analiza ryzyka
Transkrypt
analiza ryzyka
Jacek Kszczanowicz Politechnika Koszalińska 02.02.2009r. Nr indeksu: 14051 Analiza ryzyka Niepowodzenie projektów informatycznych jest ich nieodłącznym atrybutem. To czy dany projekt informatyczny zakończy się sukcesem mało kiedy jest pewne. Na każdym jego etapie jest mnóstwo kluczowych elementów, o których nic albo bardzo mało o nich wiadomo. Tymczasem głównym zagrożeniem dla projektu nie jest to co się wie, ale to czego się nie wie. Braku wiedzy nie można wyeliminować, ale poprzez zarządzanie ryzykiem można ograniczyć jej skutki. Celem projektu informatycznego jest dostarczenie aplikacji (systemu), który zadowoli zleceniodawcę (potencjach klientów) oferowanym zakresem rozwiązań w ramach ograniczonego budżetu jakim dysponuje zespół projektowy. Czas realizacji projektu jest ważnym czynnikiem decydującym o sukcesie. Można śmiało stwierdzić, że każdy projekt informatyczny zakończy się powodzeniem pod warunkiem zapewnienia mu dostatecznie długiego czasu realizacji. Dlatego pierwszym symptomem świadczący o zagrożeniu realizacji przedsięwzięcia informatycznego jest przekraczanie terminów realizacji prac zgodnie z przyjętym harmonogramem. Ryzyko niskiej jakości produktu oraz przekroczenia budżetu lub harmonogramu jest wysokie. Potwierdza to liczba projektów wstrzymanych, opóźnionych lub przepłaconych. Według statystyk przeciętny czas realizacji projektów informatycznych jest przekroczony o ponad 200%, koszt jego realizacji o 189% a funkcjonalność zrealizowana w 61%. Skuteczne zarządzanie tymi zagrożeniami jest obecnie postrzegane jako jeden z najistotniejszych obszarów w zarządzaniu przedsięwzięciami. Dotychczasowa praktyka zarządzania ryzykiem jest przeważnie oparta na intuicji i osobistym doświadczeniu kierowników projektów. Prowadzone w tym zakresie badania mają na celu dostarczenie efektywnego wsparcia dla czynności zarządzania ryzykiem, a w szczególności umożliwienie ponownego wykorzystania informacji o ryzyku z wcześniejszych projektów. Zarządzanie ryzykiem jest procesem iteracyjnym. Proces ten oparty jest o pięć etapów: • identyfikacja ryzyk, • analiza ryzyk, • plany reakcji, • śledzenie ryzyk, • kontrola ryzyk. strona 1 z 5 Jacek Kszczanowicz Politechnika Koszalińska 02.02.2009r. Dotychczasowe techniki identyfikacji ryzyka dzielono na: • identyfikacja ryzyka za pomocą list kontrolnych (zarówno kwestionariusze jak i listy zagrożeń), • identyfikacja ryzyka oparta na pracy grupowej (np. sesje typu „burza mózgów”). Wypełnianie list kontrolnych jest łatwe lecz odpowiadanie na liczne pytania, nie zawsze odpowiadające potrzebnemu poziomu szczegółowości, powoduje szybkie zniechęcenie wykonujących tą pracę ludzi. Jako zaletę takich list trzeba wskazać to, iż pomagają one kontrolować zakres i zapobiegają przeoczeniu ważnych zagrożeń. Praca grupowa zespołu, taka jak burza mózgów, pozwala na wykazanie się każdego z jej uczestników w zaangażowanie nad pracą w identyfikację ryzyka, jednak w znacznie mniejszym stopniu pozwala kontrolować zakres identyfikacji. Obecnie proponowany jest do identyfikacji ryzyka sposób, który można podzielić na dwa najistotniejsze etapy: • jawne modelowanie procesu wytwórczego dla kontroli zakresu