Aktuální vydání

celé číslo

08

2024

Automatizace v potravinářství a farmacii

Měření a regulace průtoku, čerpadla

celé číslo

Rizika při výběru a implementaci podnikových informačních systémů

číslo 3/2004

Rizika při výběru a implementaci podnikových informačních systémů

V článku je vymezen obsah pojmu „řízení rizik„ z pohledu implementace podnikových informačních systémů (IS) a popsán přístup k řešení problému řízení rizik použitý v jednom případě projektu zavedení podnikového IS. Dále je poukázáno na nezastupitelnou úlohu vrcholového managementu při řízení projektu implementace IS a obzvláště při řízení rizik vznikajících v průběhu realizace projektu. S pokračujícím sbližováním techniky pro řízení technologických procesů s IS na úrovni podniku jde vesměs o myšlenky platné i pro informační řídicí systémy (IŘS), které jsou jádrem současných automatizačních projektů.

1. Úvod

Informatizace lidské společnosti a veškerých procesů, které se v ní odehrávají, se v několika minulých desetiletích stala rozhodujícím fenoménem ovlivňujícím život každého z nás. I ti, kteří si až donedávna odmítali tuto skutečnost připustit, musí v současné době poopravit svůj názor. Začínáme si stále více uvědomovat, kam všude procesory, počítače a čipy pronikly a co vše by jejich selhání mohlo způsobit.

Proč jsou vlastně výpočetní a komunikační technika a procesy informatizace s nimi spojené považovány za nebezpečné a rizikové? Jádro odpovědi na tuto otázku je zřejmě ukryto ve skutečnosti, že jde o první prostředky a postupy v lidské historii, které v sobě zahrnují prvek automatizovaného rozhodování. Čím je systém složitější, tím jsou rozhodovací algoritmy komplikovanější a méně transparentní. Navíc jsou počítačové programy provozovány na složitých technických zařízeních propojených s jinými technickými zařízeními do rozsáhlých sítí. Je tedy velmi pravděpodobné, že nesprávné fungování kteréhokoliv prvku tohoto systému může způsobit škody těžko odhadnutelného rozsahu.

Jestliže si uvědomíme uvedené skutečnosti, musíme si nutně položit otázku, zda a jak lze potenciální rizika identifikovat, předvídat, předcházet jim a popř. jak minimalizovat škody, nejsou-li preventivní opatření dostatečně účinná. Je s podivem, jak málo pozornosti je často na straně dodavatele (integrátora systému) i na straně budoucího uživatele informačního systému (IS) věnováno analýze možných rizik a jejich prevenci. Na základě vlastní praxe a zkušeností se domníváme, že příčinou podceňování významu této oblasti jsou tyto převládající postoje dodavatelů, popř. odběratelů:

  1. Dodavatel – integrátor systému se soustřeďuje na splnění svého úkolu, tj. dodávku nakontrahovaného zboží a služeb. Denně se operativně zabývá vznikajícími problémy a většinou má za to, že už tím pro vyloučení rizik dělá maximum. Možná rizika na straně odběratele si příliš nepřipouští a nepovažuje je za svůj problém.

  2. Odběratel – budoucí uživatel systému je zpravidla přesvědčen, že integrátor systému je zde právě od toho, aby si s jakýmkoliv rizikem a problémem včas poradil. Na straně budoucího uživatele IS se velmi často objevuje názor, že integrátor by měl dodat systém tzv. na klíč. Někteří vrcholoví manažeři se rádi oddávají představě, že po dokončení implementace IS budou manažery „jiného – nového podniku„, organizovaného na základě nejnovějších poznatků a řízeného při použití nejmodernějších metod a prostředků, a to aniž by na tuto změnu vynaložili nějaké vlastní úsilí. Vše je přece povinen zařídit integrátor systému, a pokud se to nedaří, je tu přece smlouva a v ní určitě nějaká ta sankce, kterou lze uplatnit.

Oba dva postoje jsou krátkozraké, nebo řekněme alibistické. Jejich více či méně „sveřepé“ zastávání všemi zúčastněnými je živnou půdou pro vznik nejrůznějších kolizí a problémů, které dodávky, implementaci a využívání nakoupených produktů v lepším případě brzdí, v tom horším zcela znemožňují. Je dobré si v tomto případě uvědomit, jak podstatný vliv na postoje zainteresovaných členů projektových týmů k implementaci mají právě chování a stanoviska vrcholových manažerů na obou stranách. Jestliže tito lidé dávají najevo, že projekt zavedení nového IS má pro ně asi stejný význam jako rekonstrukce vrátnice a věnují mu tomu odpovídající procento svého času, nelze počítat s tím, že jejich podřízení se budou chovat zodpovědněji.

