ΤΕΙ ΔΥΤ. ΕΛΛΑΔΑΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ/Μ ΔΙΑΧΕΙΡΙΣΗ ΚΙΝΔΥΝΟΥ ΣΗΜΕΙΩΣΕΙΣ ΠΑΡΑΔΟΣΕΩΝ Β. ΒΑΣΙΛΕΙΑΔΗΣ

ΤΕΙ ΔΥΤ. ΕΛΛΑΔΑΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ/Μ ΔΙΑΧΕΙΡΙΣΗ ΚΙΝΔΥΝΟΥ ΣΗΜΕΙΩΣΕΙΣ ΠΑΡΑΔΟΣΕΩΝ Β. ΒΑΣΙΛΕΙΑΔΗΣ 2009-2010, 2013

Οι σημειώσεις αυτές δίνονται έτσι ώστε να συμπληρώσουν την ύλη του βιβλίου. Αναφέρονται κυρίως στη διαχείριση κινδύνου. Οι τεχνικές που χρησιμοποιούνται εφαρμόζονται σε όλα τα είδη των έργων ενώ τα παραδείγματα σε έργα λογισμικού. Η χρήση των σημειώσεων αυτών θα αναλυθεί στις παραδόσεις του μαθήματος από τον διδάσκοντα. Έκδοση 2009-2010 2

Kεφάλαιο 1: Διαχείριση Κινδύνου: βασικές έννοιες 1.1 Τι είναι κίνδυνος σε ένα έργο λογισμικού; Κίνδυνος (risk/hazard) είναι ένα μέτρο της πιθανότητας και των συνεπειών του να μην επιτευχθεί ένας ή περισσότεροι στόχοι του έργου. Βέβαια η απόδοση του αγγλικού όρου risk ως κίνδυνος και όχι ως ρίσκο αποκλείει τη θετική έννοια του όρου: ένα ρίσκο μπορεί να έχει και θετικά αποτελέσματα. Για παράδειγμα, η απόφαση του υπευθύνου έργου να ολοκληρώσει ένα έργο λογισμικού στο 80% του χρόνου που κανονικά θα ήταν απαραίτητος, για να προλάβει τον ανταγωνισμό είναι ρίσκο που μπορεί να εξελιχθεί σε πρόβλημα (αν κάτι πάει λάθος) ή σε πλεονέκτημα (αν όλα εξελιχθούν ομαλά). Συνήθως ένα ρίσκο έχει περισσότερες πιθανότητες να εξελιχθεί σε πρόβλημα για το έργο λογισμικού και για λόγους απλότητας με αυτή την προοπτική θα το αντιμετωπίσουμε παρακάτω. Ο κίνδυνος περιέχει αβεβαιότητα. Για παράδειγμα, κατά την εκτέλεση ενός έργου λογισμικού ερωτήσεις του τύπου «θα προλάβουμε να παραδώσουμε το κομμάτι κώδικα Χ μέσα στα χρονικά περιθώρια;» ή «η ομάδα που έχει αναλάβει τη σχεδίαση του λογισμικού το έκανε χωρίς λάθη;» είναι συχνές. Ο κίνδυνος λοιπόν συνδέεται με πιθανότητες (ο κίνδυνος να γίνει πρόβλημα) και συνέπειες (που επηρεάζουν τους στόχους του έργου). Οι δύο αυτές παράμετροι θα πρέπει να αντιμετωπίζονται από κοινού και όχι ξεχωριστά. Το παρακάτω παράδειγμα είναι χαρακτηριστικό: Παράδειγμα Σε ένα έργο λογισμικού, ο στόχος Α είναι η σχεδίαση του λογισμικού και ο στόχος Β η παραγωγή του κώδικα. Η πιθανότητα η ομάδα ανάπτυξης να αποτύχει στην επίτευξη του Α είναι 5% και του Β είναι 20%. Αυτά όσον αφορά τις πιθανότητες. Οι επιπτώσεις όμως του να μην επιτευχθεί ο Α είναι πολύ πιο σοβαρές (πιο δύσκολα αντιμετωπίσιμες) από του να μην επιτευχθεί ο Β. Αν και το παραπάνω παράδειγμα είναι κάπως απλοϊκό, δείχνει την αλληλεξάρτηση πιθανότητας και συνεπειών. Δραστηριότητα 1. Έκδοση 2009-2010 3

Προσπαθήστε να βρείτε ανάλογα παραδείγματα που επιβεβαιώνουν την αλληλεξάρτηση πιθανότητας συνεπειών. Αν και με τα παραπάνω αναλύσαμε τον κίνδυνο σε δύο παραμέτρους (πιθανότητα - συνέπεια), αυτό δεν μας βοηθά και πολύ γιατί και οι δύο παράμετροι είναι δύσκολο με τη σειρά τους να υπολογιστούν επακριβώς ακόμα και με τη χρήση στατιστικών μεθόδων. Εδώ θα πρέπει να προστεθεί και ένα ακόμα παράδοξο: εκτός από τους γνωστούς κινδύνους (αυτούς δηλαδή που συμβαίνουν συχνά σε ένα έργο λογισμικού) υπάρχουν και άγνωστοι. Αυτό το παράδοξο γενικά στη διαχείριση έργων έχει εμπνεύσει μία ολόκληρη (μοιρολατρική) φιλοσοφία γνωστή ως «Νόμοι του Μέρφυ» και για την επιστήμη της Πληροφορικής. Σχετικές πληροφορίες θα βρείτε στο βιβλίο: P. Dickinson. "Murphy's Law", The Official Rules. Arrow Books, ISBN 0-09- 926490-0. και σε μία πληθώρα ιστοτόπων, όπως ο: http://www.wtr.ru/aphorism/eng/merphy1.htm#technology Οι νόμοι αυτοί αποτελούν «απόσταγμα σοφίας» των απανταχού αναλυτών, προγραμματισμών και διαχειριστών έργων. 1.2 Μαθηματική έκφραση του κινδύνου Σε γενικές γραμμές, ο κίνδυνος έχει τρεις (3) παραμέτρους: - ένα γεγονός (το οποίο είναι συνήθως μία ανεπιθύμητη αλλαγή) - μία πιθανότητα (να συμβεί αυτό το γεγονός) - συνέπειες (μία ή περισσότερες στους στόχους του έργου) Άρα, ο κίνδυνος για κάθε ανεπιθύμητο γεγονός μπορεί να εκφραστεί ως μία συνάρτηση της πιθανότητας και των συνεπειών: Κίνδυνος = f (γεγονός, πιθανότητα, συνέπειες) Όσο αυξάνει η πιθανότητα ή η σοβαρότητα των συνεπειών αυξάνει και ο κίνδυνος. Μία άλλη παράμετρος η οποία θα πρέπει να ληφθεί υπόψη είναι τα αίτια των κινδύνων. Συμπληρωματικά θα μπορούσαμε να πούμε ότι η ύπαρξη ή η έλλειψη κάποιου παράγοντα μπορεί να προκαλέσει κίνδυνο, είναι δηλαδή πηγή κινδύνου. Κάποιες πηγές κινδύνου είναι γνωστές και αντιμετωπίσιμες σε μεγάλο βαθμό μέσω δικλείδων ασφαλείας. Το παρακάτω παράδειγμα είναι χαρακτηριστικό: Έκδοση 2009-2010 4

