В интегрированной модели зрелости процессов CMMI управление рисками выведено как самостоятельная группа процессов. Полезно рассмотреть некоторые аспекты управления рисками в проектах по разработке ПО.

Вопросы анализа рисков в жизненном цикле продукции достаточно полно освещены в литературе. Тем не менее представляется актуальным рассмотреть некоторые аспекты управления рисками в проектах, выполняемых в ИТ-компаниях, в связи с требованиями современных моделей управления качеством, в частности CMMI (интегрированная модель зрелости процессов), в которой управление рисками выведено как самостоятельная группа процессов.

Что такое «управление рисками»

Управление рисками является неотъемлемой частью управления проектом и одним из важнейших условий обеспечения качества разрабатываемого продукта. В этой связи возникают следующие вопросы. Можно ли идентифицировать риски, влияющие на успешное выполнение проекта, на ранних стадиях разработки? Можно ли обеспечить корректные и надежные результаты с теми ресурсами, которые выделены для разработки? Какие части системы/продукта/кода представляют собой наибольший риск для обеспечения требуемой функциональности, работоспособности и надежности? Процесс управления рисками помогает ответить на эти вопросы. Управление рисками имеет три составляющих:

  1. Стратегию управления рисками.
Стратегия управления рисками должна определять специфические действия и общий подход в их применении. Она должна быть задокументирована.
  1. Идентификацию и анализ рисков.
Анализ рисков влечет за собой их идентификацию из внешних и внутренних источников и оценку идентифицированных рисков.
  1. Отработку рисков.
Отработка рисков включает поиск вариантов действий при наступлении рискового события, мониторинг рисков и выполнение запланированных действий при наступлении рискового события (или при достижении определенного «порога»).

Краеугольным камнем методологии управления рисками является определение потенциальных проблем на самой ранней стадии в сочетании с методами, позволяющими уменьшить нежелательные воздействия.

Управление рисками должно тщательно планироваться. Планирование заключается в детальной формулировке программы действий по управлению рисками. В рамках этой программы необходимо разработать и задокументировать всеобъемлющую и интерактивную стратегию, определить методы применения стратегии управления рисками, а также запланировать адекватные ресурсы.

Планирование представляет собой итеративный процесс, в ходе которого описываются и включаются в график активностей и процессов для идентификации, анализа, управления, мониторинга и документирования риски, связанные с выполнением проекта. Результатом этой работы является план управления рисками в проекте.

Рекомендуется привлечь к процессу управления рисками группу квалифицированных специалистов, которая, в зависимости от объема и сложности проекта, может включать от одного до пяти участников. Члены этой группы выбираются на основании знаний и опыта в разных областях (например, разработка, проектирование, тестирование, обеспечение качества). Члены группы будут выполнять в проекте именно те работы, риски по которым они должны оценивать. В группе должны быть представлены все функциональные области, критичные для успеха проекта. В общем случае процесс управления рисками можно разбить на шесть шагов (фаз).

Фаза 1. Определение и категоризация источников риска

В рамках этой фазы проводится систематическое исследование изменяющейся со временем ситуации и определение обстоятельств, которые могут повлиять на способность достижения целей проекта. В процессе выполнения проекта могут быть идентифицированы дополнительные риски. Фаза состоит из двух групп работ, рассмотренных ниже.

А Определение источников риска заключается в определении областей их происхождения. В качестве источников риска могут рассматриваться:

  1. Требования:
    • требования не установлены или нечетко сформулированы;
    • требования не стабильны;
    • требования к производственным условиям не определены;
    • требования носят ограничительный характер - определяют специфические решения, что может повлечь неоправданно высокие затраты.
  2. Планирование:
    • график не согласован с заинтересованными сторонами;
    • график не отражает реальные условия;
    • параметры графика не достижимы;
    • отсутствуют ресурсы, необходимые для выполнения работ по графику.
  3. Дизайн:
    • продукт/система не в состоянии удовлетворить требования потребителя;
    • несоответствие между проектными решениями или интерфейсами человек-машина и квалификацией персонала пользователя;
    • дизайн не эффективен по стоимости;
    • дизайн основан на несовершенных технологиях.
  4. Технология:
    • успех проекта зависит от применения неопробованной технологии - альтернативы по технологии отсутствуют;
    • успех проекта зависит от достижения прогресса в определенных областях современной технологии;
    • технология не проверена в требуемых рабочих условиях.
  5. Тестирование:
    • план тестирования не разработан своевременно;
    • тестирование не учитывает рабочие условия эксплуатации;
    • процедуры тестирования не охватывают технические характеристики, определенные спецификацией;
    • отсутствует оборудование, необходимое для проведения специфических тестов, особенно на системном уровне;
    • времени, отведенного на тестирование, не достаточно.
  6. Производственные условия:
    • производственные условия не учтены при разработке концепции;
    • производственные условия не учтены при разработке дизайна;
    • производственные процессы не опробованы;
    • разработка не обеспечена достаточными производственными возможностями.
  7. Персонал:
    • проектная команда имеет ограниченный опыт в требуемой области;
    • потеря ключевого персонала;
    • требуется значительная капитализация для удовлетворения требований.
  8. Руководство:
    • стратегия разработки не учитывает существенных элементов, таких как технология, тестирование, анализ, оценка и т. д.;
    • дополнительные стратегии и планы не разработаны своевременно или не согласуются между собой;
    • в проектную команду не назначены люди с необходимым опытом и знаниями;
    • проектная команда не стабильна;
    • не проводятся оценки рисков либо оценки рисков проводятся, но нет реакции на результаты;
    • предельные технические возможности реализуются за счет чрезмерной стоимости;
    • избыточная стоимость жизненного цикла проекта из-за отсутствия достаточного внимания к требованиям поддержки.
  9. Заказчик:
    • заказчик настаивает на новых требованиях;
    • анализ и принятие решений заказчиком относительно планов, прототипов и спецификаций проходит медленнее, чем ожидалось;
    • коммуникация с заказчиком проходит медленнее, чем ожидалось (например, много времени потрачено на вопросы выяснения требований).

Б Категоризация источников риска осуществляется с учетом следующих факторов:

  • фазы жизненного цикла проекта (разработка требований, дизайн, кодирование, тестирование, установка и эксплуатация);
  • типы процессов, используемых в ходе разработки;
  • риски, связанные с управлением проектом (контрактные риски, бюджетные риски, ресурсные риски, риски, связанные с жестким графиком и обеспечением требуемых характеристик и т. д.).

В качестве входных данных этого этапа можно рассматривать политику компании в области управления рисками, проектные планы и наличие обученного персонала. В качестве выходных — перечень рисков с указанием их категории.

Фаза 2. Установление стратегии управления рисками

Целью работ, проводимых в рамках данной фазы является определение параметров, используемых при анализе и категоризации рисков (вероятность наступления рисков, степень воздействия рисков), а также параметров, на которых основано управление рисками (границы, превышение которых должно приводить в действие меры по смягчению рисков, трудоемкость планируемых мероприятий, их длительность, оценка их эффективности и т. д.).

Проводимые работы можно разбить на три категории.

А Определение согласованных критериев. Должны быть определены критерии оценки вероятности наступления риска и тяжести его последствий. При выработке критериев следует учитывать то, что оценка тяжести последствий наступления риска обычно субъективна и основывается на детальной информации, которая может быть получена путем сравнения с аналогичными проектами, а также изучения предыдущего опыта. Кроме того, источниками информации являются результаты тестирования и разработки прототипов, данные, полученные из инженерных и других моделей, суждения специалистов и экспертов, анализ планов и связанных с ними документов, моделирование и симуляция, анализ альтернатив.

Рекомендуется подход, при котором для каждого риска отдельно определяются вероятность его проявления и тяжесть последствий.

Б Определение граничных условий. Граничные условия, устанавливающие приемлемость или неприемлемость рисков, их приоритизацию и приведение в действие соответствующих мер могут фиксироваться как для всего проекта, так и для отдельных фаз его жизненного цикла. Например, для всего проекта можно оценивать превышение затрат по сравнению с плановыми, невыполнение плановых показателей, таких как индекс достижения стоимости проекта (Cost Performance Index, CPI) и индекс выполнения графика проекта (Schedule Performance Index, SPI).

B Установление стратегии управления рисками. Стратегия управления рисками в общем случае может включать: масштабы усилий (трудоемкость и стоимость) по управлению рисками; методы и средства, используемые для идентификации и анализа рисков, ослабления воздействия рисков, мониторинга рисков; источники риска, специфичные для данного проекта; параметры управления рисками (вероятность и последствия наступления риска; границы, при превышении которых приводятся в действие соответствующие мероприятия). Кроме того, сюда входят методы ослабления воздействия рисков (прототипирование, симуляции, альтернативный дизайн, эволюционная разработка и т. д.); определение метрик, необходимых для мониторинга статуса риска; периодичность мониторинга рисков и их переоценки.