Překonat naznačené postoje je možné. Záleží na zřetelně vyjádřené vůli a zájmu na straně dodavatele i odběratele řešit tento problém, dále na dobré a vstřícné vzájemné komunikaci mezi integrátorem a uživatelem IS a v neposlední řadě na míře angažovanosti vrcholového managementu obou stran v celém procesu implementace. Troufáme si tvrdit, že bez této angažovanosti je zvládnutí procesu implementace včetně řízení a minimalizace rizik s ním spojených znatelně obtížnější a s méně kvalitním výsledkem. O tom, jaká rizika lze očekávat při výběru a implementaci podnikového informačního systému a jak se s nimi vyrovnávat, pojednává zbytek této stati.

2. Riziko – vymezení podstaty pojmu

Riziko je jakýkoliv faktor, který může ohrozit dosažení cílů projektu.

Jde tedy o jakýkoliv problém, který ohrožuje realizaci projektu, ať už je jeho zdrojem např.:

  • nedostatečně ujasněná strategie rozvoje uživatelského podniku,
  • nedostatek zdrojů na financování projektu,
  • podcenění oponentur a testování,
  • nedodržení termínu instalace hardwaru,
  • nedostatečný rozsah školení uživatelů,
  • opomenutí kontroly kvality kmenových dat apod.

Rizika spojená s projektem implementace podnikového IS musí být systematicky identifikována, analyzována, definována a odstraňována v závislosti na přidělené prioritě, která je určována podle naléhavosti daného rizika, stupně nebezpečnosti a rozsahu potencionálních škod.

Cílem činností shrnovaných pod pojem řízení rizik je zajistit, aby rizika byla správně chápana a oceňována a aby byla včas přijímána opatření k jejich prevenci, popř. nápravě nebo alespoň zmírnění následků. Přitom je třeba postupovat pokud možno optimálním způsobem tak, aby pravděpodobnost výskytu rizik a případného narušení průběhu projektu byla co nejmenší. Identifikace a vlastní řízení rizik jsou nedílnou součástí celého projektu a je třeba je průběžně provádět po celou dobu implementace projektu na všech jeho úrovních.

Kvalitní řízení rizik umožňuje vedoucím projektu kvalitněji rozhodovat na základě správných a úplných informací, a tedy efektivněji vést projekt. Řízení rizik musí být v takovém souladu s ostatními činnostmi řízení projektu, aby byla zaručena sounáležitost celého postupu.

3. Postupy při řízení rizik

Rizika společně identifikují externí vedoucí projektu (ze strany dodavatele) a interní vedoucí projektu (ze strany uživatele) ve spolupráci s členy jednotlivých projektových týmů. Rizika musí být zaznamenána, oceněna z hlediska pravděpodobnosti výskytu a významu důsledků a zařazena do skupin podle priorit. Rizika jsou identifikována po celou dobu trvání projektu.

V procesu plánování práce s riziky se vytvářejí plány opatření zabývající se každým identifikovaným rizikem podle jeho významu. Současně se zajišťuje koordinace s dalšími částmi projektu. Plány musejí počítat se zdroji (časem, lidmi, materiálem i financemi) potřebnými na přípravu a provedení nápravných opatření.

Dále je v procesu řízení rizik nezbytné sledovat postup zavádění jednotlivých přijatých opatření a jejich vliv na vyloučení rizika. Nejvýznamnější rizikové faktory, plány opatření k jejich eliminaci a postup jejich realizace jsou projednávány a schvalovány na jednáních řídícího výboru projektu.

Za uplatňování těchto postupů odpovídají jak externí, tak interní vedoucí projektu. V rámci hlavního projektového týmu, tvořeného externím a interním vedoucím projektu a vedoucími projektanty (konzultanty) jednotlivých modulů implementovaného systému, je vhodné určit jednoho pracovníka do funkce manažera pro řízení rizik. Výkon této funkce lze popř. sloučit s výkonem některé jiné průřezové funkce, např. manažera řízení jakosti.

4. Dokumentování rizik

4.1 Základní rozsah dokumentace
V rámci řízení rizik je vhodné vést dokumentaci, a to alespoň v dále uvedeném rozsahu. V rámci určitého projektu IS podniku (Enterprise Resource Planning – ERP) byla dokumentace vedena v elektronické podobě jako součást integrovaného systému projektové dokumentace, a to v podobě tabulek Přehled hodnocení rizik a Seznam opatření, podrobněji popsaných v dalším textu.

