ИТУП / лекционный материал / Управление проектами и разработка ПО

Существуют различные способы задания величины ущерба, наиболее простой и понятный – указать долю общего бюджета проекта, которая будет безвозвратно потеряна, если рисковое событие произойдет. В таком случае ущерб также можно задавать числом от 0 до 1 или в процентах.

Две введенные величины, вероятность и ущерб, позволяют сравнивать риски между собой. Как правило, в качестве меры, или величины риска выбирается математическое ожидание ущерба.

Величина риска – это математическое ожидание ущерба.

Например, пусть вероятность рискового события «болезнь или увольнение менеджера проекта» составляет 10%, и ущерб также составляет 10%. Тогда величина риска составляет 1%. Пусть вероятность рискового события «потеря всех данных проекта» – 1%, а ущерб – 100%. Тогда величина риска также составляет 1%. Эти риски равны по величине. Если вероятность рискового события «недостаточные навыки программирования» равна 10%, а ущерб – 50%, то величина такого риска 5%, он существенно больше предыдущих.

Риски подразделяются на:

•устранимые, т.е. такие, которых с помощью специальных мер можно избежать или которые можно предотвратить;

•неустранимые, т.е. такие, повлиять на которые менеджер проекта не может.

Например, риск «потеря всех данных проекта» можно практически преодолеть, проводя резервное копирование всех данных каждый день и сохраняя резервные копии в сейфах трех разных банков. Риск «прекращение финансирования проекта в результате банкротства инвестора» менеджер проекта, как правило, предотвратить не может.

Различие между преодолением и предотвращением риска заключается в следующем:

•Преодоление риска – это проведение мероприятий, в результате которых вероятность рискового события сводится к нулю.

•Предотвращение риска – это проведение мероприятий, в результате которых ущерб риска сводится к нулю.

Вобоих случаях величина риска сводится к нулю, поэтому преодоление и предотвращение вместе называются устранением риска.

Например, риск «потеря всех данных проекта» можно преодолеть, проводя резервное копирование, а риск «болезнь или увольнение

231

менеджера проекта» можно предотвратить, подготовив заранее и введя в

курс дела еще одного резервного менеджера.

Для устранимых рисков очень важной характеристикой является стоимость мероприятий по преодолению или предотвращению риска. Для единообразия стоимость устранения также можно задавать числом от 0 до 1 или в процентах. Например, стоимость преодоления риска «потеря всех данных проекта» можно оценить в 1%, а стоимость предотвращения риска «болезнь или увольнение менеджера проекта» более реалистично оценить в 5%.

11.2.3.Причины возникновения рисковых ситуаций

Перечислим некоторые из наиболее типичных и важных причин, приводящих к возникновению рисковых ситуаций в проектах по разработке программного обеспечения. Это:

√нереальная оценка требуемого времени реализации проекта и выделяемого бюджета;

√нереальная оценка возможностей команды исполнителей;

√недостаточное количество и квалификация команды исполнителей;

√недостаточное владение исполнителями инструментарием разработки;

√ошибки определения требований к разрабатываемому ПО (в т.ч. недостаточная детализация требований);

√нарушения основных правил процессов разработки (например, нарушения в управлении версиями, приводящие к потере версий);

√непрерывное изменение требований к разрабатываемому ПО по ходу проекта;

√существенное изменение рыночной ситуации, делающее бессмысленным следование первоначальным планам (например, появление на рынке доступного ПО, превосходящего по возможностям разрабатываемое);

√непрерывное изменение "правил игры" в команде исполнителей или группе проекта (правил коммуникации, распределения ответственности, распределения обязанностей);

√ошибки проектирования архитектуры ПО;

√ошибки разработки;

√ошибки интеграции;

√недостатки внешнего обслуживания;

√технические и программные сбои;

232

√злоумышленные действия сторонних лиц (например, "атаки" хакеров).

11.3.Порядок управления рисками программных проектов

Существует множество моделей управления рисками проектов, в т.ч. проектов по разработке программного обеспечения. Все эти модели

взначительной мере схожи между собой.

