Wprowadzenie
Kontraktowanie
Oczekiwania
Pomoc sponsora
Robocze ustalenia
Narażenie na ryzyko
Zasadnicze wyniki fazy kontraktowania
Identyfikacja i Analiza Ryzyka
Opracowanie raportu pośredniego
Wykonanie grafu zależności pomiędzy
obszarami ryzyk
Przygotowanie raportu
Spotkanie przygotowujące fazę MSP
Planowanie Strategii Mitygacji (MSP)
Przygotowanie zespołu
Sesje MSP
Sesja porządkująca obszary
Podsumowanie wyników MSP
Faza raportu ostatecznego
Ryzyko jest to prawdopodobieństwo poniesienia straty.
Paradygmat
Zarządzania Ryzykiem
Zarządzanie ryzykiem składa
się z następujących czynności:
- Identyfikacja
- Analiza
- Planowanie
- Śledzenie
- Sterowanie
Wszystkie te czynności
odbywają się jednocześnie z komunikowaniem.
Właściwości Software Risk Evaluation
(SRE):
- Przygotowuje zespoły do prowadzenia systematycznego
identyfikowania, analizy i planowania
- Skupia się na ryzyku, które może wpłynąć na dostarczenie
i jakość oprogramowania
- Dostarcza kierownikowi i zespołowi różnych spojrzeń na
zidentyfikowane ryzyka,
- Tworzy podstawy dla ciągłego zespołowego
(klient/wytwórca) zarządzania ryzykiem
Fazy SRE:
- Kontraktowanie
- Identyfikacja i Analiza Ryzyka (RI&A)
- Raport Pośredni
- Planowanie Strategii Mitygacji
(MSP)
- Raport Ostateczny.
Kontraktowanie
Czynności potrzebne
żeby zidentyfikować cele projektu, uzyskać zgodę na SRE i skoordynować
zasoby potrzebne do jego przeprowadzenia.
Identyfikacja
i Analiza Ryzyka
Zespół SRE odwiedza siedzibę
projektu i przeprowadza ustrukturalizowane wywiady z członkami zespołu w
celu określenia ryzyk. Ryzyka są analizowane, priorytetyzowane
ze względu na wpływ na projekt i łączone w grupy ryzyk. Zespół SRE
prezentuje ustalenia zaangażowanym osobom i kierownikowi projektu.
Raport
Pośredni
Powtórna analiza obszarów
ryzyka, rekomendacja ryzyk, które mają być objęte MSP. Rekomendacja musi
być zatwierdzona przez kierownika projektu.
Planowanie
Strategii Mitygacji
Tworzenie wysokopoziomowych
planów mitygacji dla wybranych ryzyk.
Kierownictwo, zespół projektu i zespół SRE wspólnie opracowują cele,
strategie i czynności, które będą zmniejszać problemy występujące w
obszarach ryzyka. Zespół projektu może rozpocząć prace redukujące
najbardziej krytyczne ryzyka.
Raport
Ostateczny
Plany mitygacji
ryzyka są dodawane do uprzednich wyników prac. Raport jest prezentowany
kierownikowi projektu.
KP (Kierownik Projektu)
Oczekiwania KP powinny być
wydobyte, zrozumiane i „obsłużone” w fazie kontraktowania.
Przełożony
KP
Oczekiwanie raportu SRE jako
raportu o postępach prac projektu. To nie jest właściwe podejście.
Sponsor
Wyniki SRE należą do KP i nie
mogą być bez jego zgody nikomu dalej pokazane.
Członkowie
zespołu
Może nie być jasny cel SRE –
należy go przedstawić na spotkaniu wstępnym.
Członkowie
zespołu odpowiedzialnego za procesy SE
SRE często zaczyna
usprawnianie procesów. Członkowi tej grupy są dobrymi kandydatami na
członków zespołu SRE.
Sponsorowanie
Włączanie się, nagradzanie,
rozpoznawanie zasług i spójne zachowanie w zakresie zarządzania ryzykiem.
Koordynacja
w miejscu projektu
Sponsor musi wspierać osobę
koordynującą prace. Jest t osoba różna od kierownika projektu.
Przywódca
Zarządzania Ryzykiem
Musi być wskazana osoba
pełniąca rolę Przywódcy Zarządzania Ryzykiem. Osoba taka ma pilnować, żeby
ryzyko było w agendach spotkań, problemy ryzyka były widoczne dla całego
zespołu i żeby informacja o ryzyku była przekazywana w pionie.
Członkowie
zespołu SRE
Sponsor jest odpowiedzialny za
wybór wykwalifikowanych, doświadczonych ludzi, żeby stali się członkami
zespołu SRE.