В качестве входных данных этого этапа можно рассматривать перечень рисков с указанием их категорий. В качестве выходных — перечень и описание критериев оценки и приоритизации рисков, стратегию управления рисками в проекте.

Фаза 3. Идентификация и документирование рисков

На этой фазе ставиться цель идентификации потенциальных проблем, опасностей и угроз, которые могут оказать негативное влияние на результаты или планы проекта. В результате идентификации неопределенности и проблемы трансформируются в реальные риски, которые можно описать и измерить. Проводимые работы можно сформировать в две группы.

А Идентификация рисков. Идентификация рисков включает риски, связанные со стоимостью, графиком и характеристиками разрабатываемых продуктов на всех фазах жизненного цикла проекта. Идентификация рисков обычно начинается с составления списка событий, предполагаемых в данном проекте. При анализе таких событий целесообразно свести их до такого уровня детальности, который позволяет понять значение каждого риска и идентифицировать причины его появления.

Как правило, при идентификации рисков используется анализ структуры работ по проекту, опыт управления рисками в завершенных проектах, а также интервьюирование специалистов в соответствующих областях; исследование имеющихся баз данных.

Риски, связанные со стоимостью, могут включать в себя стоимость разработки, закупок, замены продукта, оценки финансирования.

Риски, связанные с графиком, — планируемые работы, ключевые события и даты.

Риски, связанные с характеристиками, — требования, дизайн, физический размер, функциональность и работоспособность, верификацию и валидацию (процесс утверждения)

Б Документирование рисков. Необходимым условием успешного управления рисками является формальное документирование процесса. Это позволяет обеспечить основу для оценки проекта и введения изменений по ходу развития проекта, более полную оценку риска, надежную базу для мониторинга управления рисками и верификации результатов, базу данных для нового персонала, а также способствовать успешному выполнению проекта.

В качестве примеров документации по управлению рисками можно рассматривать:

  • план управления рисками;
  • информацию о риске (описание риска, оценки вероятности наступления риска и тяжести его последствий);
  • перечень рисков с их приоритизацией;
  • план ослабления рисков (чрезвычайно важно, чтобы мероприятия по ослаблению рисков были включены в план-график проекта),
  • план реагирования на наступившие риски (реализуется по факту наступления риска);
  • документацию по мониторингу риска: проектные метрики, технические отчеты, формы мониторинга, отчет о выполнении графика, отчеты о состоянии критических рисков.

В качестве входных данных этого этапа можно рассматривать перечень и описание критериев оценки и приоритизации рисков и стратегию управления рисками в проекте. В качестве выходных — перечень идентифицированных рисков.

Фаза 4. Оценка, категоризация и приоритизация рисков

По завершении третьей фазы необходимо установить важность каждого идентифицированного риска, определить, когда требуется проявить внимание к данному риску, агрегировать риски в соответствии с их взаимосвязями. Действия по оценке, категоризации и приоритизации принято называть анализом риска. Данную фазу образуют две группы работ.

А Оценка идентифицированных рисков

Оценка рисков является одним из наиболее важных событий, поскольку ее результаты определяют эффективность всего процесса. Оценка рисков представляет собой технический процесс по рассмотрению идентифицированных рисков, выделению причин, установлению взаимоотношений между разными рисками и воздействия риска в терминах вероятности и последствий для проекта.

На практике граница между идентификацией риска и его анализом часто размыта, так как в определенной степени анализ всегда осуществляется в процессе идентификации. Каждый риск должен быть оценен в соответствии с такими параметрами как вероятность его проявления, последствия его проявления (степень тяжести или воздействие) и границы, превышение которых должно вызвать реакцию на риск. Последствия (степень тяжести или воздействие) могут устанавливаться как численно (например, в виде процентов), так и в более общих терминах (например, критический, серьезный, средний, низкий, незначительный).

Не существует единого стандартного подхода к оценке рисков, поскольку методы оценки могут варьироваться в зависимости от используемой техники оценки, фазы жизненного цикла проекта, особенностей самого проекта. Тем не менее можно выделить некоторые общие черты.

В техническую оценку входят:

  • идентификация и описание проектных рисков, то есть возможных угроз, технологии, дизайна, изготовления и т. д.;
  • определение взаимосвязей между внутренними и внешними рисками, а также активностей в терминах длительности и ресурсов;
  • оценка графика и стоимостей;
  • документирование идентификации рисков.

Оценка графика включает: оценку входных данных для составления графика, влияния технических допущений и неопределенности входных данных на реалистичность графика, возможных отклонений от графика с точки зрения стоимостных рисков и ограничений по ресурсам, а также документирование принципов и периодичности оценки рисков.

