Chương 10. Quản trị rủi ro
Transcript of Chương 10. Quản trị rủi ro
Chương 10. Quản trị rủi ro
Tổng quan về quản lý dự án CNTT
2 Quản trị rủi ro trong quản lý dự án CNTT
Quản trị rủi ro
Giới thiệu
Khái niệm
Phân loại rủi ro
Chiến lược ứng phó rủi ro
Quy trình quản lý rủi ro
Xác định rủi ro
Đánh giá rủi ro
Xếp hạng rủi ro
Hạn chế, giám sát và quản trị rủi ro
3 Quản trị rủi ro trong quản lý dự án CNTT
Giới thiệu
Rủi ro
Rủi ro hay nguy cơ (risk): là một vấn đề tiềm ẩn
Đặc điểm của rủi ro:
Không chắc chắn: có thể xảy ra hoặc không xảy ra
Thiệt hại: khi một nguy cơ xảy ra đưa tới những hậu
quả không mong muốn hoặc có tổn thất
5 Quản trị rủi ro trong quản lý dự án CNTT
Phân loại rủi ro – cách #1
• Đe dọa đến kế hoạch dự án
• Nếu xảy ra, thường làm trễ lịch trình thực hiện và làm tăng chi phí
Rủi ro cấp dự án:
• Đe dọa đến chất lượng và thời gian giao sản phẩm
• Nếu xảy ra, việc triển khai sẽ gặp khó khăn hoặc không thể thực hiện
Rủi ro mang tính kỹ thuật:
• Đe dọa đến khả năng “sống” của sản phẩm
• Nếu xảy ra, gây nguy hiểm cho dự án hoặc sản phẩm
Rủi ro kinh doanh:
6 Quản trị rủi ro trong quản lý dự án CNTT
Phân loại rủi ro – cách #1
Các phân nhánh của rủi ro kinh doanh: Rủi ro thị trường: tạo ra một sản phẩm hay hệ thống tốt,
nhưng không ai thực sự cần
Rủi ro chiến lược: tạo ra sản phẩm không còn phù hợp
với chiến lược kinh doanh của công ty
Rủi ro bán hàng: tạo ra sản phẩm mà đội ngũ bán hàng
không hiểu làm sao bán được
Rủi ro về quản lý: mất sự hậu thuẫn của quản lý cao cấp;
do thay đổi quan điểm hoặc thay đổi nhân sự
Rủi ro về tài nguyên: mất cam kết về ngân sách hay về
nhân sự
7 Quản trị rủi ro trong quản lý dự án CNTT
Phân loại rủi ro - cách #2
Các rủi ro biết được: được phát hiện sau khi đánh giá cẩn thận kế hoạch dự án, môi trường kinh doanh và kỹ thuật (VD: thời hạn giao sản phẩm không thực tế..)
Các rủi ro dự đoán được: được ngoại suy từ kinh nghiệm của các dự án trước (VD: luân chuyển nhân sự...)
Các rủi ro không đoán trước: có thể xảy ra, nhưng rất khó để xác định trước
8 Quản trị rủi ro trong quản lý dự án CNTT
Các chiến lược với rủi ro
• Phần lớn nhà quản lý và đội phần mềm theo cách tiếp cận này
• Không làm gì với rủi ro, cho đến khi điều tồi tệ xảy ra
• “Quản trị khủng hoảng” là kỹ thuật quản trị được lựa chọn
Các chiến lược phản
kháng (reactive):
• Thực hiện các bước quản lý rủi ro
• Mục tiêu cao nhất là tránh rủi ro; có kế hoạch ứng phó với những rủi ro không thể tránh một cách hiệu quả và có kiểm soát
Chiến lược chủ động (proactive):
9 Quản trị rủi ro trong quản lý dự án CNTT
4 bước quản trị rủi ro
Xác định rủi ro
Phân tích rủi ro
Xếp hạng rủi ro
Xây dựng kế hoạch ứng phó
10 Quản trị rủi ro trong quản lý dự án CNTT
4 bước quản trị rủi ro
Xây dựng kế hoạch ứng phó Lập kế hoạch ứng phó với những rủi ro có xác suất cao, ảnh hưởng lớn
Xếp hạng rủi ro Sắp xếp các rủi ro theo xác suất và hậu quả
Phân tích mỗi rủi ro Xác định khả năng xảy ra và hậu quả (mức thiệt hại) nếu nó xảy ra
Xác định rủi ro
Xác định các rủi ro có thể xảy ra
11 Quản trị rủi ro trong quản lý dự án CNTT
Xác định rủi ro
Xác định rủi ro
Xác định rủi ro: những nỗ lực có hệ thống để chỉ
ra những mối de dọa tới dự án
Bằng việc xác định những rủi ro được biết và rủi
ro đoán được, người quản lý dự án thực hiện bước
đầu tiên để tránh chúng nếu có thể, và kiểm soát
khi cần thiết
13 Quản trị rủi ro trong quản lý dự án CNTT
Xác định rủi ro
Các rủi ro phổ quát: xảy ra với mọi dự án phần
mềm
Các rủi ro riêng:
Rủi ro chỉ được xác định nếu hiểu rõ về công nghệ,
con người và môi trường xây dựng phần mềm/HTTT
Cần rà soát kỹ bản đề cương dự án
“Đặc điểm nào của sản phẩm đe dọa tới kế hoạch dự
án ?”