Вредакции PMBOK – 2000, управление рисками это «систематические процессы, связанные с идентификацией, анализом рисков и принятием решений, которые обеспечивают минимизацию негативных последствий наступления рисковых событий и максимизацию вероятности и последствий наступления позитивных событий».

Рис. 1. Управление рисками по PMBOK

Процесс управления рисками включает в себя

•Планирование управления рисками – планирование деятельности по управлению рисками проекта, включая набор методов, средств и организации управления рисками.

•Идентификация факторов риска – определение рисков,

способных повлиять на проект, и документирование их характеристик.

•Оценка рисков – качественный и количественный анализ рисков с целью определения их влияния на проект.

•Планирование реагирования на риски – разработка мер,

обеспечивающих минимизацию вероятности и ослабление отрицательных последствий рисковых событий при общем повышении вероятности успешного завершения проекта.

233

•Мониторинг и контроль риска – мониторинг наступления рисковых событий, определение новых рисков, выполнение плана управления рисками проекта и оценка эффективности действий по минимизации рисков.

11.3.1.Основные модели управления рисками программных проектов

Общие методы анализа рисков в сложных системах регламентированы стандартом ГОСТ Р 51901 — "Управление надежностью. Анализ риска технологических систем". Основной задачей стандарта является обоснование решений, касающихся анализа риска реализации проектов и технологий сложных систем. Хотя стандарт и не направлен исключительно на проекты разработки программного обеспечения, изложенные в нем рекомендации могут быть применены и в таких проектах.

Управление рисками в жизненном цикле программных проектов специально регламентировано международными стандартами ISO 12207 «Процессы жизненного цикла программных средств» и ISO 15504 «Оценка и аттестация зрелости процессов создания и сопровождения программных средств и информационных систем», которые целесообразно использовать при разработке комплексов программ. В стандарте ISO 15504 содержится специальный раздел "МАН.4. Процесс управления рисками", назначением которого является регламентирование и планирование процессов выявления и устранения рисков на протяжении всего жизненного цикла программного изделия.

Software Engineering Institute (SEI) разработал модель управления рисками при разработке программного обеспечения, частично вошедшую в PMBoK Guide 2000, включающую в себя как требования упомянутых стандартов, так и известные "хорошие практики" (best practices) управления рисками. Подготовку управления рисками проекта эта модель рекомендует проводить в следующей последовательности:

постановка целей управления рисками в соответствии с целями проекта;

планирование и координация работ по оценке рисков проекта

(выделение группы экспертов для оценки рисков, подготовка и планированиие интервью с исполнителями с целью выявления рисков в результатах их деятельности);

идентификация и оценка рисков (обнаружение возможных рисковых ситуаций и оценивание влияния рисков на проект);

подготовка к устранению рисков (разработка мероприятий по сокращению или устранению рисков и подготовка отчета с

234

рекомендациями для руководства проекта по анализу и управлению рисками);

разработка плана управления рисками, включающего

•списки рисков по этапам или работам проекта,

•методы, процессы и инструменты, применяемые для сокращения или устранения рисков,

•организацию и распределение ответственности за управление рисками, а также за обеспечение допустимого уровня рисков проекта.

Выполняется план управления рисками, как правило, итерационно по основным крупным этапам жизненного цикла проекта. Обычный порядок действий согласно модели SEI при этом следующий.

1.Идентификация рисков:

•определение возможных источников рисков,

•идентификация потенциальных рисковых событий,

•определение ситуаций и условий их возникновения,

•определение возможного ущерба.

2. Анализ рисков (определение качественных, а лучше – количественных характеристик риска, ранжирование рисков по приоритетам).

3.Планирование ответов на риски – действий по уменьшению или устранению риска.

4.Отслеживание рисков – контроль текущих рисков, корректировка планов по снижению риска, и просмотр результатов выполненных мероприятий плана управления рисками.

