Metodyka oceny ryzyka w przedsięwzięciach informatycznych
35
Metodyka oceny ryzyka w przedsięwzięciach informatycznych mgr inż. Wojciech Machała Instytut Systemów Informatycznych WAT Zakład Inżynierii Systemów Informatycznych
description
Metodyka oceny ryzyka w przedsięwzięciach informatycznych. mgr inż. Wojciech Machała Instytut Systemów Informatycznych WAT Zakład Inżynierii Systemów Informatycznych. Plan wystąpienia. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych - PowerPoint PPT Presentation
Transcript of Metodyka oceny ryzyka w przedsięwzięciach informatycznych
Metodyka oceny ryzyka w
przedsięwzięciach informatycznych
mgr inż. Wojciech Machała
Instytut Systemów Informatycznych WAT
Zakład Inżynierii Systemów Informatycznych
Plan wystąpienia
1. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych
2. Metodyka oceny ryzyka w przedsięwzięciach informatycznych
3. Przykład metody oceny ryzyka
4. Wnioski
1. Wprowadzenie w problematykę ryzyka w
przedsięwzięciach informatycznych
Przedsięwzięcie informatyczne - PI
Przedsięwzięcie informatyczne to konkretna praca, charakteryzująca się dyskretnym czasem rozpoczęcia i zakończenia, której celem jest sformułowanie, rozwiązanie i zrealizowanie zadania projektowego. W praktyce sprowadza się to do wytworzenia konkretnego produktu lub wykonania usługi informatycznej.
Ryzyko
Ryzyko – szansa jakiegoś wydarzenia, którego urzeczywistnienie będzie miało negatywny wpływ na realizację zamierzonego celu.
Ryzyko – możliwość wystąpienia niechcianej sytuacji, której urzeczywistnienie może wpłynąć na obniżenie poziomu sukcesu PI (łącznie z całkowitym brakiem sukcesu czyli klęską). [Górski]
Ryzyko – miara (!) prawdopodobieństwa zaistnienia niezadowalającego rezultatu, wpływającego na projekt, proces lub produkt (Software Engineering Institute)
Zarządzanie ryzykiem
Praktyka szacowania i sterowania ryzykiem, które wpływa na projekt, proces lub produkt.
Model zarządzania ryzykiem wg. Software Engineering Institute
Identyfikacja ryzyka
„Inwentaryzacja potencjalnych zagrożeń, zanim będą wywierać wpływ na realizację przedsięwzięcia informatycznego. Rezultatem identyfikacji jest lista specyficznych dla danego przedsięwzięcia ryzyk.
Analiza ryzyka
Przekształcenie informacji o zidentyfikowanych ryzykach w informację decyzyjną.
Planowanie ryzyka
Zaplanowanie działań mających na celu złagodzenie skutków ewentualnego urzeczywistnienia się ryzyka. Dla każdego ryzyka powinien być określony sposób postępowania np. łagodzenie, unikanie, akceptacja, transfer itp.
Śledzenie ryzyka
Monitorowanie statusu ryzyk oraz ewentualnych działań wynikających z planowania ryzyka.
Sterowanie ryzykiem
Korygowanie odchyleń od przewidywanych rezultatów działań wynikających z planowania ryzyka.
Ocena i obniżanie ryzyka
Ocena ryzyka: Identyfikacja Analiza
Obniżanie ryzyka: Planowanie Śledzenie Sterowanie
Praktyka zarządzania ryzykiem – identyfikacja
Taxonomy – Based Risk Identification (kwestionariusze TBQ) Taksonomia ryzyka:
Klasy ryzyka: Inżynieria produktu Środowisko wytwórcze Ograniczenia zewnętrzne
Elementy ryzyka Atrybuty ryzyka
Praktyka zarządzania ryzykiem – analiza
Wyselekcjonowanie 10 najważniejszych ryzyk Ustanowienie planu regularnych przeglądów (np. raz na miesiąc) Każde spotkanie obejmuje sprawozdanie na temat 10 głównych
ryzyk: Które miejsce zajmuje dane ryzyko na liście ? Które miejsce zajmowało dane ryzyko na poprzednim
przeglądzie ? Jakie są postępy w obniżaniu danego ryzyka ?
Praktyka zarządzania ryzykiem – problemy
Nie uwzględnia się wzajemnego oddziaływania zagrożeń – czy śledzenie 10-ciu „najważniejszych” ryzyk zagwarantuje pomyślne zakończenie przedsięwzięcia informatycznego ?
Oddzielne rozważanie poszczególnych ryzyk bez uwzględniania przenoszenia się zagrożeń.
Brak jasnej procedury obsługi listy 10-ciu – ryzyka spoza listy mogą w trakcie trwania prac nabrać nowych wartości.
Co z pozostałymi 190 ryzykami ? Czy pozostałe 95 % (!) ryzyk nie wpływa na powodzenie
przedsięwzięcia informatycznego, nawet jeśli prawdopodobieństwa ich wystąpienia są bardzo małe ?
2. Metodyka oceny ryzyka w przedsięwzięciach
informatycznych
Dlaczego metodyka a nie metoda ?
Ze względu na unikalność i różnorodność realizowanych przedsięwzięć informatycznych, skonstruowanie jednej uniwersalnej metody oceny ryzyka jest raczej niemożliwe.