14 Quản trị rủi ro trong quản lý dự án CNTT
Danh sách kiểm mục rủi ro
Là một cách để xác định các rủi ro
Tập trung vào các rủi ro đã biết và đoán được của
phân nhánh
Có thể tổ chức theo một số dạng:
Danh sách các đặc điểm phù hợp với mỗi phân nhánh
rủi ro
Câu hỏi đánh giá ảnh hưởng của mỗi rủi ro
Danh sách gồm các thành phần rủi ro và khả năng xảy
ra
15 Quản trị rủi ro trong quản lý dự án CNTT
Phân loại các rủi ro biết và đoán được (1)
Tầm cỡ sản phẩm: các rủi ro liên quan đến tầm cỡ phần
mềm được xây dựng
Ảnh hưởng kinh doanh: các rủi ro liên quan đến các ràng
buộc về quản trị và thị trường
Đặc điểm của khách hàng: các rủi ro liên quan đến sự
phức tạp của khách hàng và khả năng lập trình viên giao
tiếp với khách hàng kịp thời
Định nghĩa tiến trình: các rủi ro liên quan đến mức các
tiến trình được định nghĩa và thực hiện
16 Quản trị rủi ro trong quản lý dự án CNTT
Phân loại các rủi ro biết và đoán được (2)
Môi trường phát triển: các rủi ro liên quan đến độ sẵn sàng
và chất lượng các công cụ được sử dụng để thực hiện dự án
Công nghệ được phát triển: rủi ro liên quan đến độ phức tạp
và tính mới trong công nghệ của hệ thống được xây dựng
Quy mô và kinh nghiệm của đội ngũ: rủi ro liên quan đến
kiến thức chung và kinh nghiệm liên quan tới dự án của những
người tham gia
17 Quản trị rủi ro trong quản lý dự án CNTT
Đặt câu hỏi
1) Quản lý cấp cao về khách hàng và phần mềm có chính
thức cam kết hỗ trợ dự án ?
2) Người dùng cuối có nhiệt tình tham gia vào dự án, hay
sản phẩm/hệ thống được xây dựng ?
3) Độ ngũ kỹ sư phần mềm và khách hàng có hiểu rõ các
yêu cầu ?
4) Khách hàng đã để hết tâm trí vào việc định nghĩa các yêu
cầu?
5) Kỳ vọng của người dùng cuối có thực tế ?
6) Quy mô dự án có ổn định ?
18 Quản trị rủi ro trong quản lý dự án CNTT
Đặt câu hỏi
7) Sự phối hợp các thành viên dự án đã phù hợp (tập thể có đủ
các kỹ năng cần thiết) ?
8) Dự án có yêu cầu ổn định ?
9) Đội dự án có kinh nghiệm về công nghệ sẽ được triển khai ?
10) Số lượng người của đội dự án có phù hợp với lượng việc ?
11) Tất cả các khách hàng đồng thuận về tầm quan trọng của dự
án, và về các yêu cầu của hệ thống/ sản phẩm sẽ được xây
dựng ?