Παράδειγμα Σε ένα έργο λογισμικού δύο ομάδες προγραμματιστών δουλεύουν σε δύο διαφορετικά κομμάτια κώδικα (components) τα οποία αργότερα θα πρέπει να συνενωθούν μεταξύ τους αλλά και να αλληλεπιδράσουν με ένα τρίτο λογισμικό (π.χ. ένα λειτουργικό σύστημα). Εδώ υπάρχουν δύο πηγές κινδύνου: ο κίνδυνος τα δύο κομμάτια λογισμικού να μην επικοινωνούν σωστά μεταξύ τους και ο κίνδυνος κάποιο από αυτά (ή και τα δύο) να μην είναι συμβατά με το τρίτο λογισμικό. O υπεύθυνος έργου έχοντας προβλέψει αυτόν τον κίνδυνο έδωσε εντολή στη ομάδα έργου να προβλέψει τις κατάλληλες διεπαφές ήδη από τη φάση της σχεδίασης. Έδωσε δηλαδή προτεραιότητα στην αντιμετώπιση αυτών των πηγών κινδύνου. H παραπάνω ανάλυση μας οδηγεί στη διατύπωση μίας ακόμη λογικής σχέσης για τον κίνδυνο: Κίνδυνος = f(πηγή κινδύνου, δικλείδα ασφαλείας) Όσο αυξάνονται οι πηγές κινδύνου τόσο αυξάνει και ο κίνδυνος. Αντίθετα αυτός μειώνεται με την αύξηση των δικλείδων ασφαλείας. Είναι πλέον γενικά αποδεκτό ότι εφόσον αναγνωρίζουμε την ύπαρξη κινδύνου θα πρέπει να είμαστε και προετοιμασμένοι για τις συνέπειες. Η διαδικασία αυτή οδήγησε στη σχεδίαση συγκεκριμένων μεθόδων διαχείρισης κινδύνου. Πριν προχωρήσουμε στην επόμενη ενότητα που πραγματεύεται αυτό το θέμα, καλό θα ήταν να τονίσουμε ότι η εισαγωγή διεργασιών διαχείριση αυξάνει το κόστος του έργου λογισμικού. Σε πολλές μικρές (αλλά και μεγάλες επιχειρήσεις), οι υπεύθυνοι έργου προτιμούν να αγνοούν τον κίνδυνο είτε λόγω νοοτροπίας είτε λόγω κόστους. Δυστυχώς η νοοτροπία του «εάν συμβεί κάτι θα το αντιμετωπίσουμε επιτόπου» πολλές φορές αυξάνει περισσότερο το κόστος του έργου και κυρίως μειώνει το ηθικό της ομάδας ανάπτυξης του λογισμικού. Εάν θέλετε μπορείτε να διαθέσετε μισή ώρα για να κάνετε τη δραστηριότητα 2. Διαφορετικά προχωρήστε στην Ενότητα 2. Δραστηριότητα 2. Μία εταιρία αναλαμβάνει να κατασκευάσει ένα λογισμικό ηλεκτρονικού εμπορίου. Θα χρησιμοποιήσει νέες τεχνολογίες και ο πελάτης θέλει όσο το δυνατόν πιο άμεση παράδοση. Κατασκευάστε έναν πίνακα με τους πέντε κυριότερους κινδύνους και Έκδοση 2009-2010 5

δώστε % τιμές στην πιθανότητα και τις συνέπειες που μπορεί να έχουν για το έργο. Εξηγήστε συνοπτική γιατί δώσατε αυτές τις τιμές. Έκδοση 2009-2010 6

Κεφάλαιο 2: Διαχείριση Κινδύνου: η διαδικασία 2.1 Διαχείριση κινδύνου Η Διαχείριση Κινδύνου (Risk Management) σε ένα έργο λογισμικού περιλαμβάνει όλες εκείνες τις διεργασίες (διαδικασίες) που αφορούν το σχεδιασμό, αναγνώριση, ανάλυση, αντιμετώπιση και συνεχή παρακολούθηση των κινδύνων και των πηγών τους. Οι περισσότερες από αυτές τις διεργασίες είναι ενεργές καθόλη τη διάρκεια του έργου. Ο στόχος τους είναι να αυξηθεί η πιθανότητα και οι συνέπειες θετικών για το έργο γεγονότων (υπάρχουν και τέτοια) και να μειωθεί η πιθανότητα και οι συνέπειες αρνητικών. Το παρακάτω σχήμα απεικονίζει τις διαδικασίες που περιλαμβάνει η διαχείριση κινδύνου: Αναλυτικότερα: 1. Σχεδιασμός Διαχείρισης Κινδύνων: λήψη αποφάσεων για το πώς θα σχεδιαστούν και θα υλοποιηθούν οι διαδικασίες διαχείρισης κινδύνου. 2. Αναγνώριση Κινδύνων: εντοπισμός των κινδύνων που μπορούν να επηρεάσουν το έργο και καταγραφή των χαρακτηριστικών τους. 3. Ποιοτική Ανάλυση Κινδύνων: ταξινόμηση των κινδύνων με βάση την πιθανότητα να συμβούν και τις συνέπειες που θα έχουν στο έργο. 4. Ποσοτική Ανάλυση Κινδύνων: ποσοτικός προσδιορισμός των συνεπειών που θα έχουν στους στόχους του έργου οι αναγνωρισμένοι κίνδυνοι. Έκδοση 2009-2010 7