Оценка стоимости основывается на результатах технической оценки и оценки графика и состоит из перевода технических рисков и рисков, связанных с графиком, в стоимостное выражение, оценки стоимости путем интегрирования технических рисков и рисков, связанных с графиком, с ресурсами, установлений требований к бюджету проекта.

Критическим аспектом в оценке/анализе рисков является сбор данных. Источниками данных могут быть интервью с экспертами в соответствующей предметной области; сравнение с аналогичными проектами; статистические данные по выполненным проектам компании.

Б Категоризация и приоритизация рисков. Целью этих работ является определение наиболее эффективных областей применения ресурсов для ослабления негативного воздействия рисков и обеспечение при этом наиболее положительного влияния на ход выполнения проекта. Целесообразно сосредоточить усилия на тех процессах, усовершенствование которых будет более всего содействовать успеху проекта, и которые могут быть просто реализованы.

В качестве входных данных этого этапа можно рассматривать стратегию управления рисками в проекте и перечень идентифицированных рисков. В качестве выходных — перечень приоритизированных рисков.

Фаза 5. Разработка планов ослабления рисков

Целью этих работ является ослабление воздействия проявления потенциального риска. Они включают (цель и состав — разные понятия) разработку планов по предотвращению рисков и/или ослаблению их влияния, а также меры по реагированию на наступившие риски, несмотря на предпринятые попытки устранить или ослабить их влияние.

А Определение уровня риска и граничных условий. Прежде всего, должны быть установлены уровни риска и граничные условия, при достижении которых риск становится неприемлемым и инициируется реализация планов ослабления рисков или планов реагирования на наступившие риски.

Б Разработка общего плана ослабления воздействия рисков.

Ослабление воздействия рисков может быть достигнуто различными путями. Рассмотрим их подробнее.

Избежание риска включает изменения в концепции, требованиях, спецификациях и действующих практиках, что позволяет уменьшить риск до приемлемого уровня. Проще говоря, это означает устранение источников критических и серьезных рисков и замещение их решениями с меньшим уровнем риска. Можно привести такой пример. Выполнение критически важных фаз (задач) проекта планируется в период с января по февраль, во время года с наибольшей вероятностью эпидемии гриппа. Для избежания воздействия этого риска к проведению проектных работ подготавливается дополнительное количество сотрудников, которые будут привлекаться к проекту по мере выбывания основных участников команды.

Контроль риска не означает попытку устранить источник риска, но ставит целью уменьшение или ослабление риска. Конкретные действия по контролю риска могут быть примерно следующие. Параллельно разрабатывается несколько версий продукта/системы с целью удовлетворения требований к техническим характеристикам, проводятся альтернативный дизайн, раннее прототипирование, инкрементальная разработка, позволяющая развить части системы в будущем, анализ и инспекция для снижения вероятности проявления и последствия риска путем своевременной оценки реальных и планируемых событий.

Кроме того, могут быть проведены эксперименты, что позволит определить, какие части дизайна наиболее важны для удовлетворения требований, а также необходимо придерживаться идеологии открытых систем — выбора коммерческих спецификаций и стандартов, использование которых может привести к снижению риска.

Перенос риска. Это действие является интегральной частью процесса анализа рисков и сводится к перераспределению рисков от одной части системы/продукта в другую или между заказчиком и субподрядчиком либо между членами проектной команды. Перенос риска является формой распределения рисков и ни в коем случае не означает его аннулирования. Примером переноса риска может служить перенос функциональности от аппаратной к программной части продукта и наоборот.

Мониторинг риска. Процесс мониторинга означает систематический контроль и оценку эффективности действий по управлению рисками на основе принятых для этого процесса метрик. Ключевым фактором мониторинга является установление системы индикаторов стоимости мероприятий по предотвращению рисков или смягчению их последствий в сравнении со стоимостью ущерба при наступлении рисков. Мониторинг риска не является методом решения проблем. Это метод контроля результатов управления рисками и идентификации новых рисков.

Принятие риска представляет собой признание существования конкретной ситуации и сознательное решение принять связанный с этой ситуацией уровень риска, не предпринимая каких-либо специальных усилий по его контролю. Тем не менее целесообразно выделить определенный резерв в графике и бюджете проекта на мероприятия по разрешению проблем, которые могут возникнуть как результат решения о принятии риска. Принятие риска в большей степени относится к низким и незначительным рискам.

В Разработка планов реагирования на наступившие риски для выбранных критических рисков. Подобного рода планы содержат описание действий, которые необходимо предпринять, если риск наступит.