19 Quản trị rủi ro trong quản lý dự án CNTT
Các rủi ro thành phần
Rủi ro về hiệu năng
Rủi ro về chi phí
Rủi ro về hỗ trợ
Rủi ro về lịch biểu
20 Quản trị rủi ro trong quản lý dự án CNTT
Cấp độ và khả năng xảy ra rủi ro
21
• 1-không đáng kể,
• 2-chấp nhận được,
• 3-nguy cấp
• 4-thảm họa
Các rủi ro được chia
theo 4 cấp độ ảnh hưởng:
• không thể,
• ít khả năng,
• nhiều khả năng
• thường xuyên
Khả năng xảy ra rủi ro được đánh
giá:
Quản trị rủi ro trong quản lý dự án CNTT
Đánh giá rủi ro
Ước lượng các rủi ro
Ước lượng rủi ro là nỗ lực đánh giá mỗi rủi ro trên 2
mặt:
o Xác suất rủi ro xảy ra
o Hậu quả của các vấn đề liên quan đến rủi ro, nếu nó
xảy ra.
Người lập kế hoạch, quản lý dự án và bộ phận kỹ thuật
thực hiện 4 bước ước lượng rủi ro.
Mục đích của các bước tiếp theo là xem xét rủi ro theo
thứ tự ưu tiên.
Với các rủi ro có độ ưu tiên cao, nhóm làm việc phân bố
nguồn lực để hạn chế cao nhất hậu quả không mong
muốn.
23 Quản trị rủi ro trong quản lý dự án CNTT
Các bước ước lượng rủi ro
Thiết lập một thang điểm
phản ánh khả năng nhận biết của mỗi rủi ro (ví dụ: 1-thấp,
10-cao...)
Khoanh định các hậu quả
của rủi ro
Ước tính ảnh hưởng của rủi ro tới sản phẩm
và dự án
Lưu ý về độ chính xác tổng
thể của ước lượng rủi ro để
không có sự hiểu nhầm
24 Quản trị rủi ro trong quản lý dự án CNTT
Bảng các rủi ro
Bảng các rủi ro: cho nhà quản lý dự án một cái nhìn đơn
thuần về kỹ thuật sự đánh giá về các nguy cơ
Ví dụ:
Rủi ro Phân loại
Khả năng
Ảnh hưởng
(1-4)
RMMM
Ước lượng về quy mô dự án quá thấp P 60% 3
Số người dùng nhiều hơn dự tính P 30% 2
Khách hàng thay đổi yêu cầu P 80% 3
Công nghệ không đạt được kỳ vọng TE 30% 4
Đội thực hiện thiếu kinh nghiệm ST 20% 3
Mức ảnh hưởng: 4- thảm họa, 3-nguy cấp, 2-chấp nhận được, 1-không đáng kể
25 Quản trị rủi ro trong quản lý dự án CNTT
Xây dựng Bảng các rủi ro
Liệt kê tất cả những rủi ro trong cột đầu tiên (sử dụng Danh sách kiểm mục rủi ro)
Đánh dấu các mục
loại của mỗi rủi ro
Ước lượng khả năng xảy ra của mỗi rủi ro
Đánh giá tác động
của từng rủi ro, xác định giá trị tác động tổng
thể dựa trên trung bình
tác động của 4 rủi ro
thành phần
Sắp xếp các hàng theo
khả năng và tác động
trong thứ tự giảm dần
Vẽ một đường cắt
ngang bảng, chỉ ra những rủi ro mà sẽ được quan tâm hơn cả
26 Quản trị rủi ro trong quản lý dự án CNTT
Tác động của rủi ro
27
Bản chất: liên quan tới các vấn đề, nếu rủi ro xảy
ra
Phạm vi: mức độ nghiêm
trọng của rủi ro (như thế nào) và vai trò tổng thể của nó (bao
nhiêu)
Thời gian: xem xét ảnh hưởng
khi nào và trong bao lâu
Ba yếu tố ảnh hưởng đến hậu quả nếu một rủi ro xảy ra
Quản trị rủi ro trong quản lý dự án CNTT
Đánh giá tác động của rủi ro
Công thức rủi ro tổng thể (risk exposure) là
RE(r) = P(r) x C(r) P(r) = xác suất xảy ra rủi ro
C(r) = chi phí nếu rủi ro thực sự xảy ra
Ví dụ
với P = 80%, C = $2500,
khi đó RE = 0,80 x 2500 = $2000
28 Quản trị rủi ro trong quản lý dự án CNTT
Hạn chế, giám sát
và quản lý rủi ro (Risk Mitigation, Monitoring, and
Management - RMMM)
Hạn chế, giám sát và quản lý rủi ro
(RMMM)
Một chiến lược hiệu quả để đối phó với rủi ro phải