5. Σχεδιασμός Αντιμετώπισης Κινδύνων: σχεδιασμός ενεργειών για το μετριασμό των συνεπειών των κινδύνων που έχουν γίνει προβλήματα στο έργο. 6. Παρακολούθηση και έλεγχος κινδύνων: παρακολούθηση αναγνωρισμένων κινδύνων, αναγνώριση νέων, εφαρμογή σχεδίου αντιμετώπισης και συνεχής αξιολόγηση των διαδικασιών διαχείρισης κινδύνων. Εκτός από την 6, όλες οι υπόλοιπες διαδικασίες εκτελούνται (σε γενικές γραμμές) η μία μετά την άλλη (υπάρχουν βέβαια συνδέσεις μεταξύ τους). Μπορείτε να βρείτε κάποια πιο λεπτομερή διαγράμματα εδώ: Τhe risk management Guide: www.ruleworks.co.uk/riskguide/risk- cycle.htm και εδώ: http://www.stafftechs.com/images/projectmanagement/risk- flow- chart2.gif Tα αποτελέσματα των διαδικασιών είτε συνιστούν ξεχωριστά παραδοτέα είτε καταγράφονται σε ένα αρχείο που καλείται Αρχείο Κινδύνων (Risk Register) το οποίο αποτελεί κομμάτι του Πλάνου Διαχείρισης Έργου (Project Management Plan). Μία φόρμα μπορείτε να βρείτε εδώ: Risk Register Template. Ας δούμε τώρα πιο αναλυτικά την κάθε μία διαδικασία στην επόμενη ενότητα. 2.2 Σχεδιασμός Διαχείρισης Κινδύνων (Risk Management Planning) Ο σωστός σχεδιασμός εγγυάται και την ορθή λειτουργία των υπόλοιπων 5 δραστηριοτήτων για τη Διαχείριση Κινδύνου. Επικεντρώνεται στον τρόπο (τη φιλοσοφία) με τον οποίο θα εκτελεστούν οι διαδικασίες διαχείρισης κινδύνου. Έχει άμεση σχέση με την ανεκτικότητα που θα αποδοθεί στους πιθανούς κινδύνους ενός έργου. Σε κάποιες περιπτώσεις η ανεκτικότητα είναι μεγάλη γιατί ναι μεν οι κίνδυνοι είναι μεγάλοι αλλά και το κέρδος είναι μεγάλο (high risk/high gain). Σε άλλες περιπτώσεις η ανεκτικότητα μπορεί να είναι μικρή γιατί π.χ. ο πελάτης είναι νέος και η εταιρία προσπαθεί να εγκαθιδρύσει μία μακρόχρονη σχέση μαζί του. (περισσότερα για την ανεκτικότητα εδώ: www.ruleworks.co.uk/riskguide/risk- cycle.htm ) Κατά τη διάρκεια του σχεδιασμού παίρνονται αποφάσεις για το χρόνο, το κόστος και το χρονοπρογραμματισμό των διαδικασιών διαχείρισης κινδύνου. Ανατίθενται ευθύνες και καθορίζονται τα εργαλεία που θα χρησιμοποιηθούν. Όλα τα παραπάνω αποτελούν αρχικές εκτιμήσεις. Έκδοση 2009-2010 8

To παραδοτέο αυτής της διαδικασίας είναι το Πλάνο Διαχείρισης Κινδύνου (Risk Management Plan). Αυτό το πλάνο περιέχει όλες τις απαραίτητες πληροφορίες για τον εντοπισμό, την καταγραφή, την αντιμετώπιση και την παρακολούθηση των κινδύνων. Η αρχική του έκδοση συντάσσεται κατά τη φάση του σχεδιασμού και οι κατοπινές συμπληρώνονται από τις υπόλοιπες διεργασίες. Μπορείτε να βρείτε μερικές φόρμες (templates) για αυτό το πλάνο εδώ: 1. Project Risk Management Plan Template 2. Risk Management Plan 3. Risk management plan template 2.3 Αναγνώριση Κινδύνων (Risk Identification) Αυτή η διαδικασία αναγνωρίζει ποιοι κίνδυνοι επηρεάζουν το έργο και καταγράφει τα χαρακτηριστικά τους. Η αναγνώριση κινδύνων μπορεί να γίνει από άτομα εσωτερικά του έργου (υπεύθυνος έργου, μέλη της ομάδας ανάπτυξης κτλ.) ή εξωτερικά (διοίκησης εταιρίας, υπεργολάβοι, πελάτες, εξωτερικοί ειδικοί). Η διαδικασία αυτή είναι επαναλαμβανόμενη αφού νέοι κίνδυνοι μπορεί να εμφανιστούν κατά τη διάρκεια του έργου. Τα εργαλεία τα οποία χρησιμοποιούνται για την αναγνώριση των κινδύνων περιλαμβάνουν συναντήσεις μεταξύ των βασικών συντελεστών του έργου (brain storming), την εφαρμογή της τεχνικής Delphi, ανάλυση SWOT και διαγραμματικές τεχνικές (διάγραμμα αιτίου- αποτελέσματος, ροής κτλ.) Εάν θέλετε να εμβαθύνετε στις τεχνικές αναγνώρισης κινδύνων μπορείτε να βρείτε περισσότερες λεπτομέρειες εδώ: Brainstorming: Brainstorming: a creative problem- solving method Μέθοδος Delphi: http://www.iit.edu/~it/delphi.html (εισαγωγή στην τεχνική αυτή από το Illinois Institute of Technology) Υπάρχει διαθέσιμο και το βιβλίο με τίτλο: Τhe Delphi Method: Techniques and Applications SWOT: http://www.quickmba.com/strategy/swot/ http://www.businessballs.com/swotanalysisfreetemplate.htm Έκδοση 2009-2010 9