identyfikacji, • użycie wzorców ryzyka do identyfikacji potencjalnych czynników ryzyka. strona 2 z 5 Jacek Kszczanowicz Politechnika Koszalińska 02.02.2009r. Wczesna świadomość możliwych zagrożeń zna jakie może napotkać projekt, stanowi podstawę skutecznego obniżania ryzyka. Z tego powodu identyfikacja ryzyka jest zawsze pierwszym krokiem w procesie zarządzania ryzykiem. Każde rozpoznane ryzyko powinno być właściwie udokumentowane. Informacja o ryzyku składa się z dwóch najważniejszych elementów: • opis ryzyka – opis danego wydarzenia, które, gdy zaistnieje, negatywnie wpływa na projekt, • kontekst ryzyka – opis usytuowania wydarzenia w ramach zadań, personelu i produktów w projekcie. Opis ryzyka powinien dostarczyć właściwego objaśnienia niechcianego zdarzenia lub stanu, zaistniałego w procesie realizacji projektu. Kontekst ryzyka odnosi zaistniałe zdarzenie bądź stan do konkretnych aktywności w strukturze zadaniowej projektu, czyli do przyjętego harmonogramu. Kontekst wskazuje również personel odpowiedzialny za zadania, materiały źródłowe i produkty tych zadań. Do ustanowienia kontekstu zagrożeń potrzebny jest model projektu informatycznego, który definiuje aktywności, role i artefakty procesu wytwórczego oraz ich wzajemne powiązania. Powstały meta-model procesu projektowego zapisuje się w postaci diagramu klas w języku UML, może on być następnie użyty do reprezentacji różnych modeli procesów projektowych. Każdy taki model jest źródłem dostarczającym kontekst do opisu możliwych zagrożeń. Ich ocena może być następnie zrealizowana poprzez odwołanie się do rzeczywistego projektu. Zdarzenie, które wpływa destrukcyjnie na model procesu projektowego, może być reprezentowane jako zaburzenie związku w modelu. Poprzez przejrzenie wszystkich elementów i związków w meta-modelu możliwe jest zdefiniowanie kompletnego zbioru klas zdarzeń stanowiących ryzyko. Teraz analizując związki przyczynowo-skutkowe pomiędzy zdarzeniami klas można stosunkowo łatwo określić możliwe wzorce identyfikacji ryzyka. W celu uwzględnienia wszystkich możliwych wzorców ryzyka, należy połączyć wzajemnie wszystkie klasy zdarzeń, które zachodzą na schemacie przyczyna-skutek Następnie trzeba usunąć te kombinacje, które nie mają sensu niezależnie od rzeczywistych elementów modelu procesu projektowego. Podstawiając rzeczywiste elementy procesu do opracowanego wzorca można ograniczyć otrzymaną listę tylko do zagrożeń, które są istotne w kontekście danego modelu procesu. strona 3 z 5 Jacek Kszczanowicz Politechnika Koszalińska 02.02.2009r. W ramach pracy zaliczeniowej z laboratorium przedmiotu „Zarządzanie projektami informatycznymi” nie będę wykonywał identyfikacji i analizy zagrożeń za pomocą tak złożonej metody ale skupię się na podstawowych elementach. Poniżej przedstawiam zarządzanie ryzykiem przy realizacji mojej pracy dyplomowej. Zgodnie z teorią proces ten składa się z 5 etapów: identyfikacji, analizy, planu reakcji, śledzenia i kontroli. Na podstawie materiałów zaczerpniętych z dokumentu „Krajowy System Zarządzania BPI, Narzędzia i techniki wspomagające, Zarządzanie Ryzykiem w Przedsięwzięciu” przedstawiam moje zarządzanie ryzykiem w za pomocą tabel od numer 1 do 3. W tabeli nr 1 umieściłem