#Bezpieczeństwo biznesu

Zarządzanie projektem – poszczególne etapy

Tomasz Dacka


Kontynuując tematykę wstępu do zarządzania projektem, poruszoną na łamach poprzedniego numeru, tym razem przyjrzymy się zagadnieniom ściśle związanym z prowadzeniem samego projektu opartego na rozwiązaniach elektronicznego systemu zabezpieczeń. Kluczową rolę odgrywają tu poszczególne etapy bezpośrednio związane z pracami projektowymi, co pozwoli usystematyzować pracę i znaleźć wspólny mianownik dla wszystkich uczestników przedsięwzięcia.

Wybrana przeze mnie metodologia nie jest złotym środkiem, posłuży jako przykład tego, na co należy zwrócić szczególną uwagę podczas koordynacji prac.

Fazowanie projektu

Zadanie długoterminowe warto podzielić na pewne etapy.Pozwala to na lepsze przygotowanie się do każdego z nich, bardziej szczegółowe zaplanowanie prac (w przeciwieństwie do podejścia „wszystko naraz”). Są to:

  • Etap 1. Studium wykonalności
  • Etap 2. Rozwinięcie projektu
  • Etap 3. Wykonanie
  • Etap 4. Zamknięcie

Każdy z nich będzie wymagał intensyfikacji pracy rozłożonej na inne aktywności, zaangażowania innych zespołów. Co istotne, przez cały czas trwania wszystkich etapów należy pamiętać o głównym celu zadania. Zbyt duże skupienie się na dygresyjnych czynnościach może rozmywać całokształt prowadzonych prac.

Przygotowanie projektu

Zanim przejdziemy przez poszczególne etapy, należy wykonać kilka czynności, które powinny poprzedzić typowe prace projektowe:

1. Aktywności

Mając określony główny cel podzielony na zadania, trzeba przeanalizować aktywności, które pozwolą na ich osiągnięcie. Istotne są tu zależności pomiędzy nimi i nakład sił potrzebny do ich realizacji. Niepożądana jest sytuacja, w której zespół jest zaskoczony koniecznością zaangażowania np. prac deweloperskich w oprogramowaniu zarządzającym materiałem wideo. To nie tylko dodatkowy czas potrzebny na realizację, ale przede wszystkim koszty z tym związane.

2. Diagram pracy

Rozpisanie wszystkich aktywności jest potrzebne, ale nie daje pełnego obrazu zadania. Można to przedstawić na przykładzie klocków Lego. Wiemy, jakie części są nam potrzebne, nie wiemy jednak, w jakiej kolejności ich użyć. W tym celu buduje się tzw. diagram pracy, który:

  • determinuje
  • aktywności potrzebne do finalizacji zadań,
    wskazuje, które czynności wymagają większego wysiłku (czas, koszty, zagadnienia merytoryczne, np. integracja poszczególnych podsystemów),
  • układa zadania w porządku chronologicznym, tworząc coś na wzór kalendarza prac (niektóre zadania muszą czekać na rozpoczęcie aż do zakończenia innych, np. nie ma potrzeby wieszać kamer przed położeniem do nich okablowania lub pisać program integracji z systemem SSWiN przed jego gruntowną aktualizacją),
  • pozwala na przyspieszenie prac (np. niektóre aktywności mogą być realizowane równolegle, niezależnie od siebie).

3. Na wszelki wypadek

Każdy projekt, bez względu na jego zakres, jest obarczony ryzykiem wystąpienia zdarzeń losowych lub niepewnością związaną z realizacją poszczególnych zadań. Niepożądanym efektem ich wystąpienia są implikacje związane, tutaj nie będzie zaskoczenia, z czasem i kosztem. Na pewne rzeczy wpływu nie mamy, niektóre ryzyka możemy jednak zaplanować. Aktywności obarczone takim ryzykiem powinny zostać skalkulowane w następujący sposób:

Czas trwania, wystąpienia niepożądanej aktywności x prawdopodobieństwo wystąpienia = skalkulowane opóźnienie

