Chương 10. Quản trị rủi ro

Tổng quan về quản lý dự án CNTT

2 Quản trị rủi ro trong quản lý dự án CNTT

Quản trị rủi ro

Giới thiệu

Khái niệm

Phân loại rủi ro

Chiến lược ứng phó rủi ro

Quy trình quản lý rủi ro

Xác định rủi ro

Đánh giá rủi ro

Xếp hạng rủi ro

Hạn chế, giám sát và quản trị rủi ro


Giới thiệu

Rủi ro

Rủi ro hay nguy cơ (risk): là một vấn đề tiềm ẩn

Đặc điểm của rủi ro:

Không chắc chắn: có thể xảy ra hoặc không xảy ra

Thiệt hại: khi một nguy cơ xảy ra đưa tới những hậu

quả không mong muốn hoặc có tổn thất


Phân loại rủi ro – cách #1

• Đe dọa đến kế hoạch dự án

• Nếu xảy ra, thường làm trễ lịch trình thực hiện và làm tăng chi phí

Rủi ro cấp dự án:

• Đe dọa đến chất lượng và thời gian giao sản phẩm

• Nếu xảy ra, việc triển khai sẽ gặp khó khăn hoặc không thể thực hiện

Rủi ro mang tính kỹ thuật:

• Đe dọa đến khả năng “sống” của sản phẩm

• Nếu xảy ra, gây nguy hiểm cho dự án hoặc sản phẩm

Rủi ro kinh doanh:


Phân loại rủi ro – cách #1

Các phân nhánh của rủi ro kinh doanh: Rủi ro thị trường: tạo ra một sản phẩm hay hệ thống tốt,

nhưng không ai thực sự cần

Rủi ro chiến lược: tạo ra sản phẩm không còn phù hợp

với chiến lược kinh doanh của công ty

Rủi ro bán hàng: tạo ra sản phẩm mà đội ngũ bán hàng

không hiểu làm sao bán được

Rủi ro về quản lý: mất sự hậu thuẫn của quản lý cao cấp;

do thay đổi quan điểm hoặc thay đổi nhân sự

Rủi ro về tài nguyên: mất cam kết về ngân sách hay về

nhân sự


Phân loại rủi ro - cách #2

Các rủi ro biết được: được phát hiện sau khi đánh giá cẩn thận kế hoạch dự án, môi trường kinh doanh và kỹ thuật (VD: thời hạn giao sản phẩm không thực tế..)

Các rủi ro dự đoán được: được ngoại suy từ kinh nghiệm của các dự án trước (VD: luân chuyển nhân sự...)

Các rủi ro không đoán trước: có thể xảy ra, nhưng rất khó để xác định trước


Các chiến lược với rủi ro

• Phần lớn nhà quản lý và đội phần mềm theo cách tiếp cận này

• Không làm gì với rủi ro, cho đến khi điều tồi tệ xảy ra

• “Quản trị khủng hoảng” là kỹ thuật quản trị được lựa chọn

Các chiến lược phản

kháng (reactive):

• Thực hiện các bước quản lý rủi ro

• Mục tiêu cao nhất là tránh rủi ro; có kế hoạch ứng phó với những rủi ro không thể tránh một cách hiệu quả và có kiểm soát

Chiến lược chủ động (proactive):


4 bước quản trị rủi ro


Phân tích rủi ro

Xếp hạng rủi ro

Xây dựng kế hoạch ứng phó


4 bước quản trị rủi ro

Xây dựng kế hoạch ứng phó Lập kế hoạch ứng phó với những rủi ro có xác suất cao, ảnh hưởng lớn

Xếp hạng rủi ro Sắp xếp các rủi ro theo xác suất và hậu quả

Phân tích mỗi rủi ro Xác định khả năng xảy ra và hậu quả (mức thiệt hại) nếu nó xảy ra


