Metodyka oceny ryzyka w

przedsięwzięciach informatycznych

mgr inż. Wojciech Machała

Instytut Systemów Informatycznych WAT

Zakład Inżynierii Systemów Informatycznych

Plan wystąpienia

1. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych

2. Metodyka oceny ryzyka w przedsięwzięciach informatycznych

3. Przykład metody oceny ryzyka

4. Wnioski

1. Wprowadzenie w problematykę ryzyka w

przedsięwzięciach informatycznych

Przedsięwzięcie informatyczne - PI

Przedsięwzięcie informatyczne to konkretna praca, charakteryzująca się dyskretnym czasem rozpoczęcia i zakończenia, której celem jest sformułowanie, rozwiązanie i zrealizowanie zadania projektowego. W praktyce sprowadza się to do wytworzenia konkretnego produktu lub wykonania usługi informatycznej.

Ryzyko

Ryzyko – szansa jakiegoś wydarzenia, którego urzeczywistnienie będzie miało negatywny wpływ na realizację zamierzonego celu.

Ryzyko – możliwość wystąpienia niechcianej sytuacji, której urzeczywistnienie może wpłynąć na obniżenie poziomu sukcesu PI (łącznie z całkowitym brakiem sukcesu czyli klęską). [Górski]

Ryzyko – miara (!) prawdopodobieństwa zaistnienia niezadowalającego rezultatu, wpływającego na projekt, proces lub produkt (Software Engineering Institute)

Zarządzanie ryzykiem

Praktyka szacowania i sterowania ryzykiem, które wpływa na projekt, proces lub produkt.

Model zarządzania ryzykiem wg. Software Engineering Institute

Identyfikacja ryzyka

„Inwentaryzacja potencjalnych zagrożeń, zanim będą wywierać wpływ na realizację przedsięwzięcia informatycznego. Rezultatem identyfikacji jest lista specyficznych dla danego przedsięwzięcia ryzyk.

Analiza ryzyka

Przekształcenie informacji o zidentyfikowanych ryzykach w informację decyzyjną.

Planowanie ryzyka

Zaplanowanie działań mających na celu złagodzenie skutków ewentualnego urzeczywistnienia się ryzyka. Dla każdego ryzyka powinien być określony sposób postępowania np. łagodzenie, unikanie, akceptacja, transfer itp.

Śledzenie ryzyka

Monitorowanie statusu ryzyk oraz ewentualnych działań wynikających z planowania ryzyka.

Sterowanie ryzykiem

Korygowanie odchyleń od przewidywanych rezultatów działań wynikających z planowania ryzyka.

Ocena i obniżanie ryzyka

Ocena ryzyka: Identyfikacja Analiza

Obniżanie ryzyka: Planowanie Śledzenie Sterowanie

Praktyka zarządzania ryzykiem – identyfikacja

Taxonomy – Based Risk Identification (kwestionariusze TBQ) Taksonomia ryzyka:

Klasy ryzyka: Inżynieria produktu Środowisko wytwórcze Ograniczenia zewnętrzne

Elementy ryzyka Atrybuty ryzyka

Praktyka zarządzania ryzykiem – analiza

Wyselekcjonowanie 10 najważniejszych ryzyk Ustanowienie planu regularnych przeglądów (np. raz na miesiąc) Każde spotkanie obejmuje sprawozdanie na temat 10 głównych

ryzyk: Które miejsce zajmuje dane ryzyko na liście ? Które miejsce zajmowało dane ryzyko na poprzednim

przeglądzie ? Jakie są postępy w obniżaniu danego ryzyka ?

Praktyka zarządzania ryzykiem – problemy

Nie uwzględnia się wzajemnego oddziaływania zagrożeń – czy śledzenie 10-ciu „najważniejszych” ryzyk zagwarantuje pomyślne zakończenie przedsięwzięcia informatycznego ?

Oddzielne rozważanie poszczególnych ryzyk bez uwzględniania przenoszenia się zagrożeń.

Brak jasnej procedury obsługi listy 10-ciu – ryzyka spoza listy mogą w trakcie trwania prac nabrać nowych wartości.

Co z pozostałymi 190 ryzykami ? Czy pozostałe 95 % (!) ryzyk nie wpływa na powodzenie

przedsięwzięcia informatycznego, nawet jeśli prawdopodobieństwa ich wystąpienia są bardzo małe ?

2. Metodyka oceny ryzyka w przedsięwzięciach

informatycznych

Dlaczego metodyka a nie metoda ?

Ze względu na unikalność i różnorodność realizowanych przedsięwzięć informatycznych, skonstruowanie jednej uniwersalnej metody oceny ryzyka jest raczej niemożliwe.

Potencjalna uniwersalna metoda – silna parametryzacja i konieczność „dostrojenia” metody do konkretnego przedsięwzięcia.

Istnieje potrzeba skonstruowania metodyki oceny ryzyka, która umożliwi wykreowanie jeden lub kilku metod, dedykowanych dla konkretnego przedsięwzięcia informatycznego.