Planując np. zakup kamer pod koniec roku, możemy założyć, że czas ich dostawy wydłuży się o 4 tygodnie z 50-proc. prawdopodobieństwem. Wówczas dopuszczalne opóźnienie w pracach projektowych określamy jako 2 tygodnie. Jako że czas to pieniądz, możemy adekwatnie wyliczyć niepewność związaną bezpośrednio z poniesionymi kosztami. Jeśli np. materializacja ryzyka podniesienia cen zakupu czytników kontroli dostępu wyniesie 10 000 zł z prawdopodobieństwem 30%, należy zwiększyć budżet zadania o 3000 zł.

4. Dobre praktyki

Skracając do minimum tematykę, dobrym zwyczajem będzie przestrzeganie następujących porad:

  • Wszystkie ustalenia powinny być prowadzone w formie pisemnej (papierowej lub elektronicznej). To, czego nie udokumentowano, może być traktowane jako niebyłe.
  • W pracach projektowych można wspierać się odpowiednim oprogramowaniem do zarządzania projektem (np. Jira).
  • Warto postawić granicę, do kiedy można w sposób szybki nanosić zmiany w projekcie, np. do etapu 2. zmiany może nanosić zespół projektowy, od etapu 3. będzie wymagana zgoda wszystkich zaangażowanych w projekt. Należy też wprowadzić wzór dokumentacji wprowadzanych zmian.
  • Dla szybkiego oszacowania kosztów można posłużyć się złotymi zasadami, np. instalacja systemu pochłonie 40–50% budżetu.
  • Warto przygotować się przed czasem na najczęściej pojawiające się problemy w trakcie realizacji projektu (np. utrata zasobów zaangażowanych w projekt z powodu niezainteresowania projektem kadry zarządzającej, wprowadzanie zbyt dużej ilości małych zmian przekładających się na dużą zmianę zakresu projektu, ramy czasowe i kosztowe zaczynają wykradać się z pierwotnych założeń czy występujące zmęczenie materiałem zespołu projektowego).

Etap 1. Planowanie

W momencie dzielenia całości na części często padają pytania, która część jest najważniejsza. W zarządzaniu projektem można stwierdzić, że to właśnie planowanie jest najistotniejszym etapem. Wystarczy przypomnieć stare, sprawdzone powiedzenie „Jak sobie pościelisz, tak się wyśpisz”. Niekompletnie przeprowadzony etap planowania jest najczęstszym powodem niepowodzeń realizacji całego projektu.

Głównym celem omawianego etapu jest zapewnienie, że wprowadzone środki zabezpieczenia poprzedzone analizą ryzyka będą stanowiły dla organizacji wartość dodaną, swego rodzaju benefit w zabezpieczeniu aktywów, usprawnieniu procesów czy przygotowaniu się do wsparcia zapewnienia ciągłości działania. To właśnie podczas planowania powinny zostać określone:

– cele projektu,
– sposób, w jaki wdrożenie projektu pozwala mitygować wcześniej zidentyfikowane ryzyka,
– opisy funkcjonalne wdrażanych rozwiązań bez wchodzenia w detale techniczne,
– celowość projektu,
– wstępny budżet projektu,
– ramy czasowe.

Na tym etapie należy zbudować zespół projektowy, na którego czele powinien stać PM (Project Manager). Istotnymi aspektami są identyfikacja wszystkich interesariuszy i zaangażowanie ich przedstawicieli do pracy zespołu. Wdrażając system kontroli dostępu powiązany np. z rejestracją czasu pracy, nie można zapomnieć o działach odpowiedzialnych chociażby za cyberbezpieczeństwo, HR, zakupy czy ogólnie pojętej administracji budynków, w których mamy zamiar taki system wdrożyć.

