metodyka oceny ryzyka w przedsięwzięciach informatycznych
DESCRIPTION
Metodyka oceny ryzyka w przedsięwzięciach informatycznych. mgr inż. Wojciech Machała Instytut Systemów Informatycznych WAT Zakład Inżynierii Systemów Informatycznych. Plan wystąpienia. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/1.jpg)
Metodyka oceny ryzyka w
przedsięwzięciach informatycznych
mgr inż. Wojciech Machała
Instytut Systemów Informatycznych WAT
Zakład Inżynierii Systemów Informatycznych
![Page 2: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/2.jpg)
Plan wystąpienia
1. Wprowadzenie w problematykę ryzyka w przedsięwzięciach informatycznych
2. Metodyka oceny ryzyka w przedsięwzięciach informatycznych
3. Przykład metody oceny ryzyka
4. Wnioski
![Page 3: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/3.jpg)
1. Wprowadzenie w problematykę ryzyka w
przedsięwzięciach informatycznych
![Page 4: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/4.jpg)
Przedsięwzięcie informatyczne - PI
Przedsięwzięcie informatyczne to konkretna praca, charakteryzująca się dyskretnym czasem rozpoczęcia i zakończenia, której celem jest sformułowanie, rozwiązanie i zrealizowanie zadania projektowego. W praktyce sprowadza się to do wytworzenia konkretnego produktu lub wykonania usługi informatycznej.
![Page 5: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/5.jpg)
Ryzyko
Ryzyko – szansa jakiegoś wydarzenia, którego urzeczywistnienie będzie miało negatywny wpływ na realizację zamierzonego celu.
Ryzyko – możliwość wystąpienia niechcianej sytuacji, której urzeczywistnienie może wpłynąć na obniżenie poziomu sukcesu PI (łącznie z całkowitym brakiem sukcesu czyli klęską). [Górski]
Ryzyko – miara (!) prawdopodobieństwa zaistnienia niezadowalającego rezultatu, wpływającego na projekt, proces lub produkt (Software Engineering Institute)
![Page 6: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/6.jpg)
Zarządzanie ryzykiem
Praktyka szacowania i sterowania ryzykiem, które wpływa na projekt, proces lub produkt.
![Page 7: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/7.jpg)
Model zarządzania ryzykiem wg. Software Engineering Institute
![Page 8: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/8.jpg)
Identyfikacja ryzyka
„Inwentaryzacja potencjalnych zagrożeń, zanim będą wywierać wpływ na realizację przedsięwzięcia informatycznego. Rezultatem identyfikacji jest lista specyficznych dla danego przedsięwzięcia ryzyk.
![Page 9: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/9.jpg)
Analiza ryzyka
Przekształcenie informacji o zidentyfikowanych ryzykach w informację decyzyjną.
![Page 10: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/10.jpg)
Planowanie ryzyka
Zaplanowanie działań mających na celu złagodzenie skutków ewentualnego urzeczywistnienia się ryzyka. Dla każdego ryzyka powinien być określony sposób postępowania np. łagodzenie, unikanie, akceptacja, transfer itp.
![Page 11: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/11.jpg)
Śledzenie ryzyka
Monitorowanie statusu ryzyk oraz ewentualnych działań wynikających z planowania ryzyka.
![Page 12: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/12.jpg)
Sterowanie ryzykiem
Korygowanie odchyleń od przewidywanych rezultatów działań wynikających z planowania ryzyka.
![Page 13: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/13.jpg)
Ocena i obniżanie ryzyka
Ocena ryzyka: Identyfikacja Analiza
Obniżanie ryzyka: Planowanie Śledzenie Sterowanie
![Page 14: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/14.jpg)
Praktyka zarządzania ryzykiem – identyfikacja
Taxonomy – Based Risk Identification (kwestionariusze TBQ) Taksonomia ryzyka:
Klasy ryzyka: Inżynieria produktu Środowisko wytwórcze Ograniczenia zewnętrzne
Elementy ryzyka Atrybuty ryzyka
![Page 15: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/15.jpg)
![Page 16: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/16.jpg)
Praktyka zarządzania ryzykiem – analiza
Wyselekcjonowanie 10 najważniejszych ryzyk Ustanowienie planu regularnych przeglądów (np. raz na miesiąc) Każde spotkanie obejmuje sprawozdanie na temat 10 głównych
ryzyk: Które miejsce zajmuje dane ryzyko na liście ? Które miejsce zajmowało dane ryzyko na poprzednim
przeglądzie ? Jakie są postępy w obniżaniu danego ryzyka ?