Xác định các rủi ro có thể xảy ra



Xác định rủi ro: những nỗ lực có hệ thống để chỉ

ra những mối de dọa tới dự án

Bằng việc xác định những rủi ro được biết và rủi

ro đoán được, người quản lý dự án thực hiện bước

đầu tiên để tránh chúng nếu có thể, và kiểm soát

khi cần thiết



Các rủi ro phổ quát: xảy ra với mọi dự án phần

mềm

Các rủi ro riêng:

Rủi ro chỉ được xác định nếu hiểu rõ về công nghệ,

con người và môi trường xây dựng phần mềm/HTTT

Cần rà soát kỹ bản đề cương dự án

“Đặc điểm nào của sản phẩm đe dọa tới kế hoạch dự

án ?”


Danh sách kiểm mục rủi ro

Là một cách để xác định các rủi ro

Tập trung vào các rủi ro đã biết và đoán được của

phân nhánh

Có thể tổ chức theo một số dạng:

Danh sách các đặc điểm phù hợp với mỗi phân nhánh

rủi ro

Câu hỏi đánh giá ảnh hưởng của mỗi rủi ro

Danh sách gồm các thành phần rủi ro và khả năng xảy

ra


Phân loại các rủi ro biết và đoán được (1)

Tầm cỡ sản phẩm: các rủi ro liên quan đến tầm cỡ phần

mềm được xây dựng

Ảnh hưởng kinh doanh: các rủi ro liên quan đến các ràng

buộc về quản trị và thị trường

Đặc điểm của khách hàng: các rủi ro liên quan đến sự

phức tạp của khách hàng và khả năng lập trình viên giao

tiếp với khách hàng kịp thời

Định nghĩa tiến trình: các rủi ro liên quan đến mức các

tiến trình được định nghĩa và thực hiện


Phân loại các rủi ro biết và đoán được (2)

Môi trường phát triển: các rủi ro liên quan đến độ sẵn sàng

và chất lượng các công cụ được sử dụng để thực hiện dự án

Công nghệ được phát triển: rủi ro liên quan đến độ phức tạp

và tính mới trong công nghệ của hệ thống được xây dựng

Quy mô và kinh nghiệm của đội ngũ: rủi ro liên quan đến

kiến thức chung và kinh nghiệm liên quan tới dự án của những

người tham gia


Đặt câu hỏi

1) Quản lý cấp cao về khách hàng và phần mềm có chính

thức cam kết hỗ trợ dự án ?

2) Người dùng cuối có nhiệt tình tham gia vào dự án, hay

sản phẩm/hệ thống được xây dựng ?

3) Độ ngũ kỹ sư phần mềm và khách hàng có hiểu rõ các

yêu cầu ?

4) Khách hàng đã để hết tâm trí vào việc định nghĩa các yêu

cầu?

5) Kỳ vọng của người dùng cuối có thực tế ?

6) Quy mô dự án có ổn định ?


Đặt câu hỏi

7) Sự phối hợp các thành viên dự án đã phù hợp (tập thể có đủ

các kỹ năng cần thiết) ?

8) Dự án có yêu cầu ổn định ?

9) Đội dự án có kinh nghiệm về công nghệ sẽ được triển khai ?

10) Số lượng người của đội dự án có phù hợp với lượng việc ?

11) Tất cả các khách hàng đồng thuận về tầm quan trọng của dự

án, và về các yêu cầu của hệ thống/ sản phẩm sẽ được xây

dựng ?


Các rủi ro thành phần

Rủi ro về hiệu năng

Rủi ro về chi phí

Rủi ro về hỗ trợ

Rủi ro về lịch biểu


Cấp độ và khả năng xảy ra rủi ro

21

• 1-không đáng kể,

• 2-chấp nhận được,

• 3-nguy cấp

• 4-thảm họa

Các rủi ro được chia

theo 4 cấp độ ảnh hưởng:

• không thể,

• ít khả năng,

• nhiều khả năng

• thường xuyên

Khả năng xảy ra rủi ro được đánh

giá:

Quản trị rủi ro trong quản lý dự án CNTT

Đánh giá rủi ro

Ước lượng các rủi ro

Ước lượng rủi ro là nỗ lực đánh giá mỗi rủi ro trên 2

mặt:

o Xác suất rủi ro xảy ra

o Hậu quả của các vấn đề liên quan đến rủi ro, nếu nó

xảy ra.