Διαγραμματικές τεχνικές: Διάγραμμα Αιτίου Αποτελέσματος: http://www.skymark.com/resources/tools/cause.asp http://www.saferpak.com/cause_effect_articles/howto_cause_effect. pdf Διάγραμμα Επιρροής (Influence Diagram) http://www.lumina.com/software/influencediagrams.html Το παραδοτέο αυτή της διαδικασίας είναι συνήθως η καταγραφή των κινδύνων σε ειδικές φόρμες όπως θα δούμε παρακάτω. Καλό θα ήταν πρώτα να κάνουμε μία συζήτηση για τους τύπους των κινδύνων αλλά και τις πηγής από τις οποίες προέρχονται. 2.3.1 Τύποι Κινδύνου Οι τύποι κινδύνου είναι τρεις: Ποιοτικός Κίνδυνος: αυτός ο κίνδυνος έχει σχέση με την ποιότητα των διαδικασιών και των παραδοτέων που με τη σειρά τους επηρεάζουν την απόδοση του έργου. Κίνδυνος Κόστους: αυτός ο κίνδυνος σχετίζεται με την ικανότητα του έργου να εκπληρώσει τους οικονομικούς του στόχους. Δύο βασικοί άξονες κινδύνου σε αυτόν τον τύπο είναι (1) οι αρχικές εκτιμήσεις κόστους και στόχων δεν είναι ακριβείς και ρεαλιστικές και (2) ο κίνδυνος να μην εκπληρωθούν οι οικονομικοί στόχοι ως αποτέλεσμα αποτυχίας αντιμετώπισης των διαφόρων κινδύνων. Κίνδυνος Σχεδιασμού: ανάλογα, αυτός ο κίνδυνος σχετίζεται με την ικανότητα του έργου να εκπληρώσει τους στόχους χρονοπρογραμματισμού. Δύο βασικοί άξονες κινδύνου σε αυτόν τον τύπο είναι (1) οι αρχικές εκτιμήσεις για τον απαιτούμενο χρόνο εκτέλεσης του έργου δεν είναι ακριβείς και ρεαλιστικές και (2) ο κίνδυνος να μην εκπληρωθούν οι στόχοι χρονοπρογραμματισμού ως αποτέλεσμα αποτυχίας αντιμετώπισης των διαφόρων κινδύνων. 2.3.2 Από πού προέρχονται οι πηγές κινδύνου και πως αντιμετωπίζονται Έκδοση 2009-2010 10

Οι πηγές από όπου προέρχεται ο κίνδυνος για ένα έργο λογισμικού είναι εσωτερικές και εξωτερικές. Στις εσωτερικές πηγές κινδύνου περιλαμβάνονται: Το έργο. Το μέγεθος του έργου περιλαμβάνει τη διάρκεια, το εκτιμώμενο κόστος και τους πόρους που χρειάζονται για την υλοποίησή του. Η ομάδα ανάπτυξης του έργου. Παράγοντες όπως η εμπειρία, τα προσόντα, οι σχέσεις μεταξύ των μελών μπορούν να δημιουργήσουν είτε ωφέλιμα είτε βλαβερά γεγονότα. Η διοίκηση της εταιρίας / η εταιρική πολιτική. Επεμβάσεις της διοίκησης ή κακές εταιρικές πολιτικές μπορούν να δημιουργήσουν κινδύνους. Στις εξωτερικές πηγές κινδύνου περιλαμβάνονται: Οι πελάτες. Πολλές φορές οι πελάτες (για διάφορους λόγους) αλλάζουν τις απαιτήσεις ενόσω το έργο είναι σε εξέλιξη. Τεχνολογία. Η χρήση νέων τεχνολογιών που είναι ασταθείς, ασύμβατες ή έχουν μεγάλο κόστος για το έργο αποτελούν πηγή κινδύνου. Κατάσταση της αγοράς. Αλλαγές στην κατάσταση της αγοράς (αγορά ανθρώπινου δυναμικού, τεχνολογίας, κατάσταση ανταγωνιστών) αποτελεί πηγή κινδύνου καθώς μπορεί να επηρεάσει το κόστος ή/και τη διάρκεια του έργου. Εξωτερικοί συνεργάτες. Τα προβλήματα που ίσως αντιμετωπίσουν υπεργολάβοι ή εξωτερικοί συνεργάτες ενδέχεται αποτελέσουν σοβαρό κίνδυνο για το έργο. Μία πιο αναλυτική ταξινόμηση των πηγών κινδύνου μπορείτε να βρείτε στο άρθρο: Use a Risk Breakdown Structure (RBS) to Understand Your Risks 2.3.3 Φόρμα καταγραφής κινδύνων Έχοντας τα παραπάνω υπόψη, ο υπεύθυνος έργου θα πρέπει να συντάξει μία λίστα με ερωτήσεις οι οποίες θα προσπαθούν να εντοπίσουν τις πιθανές πηγές και τους κίνδυνος που αυτές μπορεί να παράγουν. Μπορείτε να βρείτε ένα πλήρες ερωτηματολόγιο στην αναφορά Taxonomy- Based Risk Identification στο Αppendix B. Έκδοση 2009-2010 11