Kolejnym istotnym elementem jest analiza ryzyka. To temat na tyle obszerny, że wymaga oddzielnego opracowania, na potrzeby artykułu przypomnę jedynie podstawowe elementy, z jakich poprawnie wykonana analiza powinna się składać:

1. Wskazanie i identyfikacja aktywów ze wskazaniem ich wartości dla organizacji.
2. Wskazanie zagrożeń, biorąc pod uwagę kontekst zarówno zewnętrzny, jak i wewnętrzny organizacji.
3. Określenie prawdopodobieństwa wystąpienia danego zagrożenia.
4. Określenie podatności danych aktywów na materializację zagrożenia.
5. Identyfikacja ryzyka zgodnie z przyjętą metodologią (np. jakościową).
6. Wprowadzenie zarządzania ryzykiem poprzez odpowiednią pracę z ryzykiem określonym w poprzednim kroku jako nieakceptowalne (np. transfer ryzyka za pomocą odpowiedniego ubezpieczenia na wypadek materializacji ryzyka).

Wynikiem etapu planowania powinna być dokumentacja zawierająca takie elementy, jak wyniki przeprowadzonej analizy ryzyka, wskazanie procedury zakupowej, estymacja budżetowa zakupu danego rozwiązania, wybór kierownika projektu, wskazanie zespołu projektowego, wskazanie, kto i w jaki sposób ma wykonać projekt techniczny (np. czy będziemy to robić wewnątrz organizacji lub za pomocą biura projektowego, czy wykorzystując postępowania oparte na zasadach „zaprojektuj i wybuduj”). Na koniec należy wskazać wszystkie wymagania związane z kontraktowaniem w danej organizacji i literą prawa, jaka nas w danym obszarze obowiązuje.

Etap 2. Rozwinięcie projektu

Należy się skupić nad dokumentacją projektową w ujęciu jej specyfikacjii kryteriów wyboru. Dokumentacja powinna być ujęta w określone z góry ramy, aby była maksymalnie kompletna. Wszelkie aspekty pominięte na tym etapie mogą stanowić spore wyzwanie na etapie wdrożeniowym. Kluczowa jest współpraca z zespołem projektowym. Zlecenie dokumentacji i bierne oczekiwanie na jej finał zazwyczaj nie kończą się sukcesem.

Branżowi projektanci, nawet w pełni profesjonalnie zaangażowani w dane zagadnienie, nie będą znali specyfiki naszej organizacji. Koordynacja w tym momencie odgrywa główną rolę, przepływ informacji w obie strony będzie miarą naszego sukcesu.
Specyfikacja powinna uwzględniać trzy główne obszary: operacyjne, siłę ludzką oraz architekturę. Projektowanie systemów elektronicznej ochrony bez uwzględnienia personelu i procedur nie będzie efektywne.

Coraz częściej pojawiającymi się elementami są kryteria projektowania, na których podstawie projektuje się dane rozwiązanie. Oto najbardziej popularne:

  • Wydajność systemu – np. jak szybko system kontroli dostępu jest w stanie wykonać identyfikację, autentykację i autoryzację oraz obsłużyć aktywator danego przejścia kontrolowanego (np. kołowrót). Możemy zagwarantować sobie odpowiednią przepustowość, potrzebną w godzinach szczytu pracy, np. biurowca.
  • Pojemność systemu – rozumiana nie tylko jako liczba obsługiwanych użytkowników, ale również gwarancja odpowiedniego miejsca w celu późniejszych modernizacji czy rozbudowy (możliwości techniczne i aplikacyjne, np. licencje).
  • Unikatowość – jeśli nie jest to konieczne, warto unikać pewnych rozwiązań, które mogą być realizowane jedynie przez jednego dostawcę na rynku. Wiąże się to z wyzwaniami podczas modernizacji architektury. Jeśli to możliwe, warto opierać się na otwartych standardach komunikacji, np. protokoły OSDP.
  • Regulacje prawne, wytyczne organizacji, dobre praktyki.
  • Budżet.
  • Utrzymanie – określenie, w jaki sposób i jak często należy łożyć środki, aby dane rozwiązanie utrzymywać na akceptowalnym poziomie funkcjonalnym. Jest to związane bezpośrednio z kosztami i czasem, jakie użytkownik końcowy musi zaadresować. Dobrym pomysłem jest określenie współczynnika TCO (tzw. całkowity koszt posiadania) dla danego rozwiązania.