Tab. 1. Přehled hodnocení rizik

Id. č. Rizikový faktor (událost) Pravděpodobnost události Důsledky události Priorita Preventivní opatření Termín Kontingenční opatření Poznámka
001                
002                

4.2 Přehled hodnocení rizik
Tabulka Přehled hodnocení rizik byla vedena ve struktuře patrné z jejího záhlaví (tab. 1) jako základní nástroj k identifikaci a evidenci rizikových faktorů a přípravě nápravných opatření. Do ní byly postupně zaznamenávány jednotlivé rizikové faktory (události), jejich ocenění (viz dále) a přijatá protiopatření. Protože některá z opatření mohou eliminovat vliv i několika různých rizikových faktorů, jsou součástí tabulky i výčty relevantních opatření (preventivních i kontingenčních) při použití číselných identifikátorů opatření přiřazených jim podle tabulky Seznam opatření.

Jednotlivé sloupce tabulky Přehled hodnocení rizik mají význam:

  1. Id. č. – identifikační (pořadové) číslo jednoznačně identifikující jednotlivé sledované rizikové faktory (události) v rámci projektu.

  2. Rizikový faktor (událost) – jakákoliv událost nebo faktor, které mohou ohrozit úspěšnou realizaci projektu.

  3. Pravděpodobnost události – míra pravděpodobnosti výskytu události (číslo od 1 do 9, větší číslo znamená větší pravděpodobnost).

  4. Důsledky rizikové události – váha negativních dopadů na projekt v případě výskytu dané rizikové události vyjádřená číslem od 1 do 5, kde:
    – 5 – fatální důsledky (zastavení řešení projektu na neurčito, velmi velké škody),
    – 4 – velmi vážné důsledky (hrozí velké zpoždění projektu, velký růst nákladů),
    – 3 – vážné důsledky (hrozí zpoždění nebo problémy v některé dílčí části projektu),
    – 2 – komplikace (hrozí růst nákladů nebo menší zpoždění v dílčí části projektu),
    – 1 – malé důsledky (problém lze vyřešit s dodržením rozpočtu i harmonogramu).

  5. Priorita – odhad celkové míry rizikového potenciálu pro daný faktor (událost), vyjádřený jako součin hodnot pravděpodobnost události a důsledky události: hodnota veličiny se pohybuje v rozmezí 1 až 45 (větší hodnota znamená větší míru rizika a tím vyšší prioritu realizace navrženého preventivního opatření).

  6. Preventivní opatření – plánované opatření, které vede ke zmenšení pravděpodobnosti výskytu rizikové události, popř. ke zmírnění jejích dopadů (v tabulce je reprezentuje přidělený číselný identifikátor).

  7. Termín – konečný termín realizace preventivních opatření se vztahem k danému faktoru (události).

  8. Kontingenční opatření – plánované opatření, které vede k nápravě nebo zmírnění důsledků rizikové události, jež skutečně nastala (v tabulce je opět reprezentuje přidělený číselný identifikátor – viz tab. 2).

  9. Poznámky – jakékoliv doplňující informace.

Tab. 2. Seznam opatření

Id. č. Kategorie Popis opatření Termín realizace Odpovídá Poznámka
001 P        
002 K        
         

4.3 Seznam opatření
Opatření realizovaná v rámci procesu řízení rizik lze rozdělit na preventivní a kontingenční.

Preventivní opatření slouží k předcházení vzniku rizikových událostí anebo k minimalizaci jejich případných důsledků (škod). Plánují a uskutečňují se jen tehdy, když rizikový potenciál (výše pravděpodobných škod v kombinaci s pravděpodobností výskytu rizikové události) dostatečně odůvodňuje náklady nutné na realizaci konkrétního preventivního opatření. Posuzovat každou konkrétní možnou událost je zde třeba individuálně. V případě zmíněného konkrétního projektu byla všechna preventivní opatření, která zvyšovala náklady na realizaci projektu, projednávána a schvalována řídícím výborem projektu.

Kontingenční opatření jsou opatření určená k nápravě nebo zmírnění dopadu rizikové události v případě, kdy událost skutečně nastane. V takovém případě se realizuje připravený plán kontingenčních opatření. Kontingenční opatření by měla být připravena pro všechny rizikové události s prioritou (rizikovým potenciálem) vyšší než 15. Na přípravu a realizaci kontingenčních opatření je nezbytné vyhradit příslušnou časovou a finanční rezervu.

