- •Microsoft Solutions Framework Дисциплина управления рисками msf вер. 1.1 Содержание
- •Составители
- •Рецензенты
- •Введение
- •Основные сведения о рисках
- •Базовые принципы
- •Проявляйте гибкость – будьте готовы к переменам
- •Поощряйте свободное общение
- •Извлекайте из всего уроки
- •Распределение ответственности при фиксации отчетности
- •Ключевые концепции
- •Риск - неотъемлемая часть всякого проекта или процесса
- •Наиболее эффективно превентивное управление рисками
- •Всячески одобряйте выявление рисков
- •Постоянная оценка
- •Поддерживайте открытое общение
- •Вначале определяйтесь, затем действуйте
- •Не судите о положении вещей исходя только из количества рисков
- •Планирование управления рисками
- •Процесс управления рисками Общее представление
- •Процесс управления рисками msf
- •Выявление рисков Введение
- •Исходные данные
- •Выявление рисков Шаги по выявлению рисков
- •Структурированный подход
- •Классификация рисков
- •Формулировки рисков
- •Формулировки рисков
- •Анализ и приоритезация рисков Введение
- •Анализ и приоритезация рисков
- •Исходные данные
- •Процесс анализа рисков
- •Вероятность риска
- •Угроза риска
- •Ожидаемая величина риска
- •Дополнительные количественные методики
- •Результаты
- •Главная таблица рисков
- •Прочие методы проведения анализа
- •Документ описания риска
- •Список главных рисков
- •Деактивация рисков
- •Планирование рисков Введение
- •Планирование рисков
- •Исходные данные
- •Мероприятия
- •Исследование
- •Принятие
- •Избежание
- •Перенос
- •Предотвращение
- •Смягчение последствий (реагирование)
- •Календарное планирование
- •Результаты
- •Деятельность по управлению рисками
- •Документирование планов
- •Обновление плана и календарного графика проекта
- •Мониторинг рисков
- •Мониторинг рисков
- •Исходные данные
- •Мероприятия по мониторингу
- •Отчетность о состоянии рисков
- •Результаты
- •Корректирование ситуации
- •Корректирование ситуации
- •Исходные данные
- •Действия по корректированию ситуации
- •Результаты
- •Извлечение уроков из рисков Введение
- •Извлечение уроков
- •Типы извлекаемых уроков
- •Управление извлечением уроков
- •Контекстная классификация рисков
- •База знаний о рисках
- •Достижение зрелости в управлении знаниями о рисках
- •Управление рисками как составная часть жизненного цикла проекта
- •Управление рисками на предприятии
- •Создание культуры управления рисками
- •Управление портфелем проектов
- •Заключение
Структурированный подход
Везде, где только это возможно, MSF рекомендует использовать в процессе управления рисками структурированный подход. В проектах по разработке и внедрению программного обеспечения использование классификаций рисков на этапе выявления предоставляет ясно определенный, воспроизводимый и поддающийся оценке подход. Классификация рисков дает основу для стандартизации терминологии, необходимой для мониторинга и отчетности, и является незаменимой для создания базы знаний о рисках на уровне предприятия или всей индустрии. Классификации рисков помогают проектной группе мыслить всесторонне, предоставляя готовую систематизацию всех составляющих проекта, требующих внимания при выявлении рисков. Такая систематизация может быть получена на основании опыта схожих проектов, осуществленных ранее, или же на основании опытных знаний индустрии в целом. Формулировка рисков (risk statement formulation) является основной методикой, применяемой в рамках MSF для оценки проектов, построения приоритезаций рисков и планирования связанной с рисками деятельности.
Классификация рисков
Классификации рисков (или категории рисков), иногда называемые таксономиями, предназначены для нескольких целей. Во время выявления рисков они стимулируют видение проектной группой всего многообразия рисков, возникающих из различных составляющих проекта. При проведении мозгового штурма классификации рисков облегчают одновременную работу с большим числом рисков, предоставляя подходящий способ группирования схожих рисков. Они также могут быть использованы в выработке общепринятой в проектной группе терминологии для мониторинга и отчетности о состоянии рисков. В конечном счете, классификации рисков совершенно необходимы для составления баз знаний о рисках на уровне предприятий и целых индустрий, так как они предоставляют инструментарий категоризации всей новой информации и удобного поиска существующих знаний. Следующая таблица показывает высокоуровневую классификацию источников рисков проектов.
Люди |
Заказчики (customers) |
Конечные потребители (конечные пользователи, end users) |
Спонсоры |
Заинтересованные стороны |
Персонал |
Организация |
Профессиональная квалификация |
Политика |
Мораль |
Процессы |
Цели и задачи |
Принятие решений |
Характеристики проекта |
Бюджет, затраты, сроки |
Требования (requirements) |
Проектирование (design) |
Реализация (building) |
Тестирование (testing) |
Технологии |
Безопасность |
Среда разработки и тестирования |
Инструментарий |
Внедрение |
Сопровождение |
Операционная среда |
Доступность |
Внешние условия |
Законодательство |
Индустриальные стандарты |
Конкуренция |
Экономические условия |
Технология |
Бизнес-условия |
Существует множество классификаций общих рисков проектов по разработке программного обеспечения. Хорошо известны и часто цитируются Barry Boehm11, Caper Jones12, и SEI Software Risk Taxonomy13, описывающие источники таких рисков.
Также имеются детализованные списки областей рисков, покрывающие определенное количество составляющих проекта. Риски календарного планирования – это одна из общих областей рисков, с которой сталкиваются все проектные группы. Исчерпывающий обзор таких рисков, затрагивающих проекты в области разработки программного обеспечения, был составлен Steve McConnel.14
Проекты в специфических предметных областях, проекты, осуществляемые с применением узкоспециальных технологий, проекты для вертикальных рынков, а также проекты со специфическим конечным продуктом могут содержать хорошо известные риски, уникальные для своей области. Например, в области информационной безопасности существуют риски связанные с кражей, потерей или искажением информации в результате злоумышленного действия или случайного события. Подобные риски обычно именуются опасностями (threats)15,16. При работе над проектами в таких областях полезно изучить классификации этих специальных рисков или же расширить имеющиеся классификации рисков общего назначения. Это должно обеспечить надлежащую широту мышления проектной группы при выявлении рисков проекта.
Прочие источники информации о рисках проектов включают в себя базы данных рисков индустриальных проектов, такие как Software Engineering Information Repository (SEIR)17, и внутренние корпоративные базы знаний о рисках.