Người lập kế hoạch, quản lý dự án và bộ phận kỹ thuật

thực hiện 4 bước ước lượng rủi ro.

Mục đích của các bước tiếp theo là xem xét rủi ro theo

thứ tự ưu tiên.

Với các rủi ro có độ ưu tiên cao, nhóm làm việc phân bố

nguồn lực để hạn chế cao nhất hậu quả không mong

muốn.


Các bước ước lượng rủi ro

Thiết lập một thang điểm

phản ánh khả năng nhận biết của mỗi rủi ro (ví dụ: 1-thấp,

10-cao...)

Khoanh định các hậu quả

của rủi ro

Ước tính ảnh hưởng của rủi ro tới sản phẩm

và dự án

Lưu ý về độ chính xác tổng

thể của ước lượng rủi ro để

không có sự hiểu nhầm


Bảng các rủi ro

Bảng các rủi ro: cho nhà quản lý dự án một cái nhìn đơn

thuần về kỹ thuật sự đánh giá về các nguy cơ

Ví dụ:

Rủi ro Phân loại

Khả năng

Ảnh hưởng

(1-4)

RMMM

Ước lượng về quy mô dự án quá thấp P 60% 3

Số người dùng nhiều hơn dự tính P 30% 2

Khách hàng thay đổi yêu cầu P 80% 3

Công nghệ không đạt được kỳ vọng TE 30% 4

Đội thực hiện thiếu kinh nghiệm ST 20% 3

Mức ảnh hưởng: 4- thảm họa, 3-nguy cấp, 2-chấp nhận được, 1-không đáng kể


Xây dựng Bảng các rủi ro

Liệt kê tất cả những rủi ro trong cột đầu tiên (sử dụng Danh sách kiểm mục rủi ro)

Đánh dấu các mục

loại của mỗi rủi ro

Ước lượng khả năng xảy ra của mỗi rủi ro

Đánh giá tác động

của từng rủi ro, xác định giá trị tác động tổng

thể dựa trên trung bình

tác động của 4 rủi ro

thành phần

Sắp xếp các hàng theo

khả năng và tác động

trong thứ tự giảm dần

Vẽ một đường cắt

ngang bảng, chỉ ra những rủi ro mà sẽ được quan tâm hơn cả


Tác động của rủi ro

27

Bản chất: liên quan tới các vấn đề, nếu rủi ro xảy

ra

Phạm vi: mức độ nghiêm

trọng của rủi ro (như thế nào) và vai trò tổng thể của nó (bao

nhiêu)

Thời gian: xem xét ảnh hưởng

khi nào và trong bao lâu

Ba yếu tố ảnh hưởng đến hậu quả nếu một rủi ro xảy ra


Đánh giá tác động của rủi ro

Công thức rủi ro tổng thể (risk exposure) là

RE(r) = P(r) x C(r) P(r) = xác suất xảy ra rủi ro

C(r) = chi phí nếu rủi ro thực sự xảy ra

Ví dụ

với P = 80%, C = $2500,

khi đó RE = 0,80 x 2500 = $2000


Hạn chế, giám sát

và quản lý rủi ro (Risk Mitigation, Monitoring, and

Management - RMMM)

Hạn chế, giám sát và quản lý rủi ro

(RMMM)

Một chiến lược hiệu quả để đối phó với rủi ro phải

xem xét ba vấn đề (không phải là loại trừ lẫn nhau)

Giảm thiểu (tránh) rủi ro (mitigation)

Giám sát rủi ro (monitoring)