Systematický přehled přijatých opatření poskytovala v daném projektu tabulka Seznam opatření (tab. 2), jejíž jednotlivé sloupce mají význam:

  1. Id. č. – identifikační (pořadové) číslo jednoznačně identifikující jednotlivá opatření (akci).

  2. Kategorie – udává kategorii opatření (P – preventivní, K – kontingenční).

  3. Popis opatření – slovně specifikuje jednotlivá opatření nebo akci.

  4. Termín realizace – v případě preventivních opatření se udávalo nejzazší přípustné datum jejich realizace, u kontingenčních opatření, realizovaných na základě výskytu rizikové události, byl uváděn počet dnů od okamžiku výskytu rizikové události, v nichž je třeba opatření realizovat.

  5. Odpovídá – jméno osoby odpovědné za realizaci opatření.

  6. Poznámka – lze využít např. k uvedení odhadu nákladů na realizaci opatření i jiných relevantních údajů.

5. Proces řízení rizik

Jak jsme již uvedli, považujeme za vhodné ustanovit jednoho z členů hlavního projektového týmu manažerem pro řízení rizik. Mělo by se jednat o zkušeného pracovníka s praxí ve vedení projektů implementace podnikových IS a s dobrými organizačními schopnostmi. Vedle řízení rizik může tento pracovník vykonávat v rámci projektového týmu i jinou činnost, neosvědčilo se nám však slučovat řízení rizik s výkonem funkce vedoucího konzultanta pro některou dílčí oblast projektu. V takovém případě totiž roste riziko přednostního řešení rizik, která jsou danému pracovníkovi bližší vzhledem k jeho věcné orientaci. U menších projektů nebo chybí-li vhodný pracovník s dostatečnými zkušenostmi a průřezovým zaměřením je nejlepší, jestliže se řízení rizik věnuje přímo vedoucí projektu.

V procesu řízení rizik považujeme za prvořadé:

  • ustanovit vhodného pracovníka do funkce manažera pro řízení rizik,

  • vytvořit jediné místo pověřené sběrem a zpracováním informací o stavu rizik a opatření proti nim a vedením související dokumentace,

  • řádně vést dokumentaci rizik a průběžně je oceňovat,

  • plánovat a realizovat preventivní i kontingenční opatření k eliminaci rizik a důsledků při vzniku rizikových událostí,

  • věnovat projednávání rizik zvláštní bod na pracovních poradách hlavního projektového týmu a na jednáních řídícího výboru projektu.

6. Úloha vrcholového managementu v procesu řízení rizik

Za nezastupitelnou v procesu řízení rizik považujeme úlohu představitelů vrcholového managementu zastoupených v řídícím výboru projektu implementace IS, a to ze strany dodavatele – integrátora systému i ze strany uživatelského podniku. Míru rizika spojeného se zaváděním nového IS totiž lze významně ovlivnit už v okamžiku přijímání strategických rozhodnutí směřujících k zavádění nového systému a během výběru konkrétního produktu. Je zřejmé, že je-li vybrán produkt vyhovující požadavkům na funkční schopnosti systému, je rizikový potenciál podstatně menší.

Za důležité považujeme, aby již ve fázi volby produktu byla známa základní strategie podniku včetně návrhu opatření a změn, kterými se budou strategické záměry realizovat, na období nejbližších tří až pěti let. Zavedení nového IS musí být uvažováno v kontextu dalších změn a musí být s těmito změnami v souladu. Neméně důležité je to, aby se s navrhovanými změnami identifikovali pokud možno všichni členové vrcholového vedení podniku a aby jejich podpora změnám nevyprchala s příchodem prvních obtíží při jejich zavádění.

Riziko spojené s projektem bude menší také tehdy, jestliže jsou již během dojednávání smluvních vztahů mezi dodavatelem a budoucím uživatelem co nejpodrobněji prodiskutována možná rizika a problémy, které by mohly projekt ohrozit, a následně je dohodnut takový scénář a postup implementace, který s těmito riziky počítá a vytváří dostatečný prostor pro jejich eliminaci.

Rozhodnutí o zavedení nového IS a přechod na nové techniky řízení je vždy nutné chápat v kontextu celkových změn, kterými podnik prochází a musí procházet, chce-li zachovat, anebo lépe zvyšovat, svou konkurenceschopnost a ziskovost. Nezastupitelnou úlohou vrcholového managementu je zpracovávat a s ohledem na vývoj okolního prostředí, ve kterém podnik působí, modifikovat základní strategii podniku a přijímat klíčová strategická rozhodnutí, jimiž se realizace strategie zajišťuje. Je velmi důležité, aby s touto strategií byli co nejlépe seznámeni všichni pracovníci podniku včetně členů pracovních týmů zajišťujících implementaci IS.

