Zarządzanie ryzykiem: jak do niego podchodzimy w Spyrosoft

Matylda Chmielewska

Content Specialist

Nasze zespoły specjalistów współpracują z wieloma klientami m.in. z takich sektorów jak healthcare i automotive, dlatego zarządzanie ryzykiem jest dla nas jednym z kluczowych elementów każdego projektu, zarówno takich związanych z rozwojem oprogramowania jak i hardware’owych.

W wywiadzie poniżej, nasi eksperci ds. zarządzania ryzykiem, Marek Pałka i Łukasz Stachowiak opowiadają o tym, jak pochodzimy do zarządzania ryzykiem w Spyrosoft i jakich strategii używamy w pracy z klientami.

Jak zdefiniowalibyście zarządzanie ryzykiem?

MP: Dla mnie to jest zarządzanie niepewnością. Zarówno jak i prywatnym życiu jak i w pracy istnieje pewnego rodzaju niepewność - nie mamy gwarancji, że rzeczy wydarzą się w określony sposób. Często też nie mamy odpowiednich danych, żeby stwierdzić, że coś wydarzy się w określony sposób, ale wiemy, że coś może pójść nie tak. Żeby zwiększyć prawdopodobieństwo, że jednak coś pójdzie po naszej myśli, powinniśmy zacząć myśleć o scenariuszach czy sytuacjach, które mogą pójść źle i nie osiągniemy swojego celu.

Jak już je zidentyfikujemy i zaadresujemy w odpowiedni sposób, zmniejszamy prawdopodobieństwo, że czynniki zewnętrzne będą miały mniejszy wpływ na daną sytuację.

ŁS: W zarządzaniu ryzykiem celem nie jest wyeliminowanie go, ale sprowadzenie go tylko do poziomu, który jest akceptowalny. To jest to zaznaczone w wielu normach związanych z zarządzaniem ryzykiem.

Jak firma powinna przygotować się do wprowadzenia risk management w swojej firmie?

MP: Pierwszym krokiem jest zidentyfikowanie ryzyka lub ryzyk. To jest taki punkt wyjściowy, który nakreśla kolejne. Następnie - jeżeli mamy taką listę ryzyk - staramy się oszacować, jaki one będą miały one wpływ na działania naszej firmy. Może się okazać, że część z tych ryzyk ma niskie prawdopodobieństwo wystąpienia i niski wpływ. Taka sytuacja jest wtedy komfortowa, bo takie ryzyko ma ułamkowy wpływ na to, co chcę osiągnąć. Na tej skali będą też oczywiście ryzyka średnie i wysokie. Przy tych ostatnich od razu powinna się zapalić czerwona lampka i od razu musimy coś z tym zrobić.

Trzeci krok to jest właśnie określenie strategii, jak chcemy sobie poradzić z tymi ryzykami. Najczęściej wybierana ścieżka to mitygowanie, czyli podejmowanie działań, które spowodują, że to, co wcześniej było wysokim ryzykiem, teraz zostanie zakwalifikowane jako niskie lub średnie. Dążymy do tego, że osłabić prawdopodobieństwo i wpływ ryzyk.

Druga metoda to transferowanie ryzyka. Może część z tych ryzyk możemy komuś przekazać? Jeśli są obszary lub zagadnienia, na których się nie znamy i to samo w sobie stanowi dla nas ryzyko, wybieramy poddostawcę, któremu przekazujemy ten obszar i to ryzyko jest już po jego stronie.

Jest też akceptacja ryzyka. Mogę zaakceptować ryzyko, jeżeli jest na niskim poziomie, ale je monitoruję co jakiś czas i sprawdzam, czy to nadal jest taki niski poziom.

Kolejną jest uniknięcie ryzyka. Wybieram daną technologię, w której nie mam kompetencji i nie mogę transferować ryzyka, bo na rynku też nie ma firm, które mogłyby to ode mnie przejąć. Uniknę tego ryzyka, jeśli wybiorę inną technologię.

ŁS: Jest jeszcze coś takiego jak ryzyko pozytywne - „szansa”. Z definicji ryzyko to jest niepewność, niepewne wydarzenie, natomiast to niepewne wydarzenie może też być pozytywne.

