1 / 35

Metodyka oceny ryzyka w przedsięwzięciach informatycznych

Metodyka oceny ryzyka w przedsięwzięciach informatycznych. mgr inż. Wojciech Machała Instytut Systemów Informatycznych WAT Zakład Inżynierii Systemów Informatycznych. Plan wystąpienia. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych

ozzie
Download Presentation

Metodyka oceny ryzyka w przedsięwzięciach informatycznych

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Metodyka oceny ryzyka w przedsięwzięciach informatycznych mgr inż. Wojciech Machała Instytut Systemów Informatycznych WAT Zakład Inżynierii Systemów Informatycznych

  2. Plan wystąpienia • Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych • Metodyka oceny ryzyka w przedsięwzięciach informatycznych • Przykład metody oceny ryzyka • Wnioski

  3. 1. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych

  4. Przedsięwzięcie informatyczne - PI Przedsięwzięcie informatyczne to konkretna praca, charakteryzująca się dyskretnym czasem rozpoczęcia i zakończenia, której celem jest sformułowanie, rozwiązanie i zrealizowanie zadania projektowego. W praktyce sprowadza się to do wytworzenia konkretnego produktu lub wykonania usługi informatycznej.

  5. Ryzyko • Ryzyko – szansa jakiegoś wydarzenia, którego urzeczywistnienie będzie miało negatywny wpływ na realizację zamierzonego celu. • Ryzyko – możliwość wystąpienia niechcianej sytuacji, której urzeczywistnienie może wpłynąć na obniżenie poziomu sukcesu PI (łącznie z całkowitym brakiem sukcesu czyli klęską). [Górski] • Ryzyko – miara (!) prawdopodobieństwa zaistnienia niezadowalającego rezultatu, wpływającego na projekt, proces lub produkt (Software Engineering Institute)

  6. Zarządzanie ryzykiem • Praktyka szacowania i sterowania ryzykiem, które wpływa na projekt, proces lub produkt.

  7. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Model zarządzania ryzykiem wg. Software Engineering Institute

  8. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Identyfikacja ryzyka „Inwentaryzacja potencjalnych zagrożeń, zanim będą wywierać wpływ na realizację przedsięwzięcia informatycznego. Rezultatem identyfikacji jest lista specyficznych dla danego przedsięwzięcia ryzyk.

  9. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Analiza ryzyka Przekształcenie informacji o zidentyfikowanych ryzykach w informację decyzyjną.

  10. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Planowanie ryzyka Zaplanowanie działań mających na celu złagodzenie skutków ewentualnego urzeczywistnienia się ryzyka. Dla każdego ryzyka powinien być określony sposób postępowania np. łagodzenie, unikanie, akceptacja, transfer itp.

  11. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Śledzenie ryzyka Monitorowanie statusu ryzyk oraz ewentualnych działań wynikających z planowania ryzyka.

  12. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Sterowanie ryzykiem Korygowanie odchyleń od przewidywanych rezultatów działań wynikających z planowania ryzyka.

  13. Sterowanie Identyfikacja Komunikacja Śledzenie Analiza Planowanie Ocena i obniżanie ryzyka • Ocena ryzyka: • Identyfikacja • Analiza • Obniżanie ryzyka: • Planowanie • Śledzenie • Sterowanie

  14. Praktyka zarządzania ryzykiem – identyfikacja • Taxonomy – Based Risk Identification (kwestionariusze TBQ) • Taksonomia ryzyka: • Klasy ryzyka: • Inżynieria produktu • Środowisko wytwórcze • Ograniczenia zewnętrzne • Elementy ryzyka • Atrybuty ryzyka

  15. Praktyka zarządzania ryzykiem – analiza • Wyselekcjonowanie 10 najważniejszych ryzyk • Ustanowienie planu regularnych przeglądów (np. raz na miesiąc) • Każde spotkanie obejmuje sprawozdanie na temat 10 głównych ryzyk: • Które miejsce zajmuje dane ryzyko na liście ? • Które miejsce zajmowało dane ryzyko na poprzednim przeglądzie ? • Jakie są postępy w obniżaniu danego ryzyka ?

  16. Praktyka zarządzania ryzykiem – problemy • Nie uwzględnia się wzajemnego oddziaływania zagrożeń – czy śledzenie 10-ciu „najważniejszych” ryzyk zagwarantuje pomyślne zakończenie przedsięwzięcia informatycznego ? • Oddzielne rozważanie poszczególnych ryzyk bez uwzględniania przenoszenia się zagrożeń. • Brak jasnej procedury obsługi listy 10-ciu – ryzyka spoza listy mogą w trakcie trwania prac nabrać nowych wartości. • Co z pozostałymi 190 ryzykami ? • Czy pozostałe 95 % (!) ryzyk nie wpływa na powodzenie przedsięwzięcia informatycznego, nawet jeśli prawdopodobieństwa ich wystąpienia są bardzo małe ?