Wynikiem tego etapu powinien być dokument zawierający:

  • Instrukcje dla oferentów, z wymaganiami organizacji koniecznymi do realizacji danego przedsięwzięcia.
  • Specyfikacje techniczne wraz z odpowiednimi rysunkami oraz listą koniecznych do implementacji urządzeń (w zależności od wyboru procedury zakupowej).
  • Określenie budżetu w sposób dużo dokładniejszy niż na etapie planowania, z uwzględnieniem parametru TCO.

Etap 3. Wykonanie

Ten etap składa się z trzech głównych zadań. Są to:

1. Przeprowadzenie procedury zakupowej.
2. Instalacja, szkolenia.
3. Odbiory, warunki gwarancji.

Procedura zakupowa w większości przypadków powinna zostać przeprowadzona przez odpowiednie osoby, działy, co zapewni maksymalną zgodność przetargu z wymaganiami wewnętrznymi organizacji. Nie zmienia to jednak faktu, że najważniejszą częścią jest tzw. wsad merytoryczny, za który to my, jako osoby związane z zabezpieczeniami, będziemy odpowiedzialni. Nie sposób omówić tutaj przebiegu procedury, ponieważ co organizacja, to inny pomysł.

Niemniej jednak warto zachować pewne standardy, tj. przeprowadzenie konferencji dla oferentów, na której omawia się główne cele i założenia projektu, bada zainteresowanie i zrozumienie drugiej strony, pozyskuje cenne informacje nt. możliwości technicznych, operacyjnych oferentów. Jeśli sytuacja tego wymaga, spotkanie można zorganizować w strefach bezpieczeństwa objętych przedmiotem zapytania. Każda taka konferencja czy spotkanie powinno kończyć się możliwością zadawania pytań, ich dokumentowaniem oraz listą obecności.

Kolejnym ważnym krokiem jest określenie kryteriów ocen danych ofert, tj. doświadczenie w podobnych instalacjach, posiadane uprawnienia firmy oraz osób oddelegowanych do implementacji zadania, cena, aspekty właścicielskie, zabezpieczenia jakościowe dostarczanych rozwiązań, określenie łańcucha dostaw itp.

Kwestia instalacji i szkoleń to kolejny temat. Na tym etapie powinny być monitorowane w sposób szczególny:

  • zgodność wykonania z dokumentacją wykonawczą (wszelkie odstępstwa powinny być dokumentowane, z podaniem ich przyczyn oraz uzyskaniem zgody wszystkich zainteresowanych stron),
  • pełen nadzór nad wykonawcami i podwykonawcami (np. uprawnienia do prowadzenia prac czy dostępu do informacji niejawnych),
  • przygotowanie planu odbiorów, przygotowanie wymagań co do dokumentacji powykonawczej,
  • komunikowanie wszystkich wymagań poprzedzających prace instalacyjne oraz poinstalacyjne,
  • wytyczne co do instalacji okablowania, urządzeń (normy, wytyczne, dobre praktyki),
  • zastosowanie wytycznych wydajnościowych a nie ilościowych (np. kamery są tam, gdzie miały być, ale niestety generują dużą liczbę fałszywych alarmów ze względu na źle dobrany osprzęt punktu kamerowego),
  • przeprowadzenie testów operacyjnych.

Ze względu na specyfikę rozwiązań plan szkoleń powinien być przedstawiany wykonawcom na wcześniejszych etapach. Zdarzają się sytuacje, że trudno inwestorowi zebrać naraz cały zespół albo obszary odpowiedzialności są rozmyte na kilka podzespołów. Wykonawca w takim wypadku jest w stanie wcześniej odpowiednio skalkulować taką usługę, a następnie przeprowadzić ją zgodnie z wymaganiami inwestora.