Quản lý rủi ro (management) và lập kế hoạch dự

phòng

Giảm thiểu rủi ro (tránh rủi ro) là chiến lược chính

Ví dụ: rủi ro do sáo trộn nhân sự


VD:Chiến thuật giảm xáo trộn nhân sự

Họp nhân viên hiện tại để xác định nguyên nhân dẫn đến xáo trộn

(vd: điều kiện làm việc kém, lương thấp, thị trường việc làm cạnh

tranh...). Kiểm soát, loại bỏ vấn đề này trước khi dự án bắt đầu,

Khi dự án bắt đầu, nếu có xáo trộn, thì cố gắng để các kỹ thuật viên

chính vẫn tiếp tục khi người khác rời đi

Tổ chức đội dự án sao cho để thông tin về các hoạt động được phân

tán rộng rãi

Định nghĩa tiêu chuẩn cho tài liệu và thiết lập các cơ chế để đảm

bảo rằng các tài liệu được phát triển kịp thời

Tiến hành đánh giá ngang hàng của tất cả các công việc

Chỉ định một nhân viên dự phòng cho tất cả các chuyên gia công

nghệ quan trọng


RMMM

Trong giám sát rủi ro, quản lý dự án giám sát các yếu tố

cho biết một nguy cơ ngày càng có khả năng hoặc ít có

khả năng xảy ra,

Quản lý rủi ro và lập kế hoạch dự phòng: giả thiết rằng

nỗ lực giảm nhẹ đã thất bại và rằng nguy cơ đã trở thành

hiện thực

Các bước RMMM phải chịu chi phí bổ sung

• Các dự án lớn có thể xác định khoảng 30 - 40 rủi ro

Rủi ro không giới hạn trong bản thân dự án

• Rủi ro có thể xảy ra sau khi sản phẩm đã được cung cấp cho người sử

dụng


Kế hoạch RMMM

Kế hoạch RMMM có thể là một phần của kế hoạch phát triển phần mềm hoặc có thể là một tài liệu riêng biệt

Khi RMMM được ghi nhận và dự án đã bắt đầu, giảm thiểu rủi ro, và các bước giám sát bắt đầu

• Giảm thiểu rủi ro là hành động để tránh rủi ro

• Giám sát rủi ro là hành động theo dõi dự án


Giám sát rủi ro

Giám sát rủi ro có ba mục tiêu

Đánh giá liệu những rủi ro dự đoán, trên thực tế, có xảy ra

hay không

Đảm bảo rằng các bước chuẩn bị đã được xác định cho rủi

ro không mong muốn được thực hiện đúng cách

Thu thập thông tin có thể được sử dụng để phân tích rủi ro

trong tương lai

Giám sát rủi ro có thể cho phép người quản lý dự án, xác

định những rủi ro nào gây ra vấn đề nào trong dự án


7 nguyên tắc quản lý rủi ro

35

Duy trì một cái nhìn toàn cục: Xem rủi ro phần mềm trong bối cảnh của một hệ thống và các vấn đề kinh doanh để giải quyết

Nhìn tới tương lai: Suy nghĩ về những rủi ro có thể phát sinh trong tương lai, xây dựng kế hoạch dự phòng

Khuyến khích giao tiếp cởi mở: Khuyến khích tất cả các bên liên quan và người sử dụng để chỉ ra những rủi ro bất cứ lúc nào

Tích hợp quản lý rủi ro: Tích hợp việc xem xét rủi ro vào quy trình phần mềm

Nhấn mạnh một quá trình liên tục của quản lý rủi ro

Xây dựng, chia sẻ tầm nhìn sản phẩm: một tầm nhìn được chia sẻ bởi tất cả các bên tạo điều kiện xác định và đánh giá rủi ro tốt hơn

Khuyến khích làm việc theo nhóm khi quản lý rủi ro


Quản trị rủi ro trong quản lý dự án CNTT 36

Chương 10. Quản trị rủi ro

Documents

Transcript of Chương 10. Quản trị rủi ro