5.Подготовка и реализация планов дальнейшего снижения и ликвидации рисков проекта.

11.3.2.Выявление, идентификация и анализ рисков

Прежде, чем с риском можно что-то сделать, он должен быть идентифицирован.

Идентификация риска заключается в фиксации всех факторов беспокойства и озабоченности, связанных с проектом, а затем в постоянном обдумывании всей командой других возможных опасений.

Для обнаружения рисков необходим скептический склад ума. Идентификация риска сродни проведению инспектирований – глобальному поиску дефектов в плане разработки. Для идентификации рисков полезно иметь контрольных списк (checklist, шаблон) рисков сходных проектов.

235

Специалистами по управлению рисками в результате исследований были предложены следующие глобальные категории рисков, характерные для самых простых проектов разработки программных продуктов:

Недостаточная вовлеченность в проект высшего руководства.

Невозможность привлечения реальных и адекватных пользователей.

Непонимание требований разработчиками.

Изменение области применения или целей проекта.

Нехватка знаний или навыков у персонала.

Следует обратить внимание, что в этом списке только 20% рисков относятся к техническим, а 80% относятся к организационным. Такое соотношение отражает реальное положение дел. Риски, возникающие из-за плохой организации проекта, намного больше рисков, возникающих из-за выбора неадекватного инструмента, недостаточного опыта программирования, использования новой информационной технологии и т.п. Таким образом, основная нагрузка по управлению рисками ложится на плечи менеджера проекта.

Каждый идентифицированный риск должен с радостью восприниматься командой проекта, так как в этом случае с ним можно начать что-то делать.

Настоящей проблемой являются риски, которые не удалось идентифицировать.

Такие риски похожи на мины, ждущие свои жертвы. Поскольку процент проектов, которые уже никогда не завершатся, поистине огромен, то только постоянное внимание к рискам делает более вероятным тот факт, что проект попадет в 20% более удачливых проектов или будет прекращен до того, как будут потрачены громадные деньги и загублены карьеры участников.

Менеджер проекта имеет дело с рисками, которые можно классифицировать следующим образом:

•Известное в известном – риски известны разработчикам проекта, определены категории риска, а также реалистичные оценки вероятности и ущерба конкретных рисков для данного проекта. Например, если отсутствует достаточно квалифицированный исполнитель для крупного раздела проекта, проявляющийся в этом случае риск относится к известному типу, а относительно его наличия в данном проекте также можно сделать определенные выводы.

236

•Известное в неизвестном – риски известны команде разработчиков проектов, знакома категория риска, но неизвестны реальная вероятность проявления или возможная величина ущерба для данного проекта. Например, отсутствие достаточного взаимодействия с конечными пользователями обычно приводит к риску, связанному с некорректной формулировкой и идентификацией требований. Однако может быть неизвестно, существует ли вообще этот риск и может ли он нанести ущерб для данного проекта.

•Неизвестное в неизвестном – риски могут быть известны разработчикам проекта, знакома категория риска, но неизвестны ни вероятность, ни ущерб, а значит, неизвестна его реальная величина для данного проекта разработки программного продукта. Например, подобные риски проявляются в том случае, когда проект использует специфическое технологическое решение, которое указано в требованиях контракта для данного проекта, но незнакомо менеджеру проекта и команде проекта. При отсутствии опыта работы с инструментом, менеджер проекта не может знать всех потенциальных рисков, которые может повлечь за собой его применение.

Идентифицированный риск, величина которого может быть достаточно надежно оценена, естественно назвать выявленным.

Выявление риска – это оценка его величины.

Выявление рисков – довольно трудная задача, потому что она неразрывно связана с задачей анализа – оценки численного значения величин в условиях неопределенности.