В качестве входных данных этого этапа можно рассматривать стратегию управления рисками в проекте и перечень приоритизированных рисков. В качестве выходных — планы по смягчению воздействия рисков и по отработке наступивших рисков.

В качестве примера действий по смягчению последствий риска можно привести следующие:

  • риск;
  • действие;
  • некомпетентность персонала;
  • укомплектование проектной команды наиболее талантливыми людьми, распределение работ соответственно способностям членов проектной команды, перекрестное обучение;
  • нереалистические график и бюджет проекта;
  • детальная оценка стоимости и графика с использованием нескольких источников, соотнесение сложности проектирования с его стоимостью, инкрементальная разработка, повторное использование готовых компонентов, пересмотр требований;
  • разработка ошибочных функций и интерфейсов;
  • дополнительный анализ функций и целей проекта, более тщательная формулировка концепции, прототипирование, разработка руководств пользователя на ранней стадии, проведение опроса пользователей;
  • постоянное изменение требований;
  • установление достаточно высокого порога принятия изменений, внедрение изменений на последующих стадиях работы;
  • дефицит поставляемых извне компонентов;
  • анализ возможностей рынка, выбор лучшего поставщика, инспекции, анализ совместимости поставляемых компонентов;
  • недостаточное качество и несвоевременное выполнение работ;
  • аудиты на ранних стадиях, конкурентное проектирование и прототипирование, организация командной работы, симуляция и моделирование.

Фаза 6. Применение планов ослабления рисков

Заключительной фазой является контроль и управление рисками в процессе выполнения проекта. Периодичность, с которой ревизуется статус риска (риск идентифицирован, предотвращен, наступил и т. д.), должна быть определена в стратегии управления рисками.

А Мониторинг статуса риска. Для каждого риска следует определить и документировать события, которые можно отслеживать для того, чтобы понять, удалось ли избежать наступления риска, или минимизировать последствия наступившего риска. Для каждого риска должны быть выполнены все действия, предусмотренные планом смягчения последствий риска.

Б Контроль мер по управлению риском до их полного осуществления. Члены проектной группы должны собирать, анализировать и докладывать руководству статус каждого риска. От руководителя проекта требуется анализировать поступающую информацию и предпринимать адекватные корректирующие меры, направленные на повышение эффективности процесса управления рисками.

Возможные сценарии управления рисками

  • Низкий риск. Современные инженерные практики могут служить в качестве эффективного средства смягчения последствий рисков этой категории. В данном случае не обязательна специальная программа действий - достаточно обычного контроля и мониторинга деятельности инженерной группы.
  • Средний риск. Этот уровень риска можно квалифицировать как один из вопросов для обсуждения при анализе хода выполнения проекта.
  • Серьезный и критический риск. Этот уровень риска требует формального контроля и мониторинга и разработки плана реагирования на наступившие риски. Для каждого риска этого уровня должно быть определено событие, которое вызовет применение плана реагирования на наступившие риски.

Для каждого запланированного мероприятия по управлению рисками должен быть установлен график или периодичность действий, включая даты начала и окончания.

Сбор метрик. Требуется определить и задокументировать метрики, которые необходимо собирать и анализировать в процессе управления рисками. Например, количество идентифицированных рисков, управляемых и контролируемых рисков, состоявшихся рисковых событий, непредвиденных состоявшихся рисковых событий, рисков по разным категориям, ожидаемые (оцениваемые) усилия по ослаблению рисков, фактические усилия по ослаблению рисков, количество и величина неожидаемых отрицательных воздействий на проект, отрицательное воздействие состоявшегося риска с оцениваемыми потерями (для каждого идентифицированного риска).

В качестве входных данных этого этапа можно рассматривать стратегию управления рисками в проекте, планы по смягчению воздействия рисков и планы по отработке наступивших рисков. В качестве выходных данных — обновленный статус перечня рисков и обновленный перечень действий по отработке рисков.

Заключение

Управление рисками как неотъемлемая часть управления проектом является эффективным инструментом в решении таких задач, как идентификация потенциальных проблем и их разрешение на ранней стадии, когда это проще и дешевле сделать, прежде чем эти потенциальные проблемы станут реальностью и приведут к кризису, фокусирование на проектных целях и выделение факторов, которые могут повлиять на успех проекта и на качество разрабатываемых систем/продуктов, вовлечение персонала в процесс выполнения проекта на всех уровнях проектной команды (руководство проектом, программисты, проектировщики, тестировщики), увеличение шансов на успех проекта.

Управление