![Page 17: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/17.jpg)
![Page 18: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/18.jpg)
Praktyka zarządzania ryzykiem – problemy
Nie uwzględnia się wzajemnego oddziaływania zagrożeń – czy śledzenie 10-ciu „najważniejszych” ryzyk zagwarantuje pomyślne zakończenie przedsięwzięcia informatycznego ?
Oddzielne rozważanie poszczególnych ryzyk bez uwzględniania przenoszenia się zagrożeń.
Brak jasnej procedury obsługi listy 10-ciu – ryzyka spoza listy mogą w trakcie trwania prac nabrać nowych wartości.
Co z pozostałymi 190 ryzykami ? Czy pozostałe 95 % (!) ryzyk nie wpływa na powodzenie
przedsięwzięcia informatycznego, nawet jeśli prawdopodobieństwa ich wystąpienia są bardzo małe ?
![Page 19: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/19.jpg)
2. Metodyka oceny ryzyka w przedsięwzięciach
informatycznych
![Page 20: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/20.jpg)
Dlaczego metodyka a nie metoda ?
Ze względu na unikalność i różnorodność realizowanych przedsięwzięć informatycznych, skonstruowanie jednej uniwersalnej metody oceny ryzyka jest raczej niemożliwe.
Potencjalna uniwersalna metoda – silna parametryzacja i konieczność „dostrojenia” metody do konkretnego przedsięwzięcia.
Istnieje potrzeba skonstruowania metodyki oceny ryzyka, która umożliwi wykreowanie jeden lub kilku metod, dedykowanych dla konkretnego przedsięwzięcia informatycznego.
![Page 21: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/21.jpg)
Idea metodyki
Dwustopniowa agregacja całej dostępnej informacji dotyczącej szczegółowych ryzyk do syntetycznej informacji opisującej szanse powodzenia przedsięwzięcia informatycznego.
Postulowana miara szansy – wskaźnik zagrożenia przedsięwzięcia informatycznego.
Poziomy opisu ryzyk: Podstawowy – czynniki pierwotne zagrożenia
przedsięwzięcia informatycznego Pośredni – czynniki wtórne zagrożenia przedsięwzięcia
informatycznego
![Page 22: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/22.jpg)
Fazy metodyki
Definiowanie miar: Zdefiniowanie wskaźnika zagrożenia przedsięwzięcia
informatycznego (2 do 7 składowych). Zdefiniowanie czynników pierwotnych zagrożenia
przedsięwzięcia informatycznego (np. w oparciu o taksonomię ryzyka zaproponowaną przez SEI).
Zdefiniowanie czynników wtórnych zagrożenia przedsięwzięcia informatycznego.
Definiowanie dziedzin (zakresów zmienności) czynników pierwotnych
![Page 23: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/23.jpg)
Fazy metodyki (2)
Definiowanie agregacji: Określenie zależności między czynnikami pierwotnymi a
czynnikami wtórnymi oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu poszczególnych czynników wtórnych na podstawie stanów czynników pierwotnych.
Określenie zależności między czynnikami wtórnymi a składowymi wskaźnika zagrożenia oraz zdefiniowanie formuł umożliwiających wyznaczenie stanu składowych wskaźnika zagrożenia na podstawie stanów czynników wtórnych.
![Page 24: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/24.jpg)
3. Przykład metody oceny ryzyka
![Page 25: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/25.jpg)
Składowe wskaźnika zagrożenia przedsięwzięcia informatycznego:
Stan motywacji udziałowców przedsięwzięcia informatycznego do jego pomyślnego zakończenia
Stan możliwości udziałowców przedsięwzięcia informatycznego dla jego pomyślnego zakończenia
![Page 26: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/26.jpg)
Stan wskaźnika zagrożenia: 21.01.2002 Przedsięwzięcie: Informatyzacja firmy X
-2-4-6-8-10
0
Bardzo mocno korzystny dla przedsięwzięciaMocno korzystny dla przedsięwzięciaDostatecznie korzystny dla przedsięwzięciaZauważalnie korzystny dla przedsięwzięciaNieznacznie korzystny dla przedsięwzięcia
Nieznacznie niekorzystny dla przedsięwzięciaZauważalnie niekorzystny dla przedsięwzięciaDostatecznie niekorzystny dla przedsięwzięciaMocno niekorzystny dla przedsięwzięciaBardzo mocno niekorzystny dla przedsięwzięcia
Obojętny dla przedsięwzięcia
108642
Motywacja MożliwościWskaźnik zagrożenia
![Page 27: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/27.jpg)
Pośredni poziom opisu ryzyka
Czynniki sprawcze zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów, które generują przyczyny upadku lub powodzenia przedsięwzięcia informatycznego.
Czynniki wtórne zagrożenia przedsięwzięcia informatycznego - opisują te elementy działalności udziałowców danego przedsięwzięcia, ich właściwości (cechy) oraz właściwości (cechy) tworzonych przez udziałowców produktów a także właściwości (cechy) elementów otoczenia przedsięwzięcia, które określają fizyczną realizowalność przedsięwzięcia informatycznego.
![Page 28: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/28.jpg)
Motywacja MożliwościWskaźnik
zagrożenia PI
Czynniki sprawcze
zagrożenia PI
Czynniki wykonawcze zagrożenia PI
Czynniki wtórne
zagrożenia PI
Atrybut
ryzyka.................................
Czynniki pierwotne
zagrożenia PIAtrvbut
ryzyka
![Page 29: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/29.jpg)
Przykłady czynników
Czynnik wtórny (wykonawczy): „Jakość” wymagania względem systemu
Czynniki pierwotne: Stabilność Pełność Jasność Sprzeczność
![Page 30: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/30.jpg)
Dziedziny czynników pierwotnych
Stabilność:
4 – sprzeczność zasadniczych wymagań, uniemożliwiająca realizację systemu
3 – sprzeczność istotnych wymagań, wymagająca dokładnego sprecyzowania wymagań użytkownika
2 – sprzeczność wymagań drugorzędnych, które nie mają większego wpływu na realizację systemu
1 – brak sprzecznych wymagań
![Page 31: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/31.jpg)
Formuły agregacji
M – poziom możliwości W – poziom jakości wymagań względem systemu P1 – poziom stabilności wymagań
P2 – poziom pełności wymagań
P3 – poziom jasności wymagań
P4 – poziom sprzeczności wymagań
W = f(P1 , P2 , P3 , P4) M = h(W)
![Page 32: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/32.jpg)
Wskaźnik zagrożenia – wykorzystanie w praktyce
![Page 33: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/33.jpg)
4. Wnioski
![Page 34: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/34.jpg)
Stosowanie proponowanej metodyki oceny ryzyka wymaga zdyscyplinowanego i systematycznego podejścia do zarządzania ryzykiem.
Przewidywany koszt wykorzystania wybranej metody oceny ryzyka jest duży – można podjąć próbę określenia „progu opłacalności” stosowania metody.
Składowe definiowanych wskaźników zagrożenia nie muszą pokrywać pełnego obszaru zagrożeń w realizacji przedsięwzięcia. Można skonstruować kilka metod (wskaźników) i stosować je w czasie realizacji przedsięwzięcia.
Zbieżność metody z metodami pomiarów jakości procesu wytwórczego lub produktu.
![Page 35: Metodyka oceny ryzyka w przedsięwzięciach informatycznych](https://reader035.vdocuments.mx/reader035/viewer/2022062321/56813ac5550346895da2d77a/html5/thumbnails/35.jpg)
Dziękuję za uwagę