Методы, используемые для оценки величины риска, обычно являются количественными. Однако полный количественный анализ не всегда возможен из-за недостатка информации о системе или деятельности, подвергающейся анализу. При таких обстоятельствах может оказаться эффективным сравнительное количественное или качественное ранжирование риска специалистами, хорошо информированными в данной области и системах. В тех случаях, когда проводится качественное ранжирование, необходимо иметь четкое разъяснение всех используемых терминов и должно быть зафиксировано обоснование всех классификаций вероятностей и ущербов. В том случае, когда проводится полная количественная оценка величины риска, необходимо учитывать, что расчетные значения риска представляют собой приближенные оценки и следует позаботиться о том, чтобы их

237

точность соответствовала точности используемых исходных данных и аналитических методов.

Элементы процесса оценки величины риска являются общими для всех видов риска. Прежде всего, анализируются возможные причины негативного события с целью определения частоты возникновения таких событий, их продолжительности, а также характера. В процессе анализа может возникнуть необходимость определения оценки вероятности опасности, вызывающей негативные последствия, и проведения анализов последовательности обуславливающих событий.

Анализ вероятности используется для оценки вероятности каждого негативного события, проявившегося на стадии идентификации опасностей, угроз.

Для оценки частот происходящих событий обычно применяются следующие три метода:

√использование имеющихся статистических данных (предысторий);

√получение частот негативных событий на основе аналитических или имитационных методов;

√использование мнений экспертов.

Данные эксплуатации используются с целью определения частоты, с которой негативные события происходили в прошлом, и, исходя из этого, прогнозирование частоты, с которой они могут произойти в будущем.

Анализ ущерба используется для оценки вероятного воздействия, которое вызывается нежелательным событием. Анализ ущерба должен:

•основываться на выбранных негативных событиях;

•описывать и оценивать любые последствия, являющиеся результатом негативных событий;

•учитывать существующие меры, направленные на смягчение последствий, наряду со всеми соответствующими условиями, оказывающими влияние на последствия;

•устанавливать критерии, используемые для полной идентификации последствий;

•рассматривать и учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного периода времени, если это не противоречит сфере распространения исследований;

•рассматривать и учитывать вторичные последствия, распространяющиеся на смежные компоненты и системы.

238

Существует множество неопределенностей, связанных с оценкой риска. Понимание неопределенностей и вызывающих их причин необходимо для эффективной интерпретации значений величины риска. Анализ неопределенностей должен предусматривать определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели. Областью, тесно связанной с анализом неопределенностей, является анализ чувствительности. Анализ подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели. Оценка неопределенности состоит из преобразования неопределенности критических параметров модели в неопределенность результатов в соответствии с моделью риска. Это относится как к неопределенностям данных, так и к неопределенностям модели. Должны быть определены те параметры, к которым чувствителен анализ.

В случае, когда обоснованную оценку вероятности рисков получить трудно (что является скорее правилом, чем исключением) весьма полезным является выполнение требования стандарта ISO 15504, согласно которому для каждого вида риска (или набора рисков) должны быть определены метрики, отражающие изменения в состоянии (вероятности, ущербе, временном диапазоне проявления) рисков в зависимости от деятельности по их устранению.

Спектр методик количественного анализа неопределенностей и рисков проекта весьма широк: от PERT анализа и анализа "что-если" (what-if analysis) до сложнного имитационного моделирования методом Монте-Карло. Для этих методов существует и специальное программное обеспечение. Так, Open Plan Professional позволяет охарактеризовать неопределенности, связанные с длительностью проекта. Запрашивая вероятностную, а не строго определенную, длительность отдельных работ, Open Plan моделирует вклад факторов неопределенностей в вычисление даты окончания проекта. Анализ рисков в Open Plan реализуется следующими средствами:

•Процедуры ввода вероятностного распределения длительности для избранных или всех работ проекта.

•Выполнение анализа рисков по методу Монте-Карло для определения вклада вероятностей в даты проекта.

•Предоставление представлений и отчетов, которые используются для анализа влияния неопределенностей на реализацию проекта ) см., например, рис. 2, на котором представлена гистограмма распределения даты возможного окончания проекта, построенная при помощи Open Plan Professional).

239