Dobře zvládnutý přechod na nový IS se bezesporu stává jednou z nejdůležitějších inovací v životě podniku a funguje i jako důležitý faktor stimulující a urychlující další racionalizační změny díky tomu, že významně prohlubuje možnost identifikace a analýzy neefektivně fungujících procesů.

Jak už jsme se zmínili v úvodu, představuje v současnosti jakákoliv technika pro zpracování informací velmi složitý systém, který může být ohrožen případnými závadami a poruchami. V případě podnikových IS typu ERP to platí dvojnásob vzhledem k tomu, že tyto systémy musí svou činností zajistit fungování složitých a vzájemně úzce provázaných podnikových procesů. Nesprávné pochopení těchto procesů v průběhu implementace může vést k ohrožení projektů zavádění IS v samém základu. Proto je systematické řízení rizik během realizace projektů podnikových IS tak důležité. Zástupci vrcholového managementu svou účastí v tomto procesu zajišťují soulad činnosti projektových týmů se strategickými záměry podniku a podporují práci jejich členů. Vydávají tak jasný signál o tom, že jde o vrcholně důležité činnosti, které mají rozhodující význam pro další fungování a rozvoj podniku. V praxi se jejich zainteresovanost v projektu realizuje výkonem řídících a kontrolních funkcí, a to jednak v podílu na řízení a kontrole samotného projektu implementace podnikového IS a jednak při řízení a usměrňování restrukturalizačních procesů, jichž je projekt implementace IS nedílnou součástí.

Stručně lze rozhodující role a úkoly vrcholových manažerů v procesu implementace IS zahrnujícího i proces řízení rizik jako takových shrnout takto:

  • přenášet a objasňovat informace o základní strategii podniku (neměly by být redukovány jen na sdělení několika základních ekonomických ukazatelů),

  • kontrolovat a hodnotit návrhy na strategická i důležitá operativní rozhodnutí přicházející od středního managementu a členů projektových týmů,

  • podílet se na organizaci a řízení práce hlavního řídícího výboru jako vrcholového orgánu řízení projektu,

  • usměrňovat činnost projektových týmů tak, aby podporovala dosahování strategických záměrů podniku,

  • trvale sledovat postup projektu a potenciální rizika a vytvářet tlak na eliminaci rizik,

  • vytvářet motimavační systémy, navrhovat kritéria pro hodnocení pracovníků v jednotlivých fázích projektu a vyjadřovat se k hodnocení činnosti členů projektových týmů.

Je prokázáno, že přímá účast zástupců vrcholového managementu v procesu implementace IS významně přispívá ke kvalitě řešení i včasnému řešení rizikových událostí a stavů a celkově vytváří podmínky pro úspěšné završení procesu. Formálně je tato účast zajišťována především intenzivní prací řídícího výboru, ve kterém pracují kromě vedoucích projektu také vrcholoví manažeři uživatelského podniku i představitel vrcholového managementu integrátora systému. Řídící výbor by se měl scházet pravidelně každý druhý týden a v exponovaných obdobích uvádění systému do plného provozu i každý týden. Na každé jednání by měl být předem připraven program a schůzek by se podle potřeby měli zúčastňovat vedle vedoucích projektových týmů i představitelé odborných útvarů uživatelského podniku. Významně je tak podporována kontinuita řešení projektu, angažovanost projektantů i uživatelů a celkově činnost všech zúčastněných v procesu implementace IS.

7. Závěr

Při implementaci podnikových IS většinou jde o investiční akce velkého rozsahu, jejichž případný úspěch či neúspěch má vždy značný dopad na činnost podniku, který nový systém zavádí.

Informační systém může sehrát v případě úspěšné implementace velmi pozitivní úlohu v motivaci, růstu spokojenosti zaměstnanců a ve stimulaci jejich zájmu o rozvoj vlastního podniku a zvyšování efektivnosti výrobních procesů. Je prokázáno, a naše zkušenosti to potvrzují, že mají-li lidé dostatek kvalitních informací o činnostech, které v podniku vykonávají, zvyšuje se jejich zájem o vlastní práci a častěji přicházejí s návrhy, které v podniku vykonávané činnosti racionalizují a zefektivňují. Kvalitně zvládnuté řízení rizik napomáhá, jak jsme si v praxi ověřili, úspěšně realizovat projekty implementace rozsáhlých podnikových IS a přispívá tak k dosahování očekávaných efektů těchto investic.

Jiří Košťál, Petr Vysloužil,
Altec a. s.
(jiri.kostal@altec.cz)

Inzerce zpět