Osoby uczestniczące w SRE
Sponsor jest odpowiedzialny za
wskazanie odpowiednich członków zespołu, żeby brali udział w pracach SRE.
W ramach roboczych ustaleń
należy określić:
·
Granice działań w
ramach SRE
·
Cele SRE
·
Poszukiwane
informacje
·
Rolę zespołu SRE
·
Dostarczane produkty
·
Skład zespołu SRE
·
Uczestników ze strony
projektu
·
Harmonogram i czas
·
Wyobrażenia sukcesu
Narażenie na ryzyko („risk exposure”) jest miarą
używaną w fazie RI&A; jest to iloczyn wpływu ryzyka i
prawdopodobieństwa jego wystąpienia.
Wpływ:
4 – katastrofalny,
3 – krytyczny,
2 – marginalny,
1 – zaniedbywalny
Prawdopodobieństwo
3 – bardzo prawdopodobne,
2 – prawdopodobne,
1 – nieprawdopodobne.
Tabela 1. Narażenie na
ryzyko
Prawdopodobieństwo
Wpływ
|
3
bardzo prawdopodobne
|
2
prawdopodobne
|
1
nieprawdopodobne
|
4 – katastrofalny
|
Wysokie
|
Wysokie
|
Średnie
|
3 – krytyczny
|
Wysokie
|
Średnie
|
Średnie
|
2 – marginalny
|
Średnie
|
Średnie
|
Niskie
|
1 – zaniedbywalny
|
Średnie
|
Niskie
|
Niskie
|
Tabela 2 Macierz
narażenia na ryzyko
Składnik
Kategoria
|
Wydajność
|
Pielęgnacja
|
Koszt
|
Harmonogram
|
Katastrofalny
|
Nie
uzyskanie sprawności technicznej
|
System nie nadaje się do
utrzymywania
|
Przekroczenie budżetu o >
50%
|
Niemożność zakończenia
projektu
|
Krytyczny
|
Istotne obniżenie wydajności
|
Duże opóźnienia w
pielęgnacji oprogramowania
|
Przekroczenie budżetu o ok.
30%
|
Przekroczenie terminów o
ponad 30 %
|
Marginalny
|
Niewielkie obniżenia
sprawności
|
Niewielkie opóźnienia w
pielęgnacji oprogramowania
|
Przekroczenie budżetu o ok.
10
|
Przekroczenie terminów o
ponad 10 %
|
Zaniedbywalny
|
Minimalne lub małe
zaburzenia w działaniu, na poziomie detali
|
Irytująca i niewygodna
pielęgnacja
|
Wykorzystanie rezerw
budżetowych
|
Wykorzystanie rezerw
czasowych poza ścieżką krytyczną
|
- Kierownik zespołu SRE (KSRE) i KP rozumieją wzajemne
oczekiwania względem SRE.
- KP jest zaangażowany jako aktywny sponsor SRE;
nieformalnymi kanałami rozprowadzono informacje, że sukces SRE jest
ważny.
- Zapewniono, że będzie zachowana poufność i
anonimowość źródeł danych z następnej fazy (RI&A).
- KSRE ma opisane wyobrażenie sukcesu z punktu
widzenia KP,
- KP wziął odpowiedzialność za definicje wpływu
ryzyka i narażenia na ryzyko poprzez dostosowanie go do projektu.
W fazie identyfikacji i
analizy ryzyka należy przeprowadzić:
Warunek ; Konsekwencja
Należy połączyć ryzyka w
obszary. Przekształcenie zbioru obszarów ryzyk w graf zależności pomiędzy
ryzykami. Relacją pomiędzy grupami jest „wpływanie na” określana w skali 1
– 10.
Duża liczba wychodzących
strzałek – „przyczyna/driver”. Duża liczba wchodzących: „wynik/rider”.
Tworzony jest hierarchiczny
diagram zależności binarnych. Na górze umieszcza się najważniejsze
przyczyny, na dole – najmniej ważne. W dalszych pracach należy zwrócić
uwagę przede wszystkim na przyczyny.
W ramach tej czynności ryzyka
mogą być przesuwane między grupami (ale nie powinno to dotyczyć więcej niż
2 –3 ryzyk. Jeśli więcej – być może należy powtórzyć cały proces
klasyfikacji).
Zespół SRE na podstawie grafu
ustala trzy uporządkowane najważniejsze obszary ryzyka.
Przygotowanie raportu
zawierającego:
- Ogólny opis ryzyk,
- Dyskusja obszarów ryzyka i ich podłoża
- Wszystkie ryzyka i wartość narażenia na nie,
- Informacje decyzyjne wskazujące, które obszary ryzyka
należy obsłużyć najpierw
„Ponowne ustalenie kontraktu” pomiędzy
KP a KSRE. Jawny cel to ustalenie dat, ludzi i obszarów ryzyka dla
następnej fazy. Ale także przedyskutowanie tego, co się zdarzyło i
oczekiwań względem następnych faz.