Εφόσον απαντηθούν οι ερωτήσεις (σε συνεργασία με την ομάδα έργου αλλά και όλους τους εμπλεκόμενους), ο υπεύθυνος θα πρέπει να συμπληρώσει μία φόρμα η οποία καταγράφει τους κινδύνους που εντοπίστηκαν. Αυτή η φόρμα καταγραφής ανανεώνεται όποτε είναι απαραίτητο κατά τη διάρκεια του έργου. Εννοείται ότι καθώς το έργο εξελίσσεται νέοι κίνδυνοι εμφανίζονται ενώ κάποιοι παλαιοί εκλείπουν. Ένα παράδειγμα Φόρμας Καταγραφής Κινδύνων (μία για κάθε κίνδυνο) είναι η παρακάτω: Τίτλος Κινδύνου Α/Α: Υπεύθυνος Ημερομηνία: Προτεραιότητα: Συνδεόμενη αντιμετώπισης: 1 2 3 δραστηριότητα: Περιγραφή κινδύνου: Τύπος: Σχέδιο Ποιότητα Κόστος Επεξήγηση: Επίπεδο σοβαρότητας συνεπειών: Υψηλό Μεσαία Χαμηλό Πιθανότητα Μεγάλη Μεσαία Μικρή Πρώτο γεγονός ενεργοποίησης του κινδύνου: Στρατηγική μετριασμού: Γεγονός έναρξης της επιβολής της στρατηγικής αντιμετώπισης: Στρατηγική αντιμετώπισης: Παρακολούθηση κινδύνου Ημ/νια Δράση Κατάσταση Κριτήρια απενεργοποίησης κινδύνου: Τρέχουσα κατάσταση: Ενεργός Ανενεργός Έκδοση 2009-2010 12

Τελική ημ/νια παρακολούθησης κινδύνου: Τα πεδία της φόρμας εξηγούνται παρακάτω: Τίτλος Κινδύνου: ένας σύντομος περιγραφικός τίτλος για τον κίνδυνο Α/Α: αύξων αριθμός κινδύνου. Είναι μοναδικός για κάθε κίνδυνο. Μπορεί να είναι και σύνθετος περιλαμβάνοντας τον αριθμό του παραδοτέου ή της δραστηριότητας στην οποία αντιστοιχεί. Δραστηριότητα: η δραστηριότητα την οποία απειλεί ο κίνδυνος. Υπεύθυνος αντιμετώπισης: όνομα του υπευθύνου αντιμετώπισης του κινδύνου. Συνήθως είναι ο υπεύθυνος της δραστηριότητας (ή ΤΥ) που απειλείται. Ημερομηνία: Η ημερομηνία αναγνώρισης του κινδύνου. Προτεραιότητα κινδύνου: παράγοντας που αποτελεί συνδυασμό των επιπτώσεων και της πιθανότητας του κινδύνου. Ο παρακάτω πίνακας βοηθά στον υπολογισμό αυτού του παράγοντα: Σοβαρότητα Προτεραιότητα Αριθμ. Πιθανότητα Συνεπειών κινδύνου Τιμή Μεγάλη Μεγάλη Μεγάλη 1 Μεγάλη Μεσαία Μεγάλη 1 Μεγάλη Μικρή Μεσαία / Μεγάλη 2/1 Μεσαία Μεγάλη Μεσαία 2 Μεσαία Μεσαία Μεσαία 2 Μεσαία Μικρή Μικρή / Μεσαία 3/2 Μικρή Μεγάλη Μικρή 3 Μικρή Μεσαία Μικρή 3 Μικρή Μικρή Μικρή 3 Περιγραφή κινδύνου: περιγραφή του κινδύνου υπό τη μορφή «συνθήκη- αποτέλεσμα». Η περιγραφή θα πρέπει να απαντά και στις ερωτήσεις: (1) τι είναι αυτός ο κίνδυνος και (2) γιατί συνέβη; Σοβαρότητα συνεπειών: ποιες θα είναι οι επιπτώσεις στην περίπτωση που ο κίνδυνος γίνει πρόβλημα; Εκτός από την περιγραφή των συνεπειών χρειάζεται και ο καθορισμός του τύπου του κινδύνου. Έκδοση 2009-2010 13

Σοβαρότητα Συνεπειών: καθορίζεται με βάση τη σοβαρότητα των συνεπειών και τα παραδείγματα που δίνει ο παρακάτω Πίνακας Συνεπειών (impact matrix): Επίπεδο Επίδραση στο χρόνο Επίδραση στην ποιότητα Επίδραση στο κόστος Υψηλό Μεγάλη απόκλιση στο χρονικά περιθώρια Σημαντική μείωση. μεγαλύτερη από 30% Αποτυχία στην Αύξηση κόστους του συνολικού χρόνου. εκπλήρωση των >20% Ανάγκη για ποιοτικών στόχων επαναπροσδιορισμό του έργου. των οροσήμων. Μεσαίο Μεσαία απόκλιση μεταξύ 10% και 30% Κάποια επίδραση Αύξηση κόστους του συνολικού χρόνου. στην ποιότητα του μεταξύ 5% και Ανάγκη για μικρή έργου. 20% προσαρμογή των οροσήμων του έργου. Χαμηλό Μικρή απόκλιση Περιορισμένη Αύξηση κόστους μικρότερη του 10%. επίδραση. <5% Ο ακριβής υπολογισμός της σοβαρότητας των συνεπειών γίνεται στην Ποιοτική ανάλυση με τη χρήση πιο εξειδικευμένων πινάκων. Πιθανότητα: η πιθανότητα να συμβεί το γεγονός το οποίο προκαλεί τον κίνδυνο. Η πιθανότητα υπολογίζεται με βάση τον παρακάτω πίνακα: Πιθανότητα Μεγάλη Μεσαία Μικρή Ποσοστό >30% 10-30% <10% Έκδοση 2009-2010 14

