplanowanie reakcji na ryzyko 6 Monitorowanie i kontrola ryzyka Określenie priorytetów ryzyka. Przeprowadzenie liczbowej analizy ryzyka wyodrębnionego w jakościowej analizie ryzyka. Przygotowanie możliwych reakcji na ryzyko, podjęcie decyzji o wyborze działań oraz przypisanie osób odpowiedzialnych za wykonanie wybranych działań. Wdrożenie przygotowanych wcześniej działań, kontrolowanie i monitorowanie ww. działań. Źródło: Opracowanie własne na podstawie A guide to Project Management Body of Knowledge, 2008, PMI. 17

Tabela 2. Kroki w zarządzaniu ryzykiem na podstawie metodyki PRINCE2 Lp. Kroki Opis 1 Identyfikuj Identyfikacja ryzyka mająca wpływ na projekt, która jest zapisywana Rejestrze Ryzyka. 2 Oceniaj Analiza ryzyka i ocena prawdopodobieństwa wystąpienia, wpływu na realizację celów projektu, bliskości. 3 Planuj Planowanie działań zarządczych w kontekście każdego ryzyka. 4 Wdrażaj Wdrażanie wybranej reakcji na ryzyko. 5 Komunikuj Ciągłe przekazywanie informacji o ryzyku w projekcie. Zasady komunikacji powinny być określone w projekcie. Źródło: Opracowanie własne na podstawie Skuteczne zarządzanie projektami PRINCE2, 2009. należy zapominać o komunikacji, która jest ważną częścią procesu. Po dokonaniu wyboru metodyki i obszaru, w jakim będzie wykorzystywana metodyka, należy zastosować wszelkie dobre praktyki, wskazówki, wzory dokumentów, które będą korzystne dla danej organizacji. W administracji publicznej najczęściej stosowaną metodyką jest PRINCE2, poprzez bazę wiedzy, doświadczenie instytucji możliwe staje się wypracowanie dogodnych procedur i dokumentów. KATEGORIE RYZYKA Kategoria ryzyka rozumiana jest, jako grupa identyfikowanych zagrożeń, które mogą mieć miejsce w przedsięwzięciu. Po identyfikacji konieczne staje się odnotowanie tego zdarzenia w Rejestrze Ryzyka. Tabela nr 3 przedstawia kategorie ryzyka określone przez Ministerstwo Skarbu Wielkiej Brytanii w publikacji zatytułowanej Pomarańczowa księga zarządzania ryzykiem zasady i koncepcje 15. Tabela 3. Kategorie ryzyka wg Pomarańczowej księgi zarządzania ryzykiem zasady i koncepcje Kategorie ryzyka Zewnętrzne wynikające ze środowiska zewnętrznego, nie znajduje się w całości pod kontrolą organizacji, ale można podjąć pewne działania w celu zmniejszenia tego rodzaju ryzyka Polityczne Ekonomiczne Społeczno- -kulturowe Technologiczne Legislacyjne Ekologiczne Przykłady Zmiana rządu, ważne decyzje polityczne. Zdolność do przyciągania i zatrzymywania personelu na rynku pracy, wymiana kursu walut, wpływ gospodarki globalnej na gospodarkę krajową. Zmiany demograficzne determinujące popyt na usługi. Starzenie się obecnie używanych systemów, koszt zakupu najlepszej z dostępnych technologii. Wymogi UE/akty prawne nakładające wymagania. Konieczność spełniania zmieniające się normy. 15 Pomarańczowa księga zarządzania ryzykiem zasady i koncepcje dokument na temat zarządzaniu ryzykiem, który został opracowany przez Ministerstwo Skarbu Wielkiej Brytanii dla organizacji rządowych. 18

c.d. tabeli 3 Kategorie ryzyka Przykłady Operacyjne związane z wykonywanymi obecnie operacjami zarówno z realizacją zobowiązań, jak i budowaniem oraz utrzymywaniem wydajności i potencjału. Realizacja zobowiązań Wydajność i potencjał Wyniki i zdolność w zakresie zarządzania ryzykiem Niedostarczenie usług/produktów, niedostarczenie usług użytkownikowi stosownie do uzgodnionych/ustalonych warunków, niewykonanie projektu w terminie/w ramach budżetu/zgodnie ze specyfikacjami. Zasoby finansowe, zasoby ludzkie, informacyjne, aktywa materialne, relacje kontrahenci, klienci/użytkownicy usług, rozliczalność, reputacja, zaufanie interesariuszy do organizacji. Nadzór prawidłowość i moralność, zgodność z odpowiednimi wymogami/względy etyczne, monitorowanie, niezidentyfikowanie szans i zagrożeń odporność i wytrzymałość, możliwości systemów/ dostosowanie się/systemy informatyczne odporne na negatywne wpływy i kryzysy. Przywrócenie poprawnego działania organizacji po wystąpieniu zdarzenia kryzysowego/awaryjny plan działań, bezpieczeństwo aktywów materialnych i informacji. Związane ze zmianą ryzyko wynikające z decyzji o realizacji nowych przedsięwzięć wykraczających poza obecne zdolności. Cele związane z umowami w zakresie służby publicznej. Nowe cele związane z umowami w zakresie służby publicznej podważają zdolność organizacji do realizacji zobowiązań/zdolność do wyposażenia organizacji w środki umożliwiające realizację zobowiązań. Programy zmian i wprowadzające zmiany organizacyjne lub kulturowe zagrażają bieżącej zdolności do realizacji zobowiązań oraz znalezieniu możliwości zwiększenia zdolności. Nowe projekty oraz podejmowanie optymalnych decyzji inwestycyjnych/ hierarchizacja projektów rywalizujących o środki. Nowa polityka i decyzje związane z nią stwarzają oczekiwania tam, gdzie organizacja nie ma pewności co do zrealizowania zobowiązań. Źródło: Pomarańczowa księga zarządzanie ryzykiem zasady i koncepcje, Ministerstwo Skarbu Wielkiej Brytanii, 2004, s. 17. Inny z podziałów kategorii ryzyka został zidentyfikowany przez metodykę PRINCE2, który prezentuje tabela nr 4. Tabela 4. Kategorie ryzyka wg PRINCE2 Kategorie ryzyka Strategiczne, handlowe Ekonomiczne, finansowe, rynkowe Prawne Organizacyjne, zarządcze Polityczne Środowiskowe Techniczne Przykład Problemy finansowe wykonawcy, brak możliwości ubezpieczenia. Zmienność kursu walut, inflacja, Zmiany prawne wpływające na założenia projektowe. Niewłaściwa polityka firmy, brak decyzji, konflikty personalne. Zmiana rządu, niekorzystna opinia publiczna. Katastrofy naturalne. Uszkodzenia infrastruktury, błędy wykonawcze, niejasne oczekiwania. Źródło: Opracowanie własne na podstawie Skuteczne zarządzanie projektami PRINCE2, 2005. s. 431 433. 19