Wydobycie od KP celów i
priorytetów, które będą sterowały fazą MSP.
Rozpoczęcie opracowywania
planów mitygacji najważniejszych ryzyk
zdefiniowanych w fazie RI&A. Zespół uczy się procesów i metod pomocnych
w obsłudze zidentyfikowanych ryzyk. Metryki służące do kontrolowania
postępu procesu mitygacji są opracowywane.
Opracowywane są plany oceny czy mitygacja
odniosła sukces.
Zespół musi znać wyniki
spotkania przygotowującego MSP, w szczególności zagadnienia i problemy
wskazane przez KP, obszary, które mają podlegać mitygacji
i rozkład sesji MSP.
Do sesji MSP muszą się
przygotować członkowie zespołu SRE, prowadzący sesję, protokolant i
opisujący sesję (opcjonalnie). Być może udział powinna też brać osoba
„podtrzymujący kontekst” – jego rolą jest wyjaśnianie znaczenia zapisów dotyczących
ryzyk.
Możliwe jest posiadanie przez
członków zespołu SRE idei na temat sposobów mitygacji
ryzyka przed sesjami. Ale takie sposoby nie powinny dominować sesji, nie
powinny wpływać na jej przebieg – wartością są strategie podane przez
innych członków projektu.
Prowadzący sesję może także
odgrywać rolę notującego wyniki na tablicy.
Celem sesji jest wymyślenie i
udokumentowanie sposobu, w jaki ryzyka mogą być mitygowane. Każda sesja
jest poświęcona jednemu obszarowi ryzyka. W ramach sesji należy
- Określić możliwe przyczyny ryzyk,
- Wskazać cele mitygacji
ryzyk
- Ustalić możliwe strategii i mitygacji
ryzyk
- Przygotować sposoby realizacji strategii
- Wskazać miary, które będą służyły do
nadzorowania czynności mitygacyjnych
- Wskazać zasoby, nakłady pracy i ograniczenia
dla sugerowanych strategii
W ramach tej sesji należy uspójnić i uporządkować wyniki z poszczególnych sesji.
Sesja może nie być potrzebna, jeżeli obszary ryzyka są rozłączne lub, gdy sesje MSP były prowadzone zawsze w tym samym
składzie.
Odbywa się określenie ogólne
strategii. Być może będzie to wymagało modyfikacji indywidualnych planów mitygacji ryzyka.
Formalna prezentacja
w trakcie której wszyscy uczestnicy MSP widzą wyniki swoich prac. Spotkanie
umożliwia:
- Uzyskanie odpowiednich upoważnień, modyfikacji
kontraktu
- Określenie potrzeb dla bardziej szczegółowych
planów
- Wyjaśnienie kosztu, personelu i szacunku innych
zasobów,
- Określenie częstotliwości, środków i procedur
zbierania danych, ewaluacji i raportowania
W wyniku spotkania:
- Wszyscy rozumieją cele mitygacji,
strategie mitygacji, czynności, które mają
być realizowane – opracowane w MSP
- Każdy osoba ma szanse zadać pytania
- Każdy rozumie czas i treść następnych działań.
Należy przygotować raport, w
którym powinny się znaleźć wszystkie wyniki prac SRE. Należy utworzyć bazę
ze wszystkimi ryzykami, strategiami, akcjami itp. dotyczącymi wykonanych
prac. W bazie należy też umieścić opis kontekstu, wyjaśniający znaczenie
ryzyk. Raport musi być przekazany klientowi.
Należy przeprowadzić spotkanie zamykające. Celami tego spotkania są:
- Przyjęcie wyników projektu SRE przez KP
- Zatwierdzenie raportu ostatecznego. KP może
zażyczyć sobie poprawek – powinny być negocjowane.
- Przekonanie KP, że na podstawie SRE należy
zbudować ciągły proces zarządzania ryzykiem.
- Uzyskanie feedbaku od
KP na temat SRE
- Przekonanie Kierownika Projektu, żeby się
zgodził na follow-up wizytę w projekcie.
Dalszymi możliwymi pracami
związanymi z zarządzaniem ryzykiem są:
- Wprowadzenie ciągłych procesów zarządzania
ryzykiem w firmie.
- Rozszerzenie SRE na inne podmioty zaangażowane
w projekt lub jego środowisko.
Źródła informacji
Software Risk Evaluation (SRE) Method Description (Version 2.0); R.
C. Williams, G.J. Pandelios, S. G. Behrens,
December 1999, TR CMU/SEI-99-TR-029 ESC-TR-99-029
|