Πρώτο γεγονός ενεργοποίησης του κινδύνου: περιγραφή του γεγονότος που σηματοδοτεί ή της συνθήκης που πρέπει να ικανοποιηθεί για να μετατραπεί ο κίνδυνος σε πρόβλημα. Στρατηγική μετριασμού: ενέργειες μετριασμού των συνεπειών. Στρατηγική Αντιμετώπισης: περιγραφή των ενεργειών που μειώνουν τον κίνδυνο που έγινε πρόβλημα. Παρακολούθηση κινδύνου: αυτό το πεδίο παρέχει το ιστορικό της εξέλιξης ενός κινδύνου. Ενημερώνεται κάθε φορά που ένας κίνδυνος αλλάζει κατάσταση. Καταγράφονται όλες οι ενέργειες που έγιναν για την παρακολούθησή του συμπεριλαμβανομένης της ημερομηνίας και την κατάσταση που επετεύχθη. Καταγράφει επίσης γενικές ενέργειες παρακολούθησης που εκτελούνται καθόλη τη διάρκεια του έργου. Κριτήρια απενεργοποίησης κινδύνου: περιγραφή των κριτηρίων που πρέπει να ισχύουν για να θεωρηθεί ένας κίνδυνος ανενεργός (η πιθανότητα να εξελιχθεί σε πρόβλημα είναι μηδαμινή). Τελική ημ/νια παρακολούθησης κινδύνου: η ημερομηνία στην οποία ο κίνδυνος δεν έχει πιθανότητα να γίνει πρόβλημα. Συνήθως είναι το τέλος του έργου. Τρέχουσα κατάσταση: τρέχουσα κατάσταση των ενεργειών μετριασμού του κινδύνου άρα και της κατάστασης του κινδύνου. Παράδειγμα Ένα έργο λογισμικού έχει αρκετά μεγάλη διάρκεια και κόστος. Ο Μάκης Π., διαχειριστής του έργου έχει αναγνωρίσει έναν σημαντικό κίνδυνο: την κακή διαχείριση των οικονομικών και των άλλων πόρων που υπάρχουν στη διάθεσή του. Η δραστηριότητα η οποία παρουσιάζει αυτόν τον κίνδυνο είναι η υπ. 1. «Διαχείριση Έργου». Με την έναρξη του έργου το μήνα 0, συμπληρώνει την ανάλογη φόρμα: Υπέρβαση προϋπολογισμού / Εξάντληση πόρων Α/Α: 1.1 Υπεύθυνος Ημερομηνία: Προτεραιότητα: Συνδεόμενη αντιμετώπισης: Τ0 Χ 1 2 3 δραστηριότητα: 1 Μάκης Π. Έκδοση 2009-2010 15

Περιγραφή κινδύνου: Κακός σχεδιασμός της αλληλουχίας των δραστηριοτήτων και λάθη στο χρονοπρογραμματισμό είναι δυνατόν να δημιουργήσουν κίνδυνο υπέρβασης του προϋπολογισμού και εξάντλησης των διαθέσιμων πόρων. Τύπος: Σχέδιο Ποιότητα Χ Κόστος Επεξήγηση: θα επηρεαστεί η κατανομή κόστους και πόρων στις δραστηριότητες. Επίπεδο σοβαρότητας συνεπειών: Χ Υψηλό Μεσαία Χαμηλό Πιθανότητα Μεγάλη Χ Μεσαία Μικρή Πρώτο γεγονός ενεργοποίησης του κινδύνου: Σημαντική υπέρβαση του προϋπολογισμού τους τρεις πρώτους μήνες του έργου. Στρατηγική μετριασμού: Συνεχής παρακολούθηση των δραστηριοτήτων από τους υπευθύνους και αναφορά των σημαντικών αποκλίσεων. Γεγονός έναρξης της επιβολής της στρατηγικής αντιμετώπισης: Υπέρβαση του προϋπολογισμού κατά 20%. Στρατηγική αντιμετώπισης: Αναπροσαρμογή του πλάνου έργου με επανασχεδιασμό δραστηριοτήτων. Παρακολούθηση κινδύνου Συνεχής παρακολούθηση των αναφορών από τους υπευθύνους των δραστηριοτήτων. Ημ/νια Δράση Κατάσταση Κριτήρια απενεργοποίησης κινδύνου: Απόκλιση 10% από το προβλεπόμενο κόστος στο τέλος του έργου. Τελική ημ/νια παρακολούθησης κινδύνου: Τέλος του έργου Τρέχουσα κατάσταση: Χ Ενεργός Ανενεργός Άλλες φόρμες και εργαλεία καταγραφής κινδύνων μπορείτε να βρείτε εδώ: Λογισμικό: Risk Radar Demo download (εργαλείο καταγραφής κινδύνων. Η έκδοση demo καταγράφει μέχρι 10 κινδύνους) Έκδοση 2009-2010 16

Risk Matrix 2.20 Software (ουσιαστικά ένα αρχείο excel με πολλές δυνατότητες. Οι οδηγίες βρίσκονται εδώ: Risk Matrix 2.20 User's Guide) Φόρμες (templates): Risk Identification and Assessment Worksheet 2.4 Ποιοτική Ανάλυση Κινδύνων (Qualitative Risk Analysis) Αυτή η διαδικασία ταξινομεί τους κινδύνους που έχουν αναγνωριστεί έτσι ώστε να προχωρήσει η αντιμετώπισή τους. Η ταξινόμηση μπορεί να γίνει γίνεται βάσει πολλών παραγόντων όπως πιθανότητα, συνέπειες, το χρονοδιάγραμμα έργου, η ανεκτικότητα ή συνδυασμούς αυτών. Είναι μία διαδικασία η οποία επαναλαμβάνεται σε τακτά χρονικά διαστήματα αφού η προτεραιότητα ενός κινδύνου μπορεί να αλλάξει κατά τη διάρκεια του έργου. Οι τεχνικές που χρησιμοποιούνται για την ταξινόμηση των κινδύνων επικεντρώνονται σε brainstorming ή/και συναντήσεις μεταξύ των μελών του έργου. Με τη βοήθεια αναλυτικών πινάκων Πιθανοτήτων και Συνεπειών (Impact and Probability matrix) οι κίνδυνοι κατατάσσονται σε μία λίστα (συνήθως οι 10 πρώτοι top 10 list). Οι πίνακες αυτοί έχουν προκαθορισμένες τιμές που έχουν τεθεί με βάση την εμπειρία της επιστημονικής κοινότητας ή της ίδιας της εταιρίας σε ανάλογα έργα. Περιέχουν συνδυασμούς τιμών για πιθανότητες και συνέπειες που οδηγούν στην αξιολόγηση του επιπέδου σοβαρότητας ενός κινδύνου. Υπάρχουν πολλές εκδοχές πινάκων Πιθανοτήτων και Συνεπειών. Μερικές από αυτές μπορείτε να βρείτε εδώ: Qualitative Risk Analysis @ Anticlue. Μία διαφορετική εκδοχή μπορείτε να βρείτε σε αυτό το παράδειγμα έργου λογισμικού για την πόλη της Φιλαδέλφειας (ΗΠΑ): Risk Probability/Impact Matrix. Το αποτέλεσμα αυτής της διαδικασίας είναι κάποιο από τα παρακάτω: Λίστα με τους 10 μεγαλύτερους κινδύνους Ταξινόμηση κινδύνων σε κατηγορίες Λίστα κινδύνων που πρέπει να αντιμετωπιστούν άμεσα Λίστα κινδύνων που χρειάζεται να αναλυθούν περισσότερο Δραστηριότητα 4. Έκδοση 2009-2010 17