Idea metodyki

Dwustopniowa agregacja całej dostępnej informacji dotyczącej szczegółowych ryzyk do syntetycznej informacji opisującej szanse powodzenia przedsięwzięcia informatycznego.

Postulowana miara szansy – wskaźnik zagrożenia przedsięwzięcia informatycznego.

Poziomy opisu ryzyk: Podstawowy – czynniki pierwotne zagrożenia

przedsięwzięcia informatycznego Pośredni – czynniki wtórne zagrożenia przedsięwzięcia

informatycznego

Fazy metodyki

Definiowanie miar: Zdefiniowanie wskaźnika zagrożenia przedsięwzięcia

informatycznego (2 do 7 składowych). Zdefiniowanie czynników pierwotnych zagrożenia

przedsięwzięcia informatycznego (np. w oparciu o taksonomię ryzyka zaproponowaną przez SEI).

Zdefiniowanie czynników wtórnych zagrożenia przedsięwzięcia informatycznego.

Definiowanie dziedzin (zakresów zmienności) czynników pierwotnych

Fazy metodyki (2)

Definiowanie agregacji: Określenie zależności między czynnikami pierwotnymi a

czynnikami wtórnymi oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu poszczególnych czynników wtórnych na podstawie stanów czynników pierwotnych.

Określenie zależności między czynnikami wtórnymi a składowymi wskaźnika zagrożenia oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu składowych wskaźnika zagrożenia na podstawie stanów czynników wtórnych.

3. Przykład metody oceny ryzyka

Składowe wskaźnika zagrożenia przedsięwzięcia informatycznego:

Stan motywacji udziałowców przedsięwzięcia informatycznego do jego pomyślnego zakończenia

Stan możliwości udziałowców przedsięwzięcia informatycznego dla jego pomyślnego zakończenia

Stan wskaźnika zagrożenia: 21.01.2002 Przedsięwzięcie: Informatyzacja firmy X

-2-4-6-8-10

0

Bardzo mocno korzystny dla przedsięwzięciaMocno korzystny dla przedsięwzięciaDostatecznie korzystny dla przedsięwzięciaZauważalnie korzystny dla przedsięwzięciaNieznacznie korzystny dla przedsięwzięcia

Nieznacznie niekorzystny dla przedsięwzięciaZauważalnie niekorzystny dla przedsięwzięciaDostatecznie niekorzystny dla przedsięwzięciaMocno niekorzystny dla przedsięwzięciaBardzo mocno niekorzystny dla przedsięwzięcia

Obojętny dla przedsięwzięcia

108642

Motywacja MożliwościWskaźnik zagrożenia

Pośredni poziom opisu ryzyka

Czynniki sprawcze zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów, które generują przyczyny upadku lub powodzenia przedsięwzięcia informatycznego.

Czynniki wtórne zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów a także właściwości (cechy) elementów otoczenia przedsięwzięcia, które określają fizyczną realizowalność przedsięwzięcia informatycznego.

Motywacja MożliwościWskaźnik

zagrożenia PI

Czynniki sprawcze

zagrożenia PI

Czynniki wykonawcze zagrożenia PI

Czynniki wtórne

zagrożenia PI

Atrybut

ryzyka.................................

Czynniki pierwotne

zagrożenia PIAtrvbut

ryzyka

Przykłady czynników

Czynnik wtórny (wykonawczy): „Jakość” wymagania względem systemu

Czynniki pierwotne: Stabilność Pełność Jasność Sprzeczność

Dziedziny czynników pierwotnych

Stabilność:

4 – sprzeczność zasadniczych wymagań, uniemożliwiająca realizację systemu

3 – sprzeczność istotnych wymagań, wymagająca dokładnego sprecyzowania wymagań użytkownika

2 – sprzeczność wymagań drugorzędnych, które nie mają większego wpływu na realizację systemu

1 – brak sprzecznych wymagań

Formuły agregacji

M – poziom możliwości W – poziom jakości wymagań względem systemu P1 – poziom stabilności wymagań

P2 – poziom pełności wymagań

P3 – poziom jasności wymagań

P4 – poziom sprzeczności wymagań

W = f(P1 , P2 , P3 , P4) M = h(W)

Wskaźnik zagrożenia – wykorzystanie w praktyce

4. Wnioski

Stosowanie proponowanej metodyki oceny ryzyka wymaga zdyscyplinowanego i systematycznego podejścia do zarządzania ryzykiem.

Przewidywany koszt wykorzystania wybranej metody oceny ryzyka jest duży – można podjąć próbę określenia „progu opłacalności” stosowania metody.

Składowe definiowanych wskaźników zagrożenia nie muszą pokrywać pełnego obszaru zagrożeń w realizacji przedsięwzięcia. Można skonstruować kilka metod (wskaźników) i stosować je w czasie realizacji przedsięwzięcia.

Zbieżność metody z metodami pomiarów jakości procesu wytwórczego lub produktu.

Dziękuję za uwagę