Potencjalna uniwersalna metoda – silna parametryzacja i konieczność „dostrojenia” metody do konkretnego przedsięwzięcia.
Istnieje potrzeba skonstruowania metodyki oceny ryzyka, która umożliwi wykreowanie jeden lub kilku metod, dedykowanych dla konkretnego przedsięwzięcia informatycznego.
Idea metodyki
Dwustopniowa agregacja całej dostępnej informacji dotyczącej szczegółowych ryzyk do syntetycznej informacji opisującej szanse powodzenia przedsięwzięcia informatycznego.
Postulowana miara szansy – wskaźnik zagrożenia przedsięwzięcia informatycznego.
Poziomy opisu ryzyk: Podstawowy – czynniki pierwotne zagrożenia
przedsięwzięcia informatycznego Pośredni – czynniki wtórne zagrożenia przedsięwzięcia
informatycznego
Fazy metodyki
Definiowanie miar: Zdefiniowanie wskaźnika zagrożenia przedsięwzięcia
informatycznego (2 do 7 składowych). Zdefiniowanie czynników pierwotnych zagrożenia
przedsięwzięcia informatycznego (np. w oparciu o taksonomię ryzyka zaproponowaną przez SEI).
Zdefiniowanie czynników wtórnych zagrożenia przedsięwzięcia informatycznego.
Definiowanie dziedzin (zakresów zmienności) czynników pierwotnych
Fazy metodyki (2)
Definiowanie agregacji: Określenie zależności między czynnikami pierwotnymi a
czynnikami wtórnymi oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu poszczególnych czynników wtórnych na podstawie stanów czynników pierwotnych.
Określenie zależności między czynnikami wtórnymi a składowymi wskaźnika zagrożenia oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu składowych wskaźnika zagrożenia na podstawie stanów czynników wtórnych.
3. Przykład metody oceny ryzyka
Składowe wskaźnika zagrożenia przedsięwzięcia informatycznego:
Stan motywacji udziałowców przedsięwzięcia informatycznego do jego pomyślnego zakończenia
Stan możliwości udziałowców przedsięwzięcia informatycznego dla jego pomyślnego zakończenia
Stan wskaźnika zagrożenia: 21.01.2002 Przedsięwzięcie: Informatyzacja firmy X
-2-4-6-8-10
0
Bardzo mocno korzystny dla przedsięwzięciaMocno korzystny dla przedsięwzięciaDostatecznie korzystny dla przedsięwzięciaZauważalnie korzystny dla przedsięwzięciaNieznacznie korzystny dla przedsięwzięcia
Nieznacznie niekorzystny dla przedsięwzięciaZauważalnie niekorzystny dla przedsięwzięciaDostatecznie niekorzystny dla przedsięwzięciaMocno niekorzystny dla przedsięwzięciaBardzo mocno niekorzystny dla przedsięwzięcia
Obojętny dla przedsięwzięcia
108642
Motywacja MożliwościWskaźnik zagrożenia
Pośredni poziom opisu ryzyka
Czynniki sprawcze zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów, które generują przyczyny upadku lub powodzenia przedsięwzięcia informatycznego.
Czynniki wtórne zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów a także właściwości (cechy) elementów otoczenia przedsięwzięcia, które określają fizyczną realizowalność przedsięwzięcia informatycznego.
Motywacja MożliwościWskaźnik
zagrożenia PI
Czynniki sprawcze
zagrożenia PI
Czynniki wykonawcze zagrożenia PI
Czynniki wtórne
zagrożenia PI
Atrybut
ryzyka.................................
Czynniki pierwotne
zagrożenia PIAtrvbut
ryzyka
Przykłady czynników
Czynnik wtórny (wykonawczy): „Jakość” wymagania względem systemu
Czynniki pierwotne: Stabilność Pełność Jasność Sprzeczność
Dziedziny czynników pierwotnych
Stabilność:
4 – sprzeczność zasadniczych wymagań, uniemożliwiająca realizację systemu
3 – sprzeczność istotnych wymagań, wymagająca dokładnego sprecyzowania wymagań użytkownika
2 – sprzeczność wymagań drugorzędnych, które nie mają większego wpływu na realizację systemu
1 – brak sprzecznych wymagań
Formuły agregacji
M – poziom możliwości W – poziom jakości wymagań względem systemu P1 – poziom stabilności wymagań
P2 – poziom pełności wymagań
P3 – poziom jasności wymagań
P4 – poziom sprzeczności wymagań
W = f(P1 , P2 , P3 , P4) M = h(W)
Wskaźnik zagrożenia – wykorzystanie w praktyce
4. Wnioski
Stosowanie proponowanej metodyki oceny ryzyka wymaga zdyscyplinowanego i systematycznego podejścia do zarządzania ryzykiem.
Przewidywany koszt wykorzystania wybranej metody oceny ryzyka jest duży – można podjąć próbę określenia „progu opłacalności” stosowania metody.
Składowe definiowanych wskaźników zagrożenia nie muszą pokrywać pełnego obszaru zagrożeń w realizacji przedsięwzięcia. Można skonstruować kilka metod (wskaźników) i stosować je w czasie realizacji przedsięwzięcia.
Zbieżność metody z metodami pomiarów jakości procesu wytwórczego lub produktu.
Dziękuję za uwagę