Αναγνωρίστε και ταξινομήστε τους 10 κυριότερους κινδύνους της δραστηριότητας 3 (υπο- εργασία 1.Α περιόδου 2006-2007) σε τρεις τουλάχιστον κατηγορίες (δικαιολογήστε πως καταλήξατε στην κατηγοριοποίηση αυτή). 2.5 Ποσοτική Ανάλυση Κινδύνων (Quantitative Risk Analysis) Η ποσοτική ανάλυση χρησιμοποιεί ειδικές τεχνικές όπως η προσομοίωση Monte Carlo ή τα Δένδρα Απόφασης (Decision Trees) για να αναθέσει τιμές στους κινδύνους οι οποίοι κατηγοριοποιήθηκαν από την Ποιοτική Ανάλυση. Οι τιμές αυτές δίνουν μία εκτίμηση της πιθανότητας να εκπληρωθούν οι στόχοι του έργου, εκτιμούν την % συνεισφορά κάθε κινδύνου στο συνολικό κίνδυνο του έργου και θέτουν ρεαλιστικούς στόχους όσον αφορά το κόστος, το χρονοδιάγραμμα και τους στόχους του έργου με βάση την αξιολόγηση των αναγνωρισμένων κινδύνων. Επίσης, προτείνουν αποφάσεις που πρέπει να παρθούν από τη διοίκηση του έργου όταν η κατάσταση είναι αβέβαιη λόγω των κινδύνων. Οι μέθοδοι που ακολουθούνται για τον καθορισμό αυτών των τιμών περιλαμβάνουν: Ανάλυση Ευαισθησίας (Sensitivity Analysis) Sensitivity and Risk Analysis EMV (Expected Monetary Value analysis) Δένδρα Απόφασης Decision Trees and Influence Diagrams in Decision Analysis http://people.brunel.ac.uk/~mastjjb/jeb/or/dectree.html (εισαγωγή και παραδείγματα) Προσομοίωση Monte Carlo Simulation Basics (βασικές αρχές) Principles of Monte Carlo Simulation (μία σειρά διαλέξεων για την τεχνική Monte Carlo) Λογισμικό Εδώ θα βρείτε μία γκάμα εργαλείων (εκδόσεις demo που λειτουργούν για 10 ημέρες) ποσοτικής ανάλυσης κινδύνων της εταιρίας Palisade: http://www.palisade- europe.com/trials.asp ή της εταιρίας Vanguard: Έκδοση 2009-2010 18

http://download.vanguardsw.com/download/vanguardtrial.exe Η διαδικασία ποσοτικής ανάλυσης κινδύνων έχει αρκετά μεγάλο κόστος και εφαρμόζεται μόνο σε μεγάλα έργα. Άσκηση Αυτό- αξιολόγησης 1 Ο Πάκης είναι υπεύθυνος έργου για τη σχεδίαση και κατασκευή ενός συστήματος CRM. Για ποιους από τους παρακάτω λόγους θα ήταν καλό να κάνει μία ποιοτική ανάλυση των κινδύνων πριν αρχίσει το έργο; 1. είναι μία τελευταία ευκαιρία να μειώσει το κόστος. 2. θα του επιτρέψει να έχει μία αρχική γνώση των κινδύνων και να σχεδιάσει εναλλακτικές λύσεις. 3. θα δώσει δεδομένα στη ποσοτική ανάλυση έτσι ώστε να έχει μία λεπτομερή εικόνα των κινδύνων 4. θα του δώσει μία συνολική και λεπτομερή εικόνα για τους κινδύνους του έργου. 2.6 Σχεδιασμός Αντιμετώπισης Κινδύνων (Risk Response Planning) Η διαδικασία αυτή καθορίζει τις ενέργειες που θα πρέπει να ακολουθηθούν για να μειωθεί η πιθανότητα οι κίνδυνοι που έχουν αναγνωριστεί να γίνουν προβλήματα. Η πιο συνηθισμένη τακτική που χρησιμοποιείται είναι η αποδοχή (acceptance) των κινδύνων και η αντιμετώπισή τους μέσω ειδικών πλάνων όταν αυτοί τείνουν να γίνουν πρόβλημα. Άλλες τακτικές αντιμετώπισης περιγράφονται εδώ: Risk Response Planning (On- line άρθρο) Το αποτέλεσμα της διαδικασίας αυτής είναι το Πλάνο Αντιμετώπισης Κινδύνων (Risk Response Plan). Μπορείτε να βρείτε κάποιες σχετικές φόρμες (template) εδώ: Risk Response Plan and Register Risk Response Plan Template Το πλάνο αυτό αναφέρεται και ως Contingency Plan. Συντάσσεται για κάθε κίνδυνο ο οποίος έχει μεγάλη πιθανότητα να εξελιχθεί σε πρόβλημα αλλά και σοβαρές συνέπειες. Θα πρέπει να διατυπώνει με μεγαλύτερη λεπτομέρεια από τη φόρμα καταγραφής κινδύνου: τη στρατηγική που θα ακολουθηθεί όταν ο κίνδυνος γίνει πρόβλημα Έκδοση 2009-2010 19