  17. 2. Metodyka oceny ryzyka w przedsięwzięciach informatycznych

  18. Dlaczego metodyka a nie metoda ? • Ze względu na unikalność i różnorodność realizowanych przedsięwzięć informatycznych, skonstruowanie jednej uniwersalnej metody oceny ryzyka jest raczej niemożliwe. • Potencjalna uniwersalna metoda – silna parametryzacja i konieczność „dostrojenia” metody do konkretnego przedsięwzięcia. • Istnieje potrzeba skonstruowania metodyki oceny ryzyka, która umożliwi wykreowanie jeden lub kilku metod, dedykowanych dla konkretnego przedsięwzięcia informatycznego.

  19. Idea metodyki • Dwustopniowa agregacja całej dostępnej informacji dotyczącej szczegółowych ryzyk do syntetycznej informacji opisującej szanse powodzenia przedsięwzięcia informatycznego. • Postulowana miara szansy – wskaźnik zagrożenia przedsięwzięcia informatycznego. • Poziomy opisu ryzyk: • Podstawowy – czynniki pierwotne zagrożenia przedsięwzięcia informatycznego • Pośredni – czynniki wtórne zagrożenia przedsięwzięcia informatycznego

  20. Fazy metodyki • Definiowanie miar: • Zdefiniowanie wskaźnika zagrożenia przedsięwzięcia informatycznego (2 do 7 składowych). • Zdefiniowanie czynników pierwotnych zagrożenia przedsięwzięcia informatycznego (np. w oparciu o taksonomię ryzyka zaproponowaną przez SEI). • Zdefiniowanie czynników wtórnych zagrożenia przedsięwzięcia informatycznego. • Definiowanie dziedzin (zakresów zmienności) czynników pierwotnych

  21. Fazy metodyki (2) • Definiowanie agregacji: • Określenie zależności między czynnikami pierwotnymi a czynnikami wtórnymi oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu poszczególnych czynników wtórnych na podstawie stanów czynników pierwotnych. • Określenie zależności między czynnikami wtórnymi a składowymi wskaźnika zagrożenia oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu składowych wskaźnika zagrożenia na podstawie stanów czynników wtórnych.

  22. 3. Przykład metody oceny ryzyka

  23. Składowe wskaźnika zagrożenia przedsięwzięcia informatycznego: • Stan motywacji udziałowców przedsięwzięcia informatycznego do jego pomyślnego zakończenia • Stan możliwości udziałowców przedsięwzięcia informatycznego dla jego pomyślnego zakończenia

  24. Stan wskaźnika zagrożenia: 21.01.2002 • Przedsięwzięcie: Informatyzacja firmy X

  25. Pośredni poziom opisu ryzyka • Czynniki sprawcze zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów, które generują przyczyny upadku lub powodzenia przedsięwzięcia informatycznego. • Czynniki wtórne zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów a także właściwości (cechy) elementów otoczenia przedsięwzięcia, które określają fizyczną realizowalność przedsięwzięcia informatycznego.

  26. Czynniki wtórne zagrożenia PI Czynniki pierwotne zagrożenia PI Wskaźnik zagrożenia PI Atrybut ryzyka Atrvbut ryzyka Możliwości Motywacja Czynniki sprawcze zagrożenia PI Czynniki wykonawcze zagrożenia PI .................................

  27. Przykłady czynników • Czynnik wtórny (wykonawczy): • „Jakość” wymagania względem systemu • Czynniki pierwotne: • Stabilność • Pełność • Jasność • Sprzeczność

  28. Dziedziny czynników pierwotnych • Stabilność: • 4 – sprzeczność zasadniczych wymagań, uniemożliwiająca realizację systemu • 3 – sprzeczność istotnych wymagań, wymagająca dokładnego sprecyzowania wymagań użytkownika • 2 – sprzeczność wymagań drugorzędnych, które nie mają większego wpływu na realizację systemu • 1 – brak sprzecznych wymagań

  29. Formuły agregacji • M – poziom możliwości • W – poziom jakości wymagań względem systemu • P1 – poziom stabilności wymagań • P2 – poziom pełności wymagań • P3 – poziom jasności wymagań • P4 – poziom sprzeczności wymagań • W = f(P1 , P2 , P3 , P4) • M = h(W)

  30. MOŻLIWOŚCI MOTYWACJA Wskaźnik zagrożenia – wykorzystanie w praktyce

  31. 4. Wnioski

  32. Stosowanie proponowanej metodyki oceny ryzyka wymaga zdyscyplinowanego i systematycznego podejścia do zarządzania ryzykiem. • Przewidywany koszt wykorzystania wybranej metody oceny ryzyka jest duży – można podjąć próbę określenia „progu opłacalności” stosowania metody. • Składowe definiowanych wskaźników zagrożenia nie muszą pokrywać pełnego obszaru zagrożeń w realizacji przedsięwzięcia. Można skonstruować kilka metod (wskaźników) i stosować je w czasie realizacji przedsięwzięcia. • Zbieżność metody z metodami pomiarów jakości procesu wytwórczego lub produktu.

  33. Dziękuję za uwagę

More Related