1.3. Методическая база процесса управления рисками проекта

Современное состояние научно-методической и нормативной базы управления рисками проекта показывает, что на сегодняшней день основной методической базой процесса управления рисками программного проекта являются следующие:

• научно-методические документы международного уровня, стандарты и документы ИСО, ИСО/МЭК;

• государственные стандарты России в области (создания) управления качеством программных средств;

• ведомственные и корпоративные стандарты и документы.

1.3.1. Нормативная база международного уровня

Основными научно-методическими документами международного уровня, которые регламентируют или затрагивают проблему управления рисками, а также дают рекомендации по организации процессно-ориентированного подхода к построению системы управления рисками проекта программных средств могут рассматриваться [1,2]:

• ISO 9001:1994г. (ГОСТ Р ИСО 9001-96) Системы качества. Модель обеспечения качества при проектировании, разработке, изготовлении, постановке на производство и обслуживании.

• ISO/TR 10006:1997г. Менеджмент качества. Руководство качеством при управлении проекта.

• ISO/IEC 12207:1995г. Информационная технология. Процессы жизненного цикла программного обеспечения.

• ISO/TMB WG RMT N34 rev: 2001 г. Терминология управления рисками. Руководство для использования в стандартах.

• ISO/IEC TR 15504 - СММ (ИСО\МЭК ТО 15504). Оценка и аттеста­ция зрелости процессов создания и сопровождения программных средств и информационных систем.

Рассмотрим кратко указанные документы с позиций управления рисками и качеством проекта.

ISO 9001:1994 (ГОСТ Р ИСО 9001-96) «Модель обеспечения качества при проектировании, разработке, монтаже и обслуживании» устанавливает требования к системе качества, необходимые для оценки возможности поставщика проектировать и поставлять продукцию, соответствующую установленным требованиям. При этом установленные требования направлены, в первую очередь, на удовлетворение потребителя посредством предупреждения несоответствия продукции на всех стадиях от проектирования до обслуживания. Стандарт ISO 9000-3-91 «Общее руководство качеством и стандарты по обеспечению качества. Часть 3. Руководящие указания по применению ISO 9001 при разработке, постановке и обслуживанию программного обеспечения», который дополняет положения ISO 9001 применительно к программной продукции. Положения этих документов учтены при разработке концептуальных моделей процесса управления рисками качества наукоемких программных проектов.

ISO/TR 10006:1997 "Менеджмент качества. Руководство качеством при управлении проектами" непосредственным образом затрагивает проблемы управления рисками, где на самом высоком уровне приведена структура процесса управления рисками без привязки к типу проектов по созданию продукции различного назначения.

Согласно положениям документа управление рисками проекта имеет дело с неопределенностями по всему проекту и требует структурированного подхода. Назначение процессов, связанных с рисками - минимизировать воздействие потенциальных негативных событий и полностью использовать положительные возможности для улучшения показателей проекта. В настоящем документе термин риск охватывает оба эти аспекта. Риски сопряжены с процессами проекта, либо с продуктом проекта.

Структура процесса управления рисками включает подпроцессы: выявление рисков в проекте; оценка рисков - оценивание вероятности появления рисковых событий и их воздействия на проект; развитие реакции на риски - разработка планов реагирования на риски; контроль за рисками - реализация и обновление рисковых планов.

Выявление рисков должно производиться при открытии проекта, на этапах оценок хода выполнения проекта и в других случаях, когда принимаются значимые решения. Оценку рисков, т.е. оценивание вероятности наступления выявленного риска и его воздействие, следует оценивать с учетом опыта, накопленного в ходе выполнения предыдущих проектов и используемые критерии и методики должны регистрироваться. Всегда следует проводить качественный анализ, а где возможно, и количественный.

При разработке планов реагирования на риски необходимо чтобы выводы об исключении, смягчении или передаче рисков, решения о принятии риска, а также планы об использовании благоприятных возможностей принимались на основе известных технологий или данных от прежних проектов с тем, чтобы избежать внесения новых рисков.

После выявления рисков и установления необходимости иметь план мероприятий на случай наступления рискового события следует удостовериться в том, что реализация плана не вызовет никаких нежелательных эффектов. Если в календарный график или смету проекта вводятся положения, направленные на преодоление рисков, они должны быть идентифицированы и учитываться отдельно. Поэтому сознательно принятые риски должны быть расписаны в документах вместе с обоснованием причин их принятия.

По ходу всего проекта риски должны контролироваться с помощью итеративных процессов идентификации рисков, оценок рисков и реакции на риски. Проект должен вестись с учетом того, что риски существуют всегда.

ISO/TMB WG RMT N34 "Терминология процесса управления рисками проекта" содержит необходимую терминологию для методологий и технологий управления рисками. Документ создан международной организацией по стандартизации в связи с чрезвычайной важностью проблемы управления рисками и упорядочивает терминологию в этой области знаний для последующих научных и практических разработок.

ISO/IEC TR 15504 - СММ (ИСО/МЭК ТО 15504). «Оценка и аттестация зрелости процессов создания и сопровождения программных средств и информационных систем» - содержит в группе организационных процессов жизненного цикла краткое описание процесса административного управления рисками. Назначением процесса является постоянное выявление и устранение рисков в проекте на протяжении всего жизненного цикла проекта.