το χρονικό περιθώριο στο οποίο το πλάνο θα είναι ενεργό ποιος είναι αρμόδιος για την ενεργοποίησή του μία λίστα με άτομα (εσωτερικά ή εξωτερικά στο έργο) τα οποία θα πρέπει να ειδοποιηθούν ότι το πλάνο είναι ενεργό. Η σύνταξη του πλάνου εξαρτάται από τον κίνδυνο που αντιμετωπίζει. Είναι σημαντικό για το έργο να συνταχθεί ένα ρεαλιστικό πλάνο, ικανό να ανταπεξέλθει στις απαιτήσεις του έργου. Μία τεχνική για τη σύνταξή του είναι η καταγραφή των απαντήσεων στην παρακάτω λίστα ερωτήσεων: 1. Πως θα είναι γνωστό στους υπευθύνους του πλάνου ότι ένας κίνδυνος πρόκειται να γίνει πρόβλημα ή πρόκειται να γίνει πρόβλημα; 2. Όταν προκύψει ο κίνδυνος, πως θα γίνει γνωστό πότε θα πρέπει να εφαρμοστεί το πλάνο; 3. Ποια προετοιμασία θα πρέπει να γίνει για να δουλέψει το πλάνο; 4. Έχει δοκιμαστεί το πλάνο; 5. Ποιος θα είναι υπεύθυνος για να εφαρμόσει το πλάνο; 6. Ποιο θα πρέπει να ειδοποιηθούν ότι το πλάνο ενεργοποιήθηκε; 7. Ποιες αλλαγές θα γίνουν στο έργο με την ενεργοποίηση του πλάνου; Θα αλλάξουν τα παραδοτέα, το κόστος ή οι προδιαγραφές; 8. Πως θα επηρεαστεί το χρονοδιάγραμμα του έργου; 9. Θα χρειαστεί επιπλέον προσωπικό; 10. Θα χρειαστεί επιπλέον υλικό ή/και λογισμικό; 11. Ποιος είναι υπεύθυνος για την επικοινωνία; Σχετικές φόρμες (templates) μπορείτε να βρείτε εδώ: Contingency Plan Template και οδηγίες (Contingency Planning Template Instructions) Risk Contingency Plan Template Άσκηση Αυτό- αξιολόγησης 2 Είστε υπεύθυνος έργου και θέλετε να κάνετε μία συνάντηση για να καθορίσετε το επίπεδο των κινδύνων του έργου. Σε ποιο πλάνο καταγράφονται τα ονόματα αυτών που θα πρέπει να συμμετάσχουν στη συνάντηση; Έκδοση 2009-2010 20

1. Πλάνο Διαχείρισης Κρίσεων 2. Πλάνο Διαχείρισης Κινδύνων 3. Φόρμα Καταγραφής Κινδύνων 4. Πλάνο Διαφυγής και Εξόδου 2.7 Παρακολούθηση και έλεγχος κινδύνων (Risk Monitoring and Control) Μία συνεχής διαδικασία παρακολούθησης των υπαρχόντων κινδύνων και ενημέρωσης των πλάνων διαχείρισης και αντιμετώπισης κινδύνων. Στηρίζεται κυρίως σε ελέγχους (audits) και συναντήσεις μεταξύ των μελών της ομάδας έργου. Περισσότερες πληροφορίες για την τεχνική των ελέγχων μέσω audits μπορείτε να βρείτε εδώ: Risk Management Guide (Review Guide) - November 1, 1994, Chapter 2- Performing The Audit Αναφορές Γλωσσάρι Όρων: http://www.uofaweb.ualberta.ca/riskmanagement/glossary.cfm Οδηγοί / Τεχνικές Αναφορές 1. Risk Management Guide for Information Technology Systems από το NIST (ΗΠΑ). 2. Τεχνική αναφορά του SEI για risk management http://www.sei.cmu.edu/risk/documents.html 3. Α Risk Management Standard από το The Institute of Risk Management Δημοσιεύσεις 1. Davide Aloini, Riccardo Dulmin, Valeria Mininno, Risk management in ERP project introduction: Review of the literature, September 2007, Information and Management, Volume 44 Issue 6. 2. H. Edmiston, The role of systems and applications monitoring in operational risk management, January 2007, BT Technology Journal, Volume 25 Issue 1. Έκδοση 2009-2010 21

3. Mary Sumner, Risk factors in enterprise wide information management systems projects, April 2000, Proceedings of the 2000 ACM SIGCPR conference on Computer personnel research SIGCPR '00. Απαντήσεις Ασκήσεων Αυτό- αξιολόγησης Άσκηση Αυτό- αξιολόγησης 1 Σύμφωνα με την ανάλυση του κειμένου, σωστές είναι οι 2 και 3. Η 1 είναι λάθος γιατί ναι μεν η αναγνώριση των κινδύνων στην αρχή του έργου ίσως συμβάλει στη μείωση του κόστους, δεν είναι όμως η τελευταία ευκαιρία για να γίνει αυτό. Η 4 είναι επίσης λάθος. Η ποιοτική ανάλυση δίνει μία εικόνα για τους κινδύνους όχι όμως και τόσο λεπτομερή όπως αυτή που δίνει η ποσοτική ανάλυση. Άσκηση Αυτό- αξιολόγησης 2 Το πλάνο διαχείρισης κινδύνων περιέχει απαραίτητα τα ονόματα αυτών που είναι υπεύθυνοι ή θα πρέπει να ειδοποιηθούν για την αναγνώριση /παρακολούθηση /αντιμετώπιση των κινδύνων. Έκδοση 2009-2010 22