xem xét ba vấn đề (không phải là loại trừ lẫn nhau)
Giảm thiểu (tránh) rủi ro (mitigation)
Giám sát rủi ro (monitoring)
Quản lý rủi ro (management) và lập kế hoạch dự
phòng
Giảm thiểu rủi ro (tránh rủi ro) là chiến lược chính
Ví dụ: rủi ro do sáo trộn nhân sự
30 Quản trị rủi ro trong quản lý dự án CNTT
VD:Chiến thuật giảm xáo trộn nhân sự
Họp nhân viên hiện tại để xác định nguyên nhân dẫn đến xáo trộn
(vd: điều kiện làm việc kém, lương thấp, thị trường việc làm cạnh
tranh...). Kiểm soát, loại bỏ vấn đề này trước khi dự án bắt đầu,
Khi dự án bắt đầu, nếu có xáo trộn, thì cố gắng để các kỹ thuật viên
chính vẫn tiếp tục khi người khác rời đi
Tổ chức đội dự án sao cho để thông tin về các hoạt động được phân
tán rộng rãi
Định nghĩa tiêu chuẩn cho tài liệu và thiết lập các cơ chế để đảm
bảo rằng các tài liệu được phát triển kịp thời
Tiến hành đánh giá ngang hàng của tất cả các công việc
Chỉ định một nhân viên dự phòng cho tất cả các chuyên gia công
nghệ quan trọng
31 Quản trị rủi ro trong quản lý dự án CNTT
RMMM
Trong giám sát rủi ro, quản lý dự án giám sát các yếu tố
cho biết một nguy cơ ngày càng có khả năng hoặc ít có
khả năng xảy ra,
Quản lý rủi ro và lập kế hoạch dự phòng: giả thiết rằng
nỗ lực giảm nhẹ đã thất bại và rằng nguy cơ đã trở thành
hiện thực
Các bước RMMM phải chịu chi phí bổ sung
• Các dự án lớn có thể xác định khoảng 30 - 40 rủi ro
Rủi ro không giới hạn trong bản thân dự án
• Rủi ro có thể xảy ra sau khi sản phẩm đã được cung cấp cho người sử
dụng
32 Quản trị rủi ro trong quản lý dự án CNTT
Kế hoạch RMMM
Kế hoạch RMMM có thể là một phần của kế hoạch phát triển phần mềm hoặc có thể là một tài liệu riêng biệt
Khi RMMM được ghi nhận và dự án đã bắt đầu, giảm thiểu rủi ro, và các bước giám sát bắt đầu
• Giảm thiểu rủi ro là hành động để tránh rủi ro
• Giám sát rủi ro là hành động theo dõi dự án
33 Quản trị rủi ro trong quản lý dự án CNTT
Giám sát rủi ro
Giám sát rủi ro có ba mục tiêu
Đánh giá liệu những rủi ro dự đoán, trên thực tế, có xảy ra
hay không
Đảm bảo rằng các bước chuẩn bị đã được xác định cho rủi
ro không mong muốn được thực hiện đúng cách
Thu thập thông tin có thể được sử dụng để phân tích rủi ro
trong tương lai
Giám sát rủi ro có thể cho phép người quản lý dự án, xác
định những rủi ro nào gây ra vấn đề nào trong dự án
34 Quản trị rủi ro trong quản lý dự án CNTT
7 nguyên tắc quản lý rủi ro
35
Duy trì một cái nhìn toàn cục: Xem rủi ro phần mềm trong bối cảnh của một hệ thống và các vấn đề kinh doanh để giải quyết
Nhìn tới tương lai: Suy nghĩ về những rủi ro có thể phát sinh trong tương lai, xây dựng kế hoạch dự phòng
Khuyến khích giao tiếp cởi mở: Khuyến khích tất cả các bên liên quan và người sử dụng để chỉ ra những rủi ro bất cứ lúc nào
Tích hợp quản lý rủi ro: Tích hợp việc xem xét rủi ro vào quy trình phần mềm
Nhấn mạnh một quá trình liên tục của quản lý rủi ro
Xây dựng, chia sẻ tầm nhìn sản phẩm: một tầm nhìn được chia sẻ bởi tất cả các bên tạo điều kiện xác định và đánh giá rủi ro tốt hơn
Khuyến khích làm việc theo nhóm khi quản lý rủi ro
Quản trị rủi ro trong quản lý dự án CNTT
Quản trị rủi ro trong quản lý dự án CNTT 36