Do strategii dla ryzyk pozytywnych / szans należy wzmocnienie ryzyka. Tutaj robimy coś, żeby jednak zwiększyć prawdopodobieństwo, że to się zmaterializuje i będzie dla nas korzystne. Na przykład: realizujemy projekt i jest przewidziany bonus, jeżeli wyrobimy się z pracą szybciej.

Jak kształtowało się myślenie o risk management w Spyrosoft?

Spyrosoft został założony przez bardzo doświadczone osoby i o ile na początku to może nie było nic sformalizowanego, to każda osoba miała z tyłu głowy, że risk management to naturalna rzecz, którą się robi przy zakładaniu nowej firmy. To powielają też normy ISO9001 i powiązane, które promują podeście do zarządzania w oparciu o ryzyko (risk-based approach), gdzie przy każdym nowym projekcie i procesie, najpierw patrzymy na nie pod kątem ryzyka. Możemy wtedy od razu na nie zareagować.

W Spyrosoft najpierw pojawiły się standardy organizacyjne, później była certyfikacja ISO9001 i ISO27001, co potwierdziło faktycznie implementacje konceptu risk-based approach.

W ramach opracowanych celów strategicznych organizacji na lata 2019 – 2023, określiliśmy ryzyka i szanse w odniesieniu do tych celów. Od tego czasu mamy regularne spotkania związane z risk management, gdzie są omawiane ryzka, które ryzyka się zmaterializowały, których nam się udało uniknąć, czy wpłynęły na coś, czy coś się zmieniło no i nowe ryzyka które zostały zidentyfikowane. Na bieżąco wtedy podejmujemy decyzje odnośnie zmian. To podejście świetnie sprawdziło się w pandemii, gdzie byliśmy szybko w stanie przejść na pracę zdalną i wprowadzić środki ochrony w biurach w oparciu o Plan Ciągłości Działania, który został opracowany również w oparciu o ryzyko.

Jako firma świadczymy usługi rozwoju oprogramowania dla naszych klientów i to oczywiście, też się wiąże z pewnym ryzykiem, mamy też kolejne normy. Już na poziomie tworzenia oferty identyfikujemy ryzyka i tworzymy ich rejestr, który później przedstawiamy zespołowi klienta. Ten rejestr sobie później żyje przez cały projekt, uzupełniany o kolejne zidentyfikowane ryzyka.

Jest jeszcze poziom niższy - on jest już bezpośrednio związany z produktem, który tworzymy wspólnie z klientem. Tu zarządzanie ryzykiem opiera się głównie na tym, jak zapewnić, że produkt będzie rozwijany w taki sposób, żeby nie spowodować uszczerbku na zdrowiu lub śmierci użytkownika.

W jaki sposób wprowadzamy klientów w nasze podejście do zarządzania ryzykiem?

Już na poziomie umowy otwarcie mówimy o naszych procesach oraz dokumentacji związanej z zarządzaniem ryzykiem, którą musimy stworzyć. W Spyrosoft osoby zarządzające projektami są świadome tego, jak ważne jest zarządzanie ryzykiem, nieważne, jaka ostatecznie będzie forma: rejestr ryzyk lub lista w Jirze. Najważniejsze, żeby ta dokumentacja powstawała i była aplikowana na różnych poziomach i etapach projektu i dla różnych kategorii ryzyka.

Na wczesnym etapie projektu używamy też przeważnie jakościowej oceny ryzyka, co pozwala w sposób systematyczny identyfikować zagrożenia. Później nakładamy to na matrycę ryzyka i jasno widzimy w którym miejscu znajduje się dane ryzyko – czy jest ono akceptowane czy nieakceptowalne.

ŁS: Takim narzędziem wspólnym dla wszystkich projektów (szczególnie z obszarów automotive i wyrobów medycznych) jest też kwalifikacja narzędzi, których używamy do stworzenia danego produktu. W branży medycznej koniecznie jest przeanalizowanie wszystkich narzędzi, żeby sprawdzić, czy one są wystarczająco bezpieczne i czy pisanie kodu w tym narzędziu nie spowoduje później jakiejś usterki w samym produkcie. Dokonujemy też bardzo zaawansowanych konfiguracji pewnych narzędzi i musimy tutaj za każdym razem dokonywać kwalifikacji pod kątem ryzyka.