Przekazanie do użytkowania powinno odbywać się zgodnie z góry określonym planem odbiorów, który powinien w sposób jasny opisywać zakres oceny i wskazywać osoby niezbędne do jego przeprowadzenia. Po każdym spotkaniu należy sporządzić notatkę opisującą, co zostało zrobione, a co należy poprawić. Zalecam, aby odbiory również były przeprowadzane na zasadzie sprawdzania/testowania danej funkcjonalności, a nie tylko sprawdzenia ilościowego urządzeń podsystemów bezpieczeństwa. Jest to szczególnie istotne w zakresie implementacji zintegrowanych systemów bezpieczeństwa.

Podobnie jak w temacie szkoleń, odpowiednio wcześniej komunikowany plan odbiorów pomoże wykonawcom lepiej się do nich przygotować. Na koniec należy jasno opisać warunki gwarancji urządzeń, działania systemów czy świadczenia usług klasy SLA.

Etap 4. Zamknięcie

Nazwa tego etapu może wprowadzać w błąd, sugerując zorganizowanie spotkania zamykającego. Jest to co prawda jeden z elementów tego etapu, jednak bardziej istotnymi obszarami są tu:

  • Określenie zasad utrzymania (z podziałem na utrzymanie zapobiegawcze i zaradcze).
  • Opisanie planu utrzymania (ze wskazaniem, kto i za co jest odpowiedzialny, w tym za prowadzenie dokumentacji, np. książki serwisowej).
  • Wskazanie zasad szacowania wartości danego rozwiązania w danym okresie czasowym i wymagań co do wymiany, modernizacji.

Należy tu zwrócić uwagę na różnice pomiędzy utrzymaniem prewencyjnym (zapobiegawczym) a zaradczym. Systematyczne utrzymywanie systemów zgodnie z wymaganiami ich producentów, wykonawców pozwoli na maksymalne obniżenie kosztów związanych z koniecznością prowadzenia działań zaradczych (czyli tych, które musimy podjąć po wystąpieniu awarii, uszkodzenia). W rozległych systemach liczba urządzeń końcowych (np. czujniki, kamery, czytniki kart) jest niekiedy bardzo duża. Utrzymanie całej infrastruktury stanowi zatem pewne wyzwanie.

Warto zatem przeanalizować, co jest potrzebne, dokonywać wizualnej inspekcji czujników ruchu czy co jakiś czas przeglądać zdarzenia w centralach alarmowych. Czy centrala, która przez pół roku nie generuje żadnych informacji, nie powinna budzić podejrzenia? Jak często przeglądamy archiwalny materiał wideo pod kątem zarówno czasu jego przechowywania, jak i jakości obrazu? Jak duża liczba użytkowników systemu kontroli dostępu jest nieaktywna przez dłuższy czas?

Prowadzenie projektów elektronicznych systemów zabezpieczeń nie należy do najłatwiejszych. Mamy bowiem w tym przypadku częsty kontakt z wieloma interesariuszami, bazami danych, przetwarzaniem danych osobowych. Samo bezpieczeństwo również ewoluuje. Prowadzenie projektu na zasadzie „żeby było bezpieczniej” nie robi już na nikim wrażenia. Oczekuje się od nas czegoś więcej, benefitów, namacalnych korzyści w obszarze teoretycznie stricte kosztowym. Na szczęście z pomocą przychodzą nowe technologie, możliwości usprawniania procedur i generowania oszczędności. To ciekawe, aczkolwiek trudne projekty, dające jednak dużą satysfakcję.

Tomasz Dacka

Tomasz Dacka
Ekspert bezpieczeństwa fizycznego. Z branżą związany ponad 12-letnim doświadczeniem, zwolennik holistycznego podejścia do zarządzania bezpieczeństwem. Prywatnie entuzjasta architektury przedwojennej Warszawy.

Zobacz poprzednie artykuły tego autora:
Zarządzanie projektem. Cz. 1. Wprowadzenie w tematykę
Uwaga, stopień!
Bezpieczna organizacja

Zarządzanie projektem – poszczególne etapy

Głos branży – bezpieczeństwo w handlu

Zostaw komentarz

Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.