skalę prawdopodobieństw wystąpienia ryzyk. Ocena jakościowa prawdopodobieństwa wystąpienia ryzyka Opis prawdopodobieństwa wystąpienia ryzyka Minimalne, praktycznie niemożliwe Niewielkie, ale możliwe Średnie Wysokie Bardzo wysokie A B C D E Tabela 1 Skala prawdopodobieństw wystąpienia ryzyk Tabela nr 2 zawiera skalę skutków wystąpienia ryzyk dla analizy jakościowej ryzyka przedsięwzięcia. Wpływ wystąpienia ryzyka na: Ocena jakościowa skutków Przekroczenie terminów na napisanie pracy magisterskiej Niezaliczenie sesji egzaminacyjnej Nadmiar zleceń w pracy zawodowej I Bardzo łagodne – pomijalne Niezauważalne lub minimalne przekroczenie terminów Wydłużenie czasu możliwe do zalokowania dzięki wykorzystaniu dostępnych zapasów czasu wydłużenia czasu realizacji niektórych prac przesunięcie o 3 mc Nieuniknione Podejście do egzaminów w drugim terminie Rzadkie wydłużanie czasu pracy Podejście do egzaminów w sesji poprawkowej Czasowe, niewielkie wydłużenie godzin pracy Podanie do dziekana o przedłużanie sesji poprawkowej Sezonowe niewielkie wydłużenie godzin pracy Problemy z kompatybilnością aplikacji i sprzętu Wpis warunkowy Sezonowe Awaria urządzeń II Łagodne akceptowalne – III Umiarkowane marginalne – IV strona 4 z 5 Problemy ze sprzętem komputerowym i aplikacją przy budowaniu systemu informatycznego Niewielkie problemy z funkcjonowaniem aplikacji Niewielkie problemy z funkcjonowaniem aplikacji z sprzętu Jacek Kszczanowicz Dotkliwe krytyczne – V Bardzo dotkliwe katastrofalne Politechnika Koszalińska znaczne wydłużenie czasu realizacji niektórych działań Przesunięcie obrony na grudzień Nieuniknione znaczne wydłużenie czasu realizacji wszystkich działań, zmiana tematu pracy, powtarzanie roku Konieczność powtarzania semestru 02.02.2009r. wydłużenie godzin i zwiększenie dni pracy zewnętrznych Stałe znaczące wydłużenie godzin pracy i zwiększenie dni pracy, przejęcie zadań od innych pracowników Awaria komputera i utrata części aplikacji Tabela 2 Skala skutków wystąpienia ryzyk Ocena jakościowa prawdopodobieństwa wystąpienia ryzyka Ocena jakościowa skutków wystąpienia ryzyka I II III IV V A 1 2 4 8 10 B 3 4 8 13 14 C 5 6 12 16 18 D 7 8 16 20 22 E 9 10 21 24 25 Indeks ryzyka Interpretacja 1-5 Zagrożenie do odnotowania; planowanie i realizację odpowiedzi na ryzyko odroczyć do momentu podwyższenia indeksu ryzyka przy ponownym przeglądzie zagrożeń dla przedsięwzięcia. Monitorować ryzyko, zaplanować i zrealizować odpowiedź na ryzyko w przypadku zaistnienia symptomów wystąpienia określonego ryzyka. Zagrożenie nieakceptowalne – zaplanować odpowiedź na ryzyko; zaplanowane działania zapobiegawcze zrealizować w momencie przystąpienia do realizacji określonych działań operacyjnych. Zagrożenie krytyczne – w przypadku niemożliwości odstąpienia od realizacji, bezzwłocznie zaplanować i zrealizować odpowiedź na ryzyko. 6-10 11-19 20-25 Tabela 3 Macierz oceny indeksu ryzyka Obecnie stopnie ryzyka przy realizacji mojego projektu wyglądają następująco: Ryzyko Ocena Przekroczenie terminów na napisanie pracy magisterskiej II Niezaliczenie sesji egzaminacyjnej I Nadmiar zleceń w pracy zawodowej III Problemy ze sprzętem komputerowym i aplikacją przy budowaniu systemu informatycznego strona 5 z 5 I