16. Построите график ООФ в соответствии с ожидаемыми датами поставки каждой иерсии. По мере прохождения версиями приемочных испытаний (ПИ) проставьте на том же графике реальные результаты.
17. Отслеживайте на протяжении оставшейся части проекта все риски на предмет наступления или исчезновения и выполняйте планы реагирования всякий раз, когда риски наступают. Наблюдайте за ООФ и его исполнением в сравнении с ожидаемым. Рассматривайте отклонения как признак возможного наступления риска.
18. Поддерживайте в действии процесс идентификации рисков на всем протяжении проекта, чтобы справиться с поздно проявляющимися рисками.
Часть V
Так есть или нет?
Как узнать, осуществляется ли на практике управление риском или нет?
Глава 23
Тест на управление риском
Если вы отвечаете за управление риском или стоите на более высокой иерархической ступени, вам нужен объективный способ, чтобы понять, делается ли эта работа. Зачем это? Почему бы просто не предположить, что люди, отвечающие за управление проектами, естественным образом будут привлечены к управлению рисками в этих проектах? Причина в том, что существуют мощные ложно-положительные показатели работы в организации. Они направлены на то, чтобы необоснованно давать ход всему, что называет себя управлением.
Представьте, что вы – руководитель более высокого уровня, чем тот, на котором находится рассматриваемый проект, а управление риском должно происходить на уровне проекта (внутри проекта или на том же уровне). Ложно-положительный показатель действует на уровне таких рассуждений: «Угу, мои люди ведут рискованные проекты, поэтому, конечно, они управляют рисками. В чем же состоит управление, в конце концов, если не в предвидении и поисках путей обхода различных препятствий, которые могли бы погубить проект? Разумеется, мои менеджеры – профессионалы: они не позволят себе обращать фокусироваться на ерунде и игнорировать реальные опасности».
Звучит хорошо. Проблема только в том, что такой ход мыслей игнорирует все расхолаживающие факторы, встроенные или зарытые в корпоративной культуре. Это включает в себя мышление «будет сделано», нежелание разочаровывать, требование сохранять «радужность» радужных сценариев, страх перед выражением неопределенности, необходимость видимости контроля (даже когда на самом деле контроль иллюзорен), соблазн использовать политическое влияние для приукрашивания действительного положения дел и своего рода близорукое мышление, губящее все начинания.
Это – мощные силы. Они могут заставить несомненно думающих людей отказываться от разумного управления и принимать вместо него разумное на вид управление. Есть разница.
Набор объективных тестов для определения того, происходит ли на самом деле управление рисками, может быть полезен не только высшему руководству, но и самим менеджерам рисков.
Когда управление рисками действительно ведется и укореняется в корпоративной культуре, проекты смогут пройти все или большинство следующих проверок:
1. Имеется перечень рисков. В этот перечень включены все главные риски проектов разработки программного обеспечения, а также риски, присущие исключительно данному проекту. Риски эти по природе своей причинные (то, что вызовет ужасные результаты, а не то, что само является ужасным результатом).
2. Имеется действующий процесс идентификации рисков. Идентификация рисков ведется открыто, причем приветствуется участие каждого в этом процессе. Конкретные шаги сделаны для того, чтобы можно было безопасно высказывать вслух неприятные вещи. Можно даже открыть анонимный канал для сообщения плохих новостей. Такая схема успешно работает в компаниях некоторых наших клиентов. (Ее не часто используют, но когда используют, это неоценимо).
3. Везде есть диаграммы неопределенности. Их используют для количественного измерения причинных рисков и для выражения совокупных рисков и ожиданий. Корпоративная культура начинает считать непрофессиональным взятие обязательств без упоминания в явном виде об их неопределенности.
4. Имеются цели и оценки проекта, и они никогда не совпадают. Цели могут быть на уровне «нанопроцентной даты» или рядом с ней, а оценки должны быть гораздо более консервативными. Если целью данного проекта является поставка продукта через 12 месяцев, то оценка должна планировать поставку хотя бы месяцев через восемнадцать. В любом случае, конкретный уровень доверия, который связан с любым обстоятельством, должен быть указан диаграммой неопределенности.
5. У каждого риска есть установленный индикатор наступления. Происходит постоянный мониторинг для обнаружения наступления риска.
6. Для каждого риска существует план реагирования и план ослабления. Действия по реагированию на риски включены в иерархическую структуру работ в качестве возможных действий. Действия по ослаблению риска включены в ИСР в качестве необходимых и своевременно осуществляются прежде, чем может возникнуть самая ранняя необходимость ввести в действие план реагирования.
7. Оценивается подверженность каждому из рисков.
8. Существуют количественные оценки выгоды по проекту. После завершения проекта обязательно измеряется реализованная выгода. Имеется упорядоченная по их выгодности (ценности) система компонентов создаваемой системы, используемая как входные данные при планировании версий.
9. В план проекта хотя бы частично встроен инкрементный метод. Некоторые или все версии действительно поставляются заказчикам или происходит псевдопоставка (представляющая собой все необходимые этапы, кроме реальной поставки). Данные о времени, усилиях и т.п. обрабатываются по каждой завершенной версии и используются в качестве показателей завершения во второй половине проекта.
Если ваша организация может пройти хотя бы шесть из этих проверок, управление рисками присутствует в ваших проектах и хорошо вам служит. Если нет, вам нужно над этим поработать.
Если вы не можете пройти ни одной из этих проверок, то можно сделать вывод, что, хотя ваша организация может хорошо разглагольствовать об управлении рисками, но реально вы ими не занимаетесь. Не будьте к себе слишком суровы по этому поводу, потому что большая часть нашей отрасли скорее выражает лицемерную преданность управлению рисками, чем в реальности осуществляет. Но не будьте к себе и слишком снисходительны. Легковесное заверение «конечно, мы занимаемся управлением рисками» в отсутствии любых объективных свидетельств – часть этой проблемы. Оно позволяет вам хорошо чувствовать себя в краткосрочной перспективе, но не обеспечивает защиты в долгосрочном периоде.
Прохождение через довольно легкий тест явится первым шагом к тому, чтобы заставить управление рисками работать на вас. Это – первый шаг к взрослению.
Приложение А
Вильям Кингдон Клиффорд
Этика веры, Часть 1
Судовладелец собирается отправить в море корабль с эмигрантами. Он знает, что корабль стар, к тому же изначально не слишком хорошо построен, что он немало плавал по морям-океанам и часто требовал починки. Ему высказали сомнения в том, что этот корабль выдержит морское плаванье. Эти сомнения вертятся у него в мозгу и огорчают его, он думает о том, что следовало бы тщательно отремонтировать суденышко и оснастить его заново, хотя это влетело бы ему в копеечку. До отплытия корабля ему все-таки удалось успешно справиться с этими меланхолическими размышлениями. Он сказал себе, что корабль много плавал и всегда благополучно выбирался из стольких штормов и передряг, и потому не имеет смысла сомневаться в благополучном завершении этого рейса. Он решил положиться на волю Провидения, которое вряд ли откажет в защите всем этим несчастным семействам, отправляющимся с родины на чужбину в поисках лучшей доли. Ему следует отбросить все мелочные подозрения относительно честности корабелов и подрядчиков. Таким образом, он обрел искреннюю и удобную уверенность в надежности своего судна, наблюдал за его отплытием с легким сердцем и добрым пожеланием успеха изгнанникам на новом месте, куда они направлялись, и спокойно получил страховку, когда корабль бесследно потерялся посреди океана.