- •1. Економічна основа проектної діяльності
- •1. Поняття «проект», «управління проектами»
- •2 Основні ознаки проекту
- •3 Поняття життєвого циклу проекту
- •4 Сутність економіки проекту
- •5 Економічний та фінансовий аналіз проекту: спільні риси та відмінності
- •Тема 2. Структура інформаційного ринку
- •Загальна структура інформаційного ринку
- •Структура ринку програмного забезпечення
- •Тема 3 визначення маркетингу. Комплекс маркетингу
- •1. Визначення маркетингу
- •2. Комплекс маркетингу
- •Тема 4. Маркетинг програмного забезпечення
- •1. Місце і роль маркетингу в іт-компанії
- •2. Основні бізнес-моделі в іт і їх потреби в маркетингу
- •3. Три рівня маркетингу в іт-компанії і основні функціональні ролі
- •4. Комплекс інструментів іт-маркетингу
- •Тема 5. Поняття вигід та витрат проекту
- •1 Поняття явних і неявних вигод і затрат
- •- Зміна витрат в результаті проекту
- •2 Концепція вартості грошей в часі
- •Майбутня вартість грошей
- •Теперішня вартість та ставки дисконту
- •Тема 6. Оцінка результатів реалізації проектних рішень
- •1.Основні показники оцінки проекту
- •2.Особливості оцінки іт проектів
- •Модель сукупної вартості володіння тсо (Total coast of Ownership)
- •Тема 7. Аналіз і оцінка ризиків програмного проекту.
- •1 Поняття ризику та невизначеності. Класифікація ризиків проекту
- •1 Поняття ризику та невизначеності. Класифікація ризиків проекту
- •2 Проблема ідентифікації ризиків програмних проектів
- •3 Обгрунтування вибору методу управління ризиками програмного проекту
- •8. Бізнес-планування
- •8.1. Макет бізнес-плану
- •2 Розроблювачі бізнес-плану та джерела інформації
- •3 Програмні засоби розробки бізнес-плану
- •Тема 9. Етапи маркетингового плану проекту розробки програмного забезпечення
- •Електронне навчальне видання
3 Обгрунтування вибору методу управління ризиками програмного проекту
Методика управління ризиками має кілька способів дій.
Ризик може бути:
- прийнятий тобто користувач згоден на ризик і пов'язані з ним втрати, тому робота інформаційної системи продовжується в звичайному режимі;
- знижений - з метою зменшення величини ризику будуть вжиті певні заходи;
- переданий - компенсацію потенціальної шкоди покладуть на страхову компанію, або ризик трансформують в інший ризик - з більш низьким значенням - шляхом впровадження спеціальних механізмів.
Деякі методики додатково передбачають ще один спосіб управління - «скасування». Він має на увазі вживання заходів по ліквідації джерела ризику. При низьких значеннях ризику даний метод трансформується в метод зниження ризику.
В реальний час існує багато загальноприйнятих методів управління ризиками Більшість з них, безумовно, ефективні в застосуванні, але вимагають спеціальних розробок і матеріальних витрат, які можуть покрити вигоди від застосування. Тому необхідно чітко уявляти, що очікується від управління ризиками і як дана технологія вписується в процес управління ризиками.
Механізм управління ризиками проекту – сукупність станів і процесів, з яких складаються управління ризиками, і основними складовими якого є: система управління ризиками, мета і завдання управління ризиками, принципи управління ризиками, функції управління ризиками, методи управління ризиками, культура і стиль управління ризиками.
Застосування спеціальних методів управління ризиками дозволяє вирішити основні завдання виявлення можливих негативних ситуацій, оцінки ймовірності їх настання і величини наслідків від їх прояву. Однак існування великої кількості різних методів управління ризиками ускладнює виконання поставлених завдань.
Поряд з існуванням методів, реалізованих у вигляді спеціального програмного забезпечення, в даний час існує ряд простих методів управління ризиками. Вони представлені з табл 1.
Таблиця 1 - Класифікація методів управління ризиками
Група |
Метод |
Характеристика |
Методи отримання інформації |
Оцінка ризиків незалежними експертами |
методи інтерв'ювання або анкетування досвідчених фахівців з управління ризиками, які виступають в ролі експертів і є учасниками реалізації оцінюваних систем |
Методи прогнозування |
Імітаційне моделювання |
Моделювання та аналіз невизначеності в оцінках основних показників проекту |
Творчі методи |
«Мозкова атака» |
Дискусії, на яких фахівцями з управління ризиками з використанням методичних посібників обговорюються всі аспекти даного механізму, і здійснюється планування, ідентифікація ризиків, оцінка ризиків, обробка ризиків, контроль і документування |
Методи аналізу |
Контрольні списки джерел ризику |
Структуровані списки джерел ризику, в основі яких лежить історична інформація про інциденти, що сталися при реалізації попередніх систем |
Методи оцінки |
Калькуляція ймовірних втрат |
Методи, засновані на розрахунку математичного очікування збитку для кожного ризику окремо і в цілому за проектом |
В даний час на практиці широко використовується досить багато методів оцінки і управління ризиками програмних проектів. Oдним з таких методів є OCTAVE. Розроблений в універитеті Карнегі-Мелон для внутрішнього застосування з організації OCTAVE - Оцінка критичних загроз, активів і вразливостей (Operationally Critical Threat. Asset and Vulnerability Evaluation) має ряд модифікацій, розрахованих на організації різного розміру і області діяльності. Сутність цього методу полягає в тому, що для оцінки ризиків використовується послідовність відповідним чином організованих внутрішні семінарів (workshops). Оцінка ризиків здійснюється в три етапи, яким передує набір підготовчих заходів, що включають в себе узгодження графіка семінарів, призначення ролей, планування, координація дій учасників проектної групи.
Метод оцінки ризиків CRAMM (the UK Goverment Risk Analysis and Managment Method) розроблений, на замовлення британського уряду У CRAMM основний спосіб оцінки ризиків - це ретельно сплановані інтерв'ю, в яких використовуються докладні опитувальники. СRAMM використовується в тисячах організацій по всьому світу.
На відміну від методу OCTAVE, в CRAMM використовується дещо інша послідовність дій і методи визначення величини ризиків. Спочатку визначається доцільність оцінки ризиків взагалі і якщо інформаційна система організації недостатньо критична, то до неї застосовується стандартний набір механізмів контролю описаний в міжнародних стандартах і містяться в базі знань CRAMM [18]
На основі вимог ISO 17999 до якісних методикам управління ризиками відносяться методики COBRA (CoQsultanve Objective and Bi- Functional Risk Analysis) і RA Software Tool.
У другій половині 90x років компанія С & A Systems Secunty Ltd розробила однойменні методику і відповідний інструментарій для аналізу та управління інформаційними ризиками під назвою COBRA. Ця методика дозволяє виконати в автоматизованому режимі найпростіший варіант оцінювання інформаційні ризиків будь-якої компанії. Для цього пропонується використовувати спеціальні електронні бази знань і процедури логічного висновку, орієнтовані на вимоги ISO 17799. Істотно, що при бажанні перелік врахованих вимог можна доповнити різними вимогами вітчизняних нормативно-регулюючих органів, наприклад, вимогами керівних документів [19].
Методика COBRA представляє вимоги стандарту ISO 17799 в вигляді тематичних питань (cteck list's), на які слід відповісти з ході оцінки ризиків інформаційних активів і електроних бізнестранзакцій компанії. Далі введення відповіді автоматично обробляються, і за допомогою відповідних правил логічного висновку формується підсумковий звіт з поточними оцінками інформаційних ризиків компанії та рекомендаціям по їх управлінню [19].
Методика і однойменне інструментальне засіб RA Software Tool засновані на вимогах міжнародних стандартів ISO 17999 та ISO 13335 (частини 3 і 4), а також на вимоги деяких посібників Британського національного інституту стандартів (BSI), наприклад, PD 3002 (Керівництво з оцінки та управління ризиками ), PD 3003 (Оцінка готовності компанії до аудиту відповідно до BS 7799), PD №3005 (Керівництво по вибору системи захисту) та ін. Ця методика дозволяє виконувати оцінку інформаційних ризиків (модулі 4 і 5) відповідно до вимог ISO 17799. а при бажанні відповідно до більш детальними спеціфікаціямі керівництва PD 3002 Британського інституту стандартів [19]
Наведені вище міркування дозволяють стверджувати, що метод CRAMM найбільш придатний для управління ризиками в програмних проектах. Однак при використанні даного методу необхідно: спеціальна підготовка і висока кваліфікація аудитора; метод СRAMM більше підходить для аудиту вже існуючих ІС (інформаційних систем), що знаходяться на стадії експлуатації, ніж для ІС, що знаходяться на стадії розробки; аудит за методом CRAMM - процес досить трудомісткий і може зажадати кілька місяців безперервної роботи аудитора.
На даному етапі актуальною є проблема стандартизації якості і ризиків в програмній інженерії, оскільки визначення якості програмних проектів, що містяться в більшості стандартів, які не гармонізовано.
Якість програмного проекту - це комплексне поняття, яке включає в себе внутрішні атрибути якості, зовнішні атрибути якості, атрибути «якості у використанні», що тягне за собою необхідність комплексного використання методик.
При вирішенні задач ідентифікації ризиків програмних проектів основною фазою є фаза профілактики ризиків і, отже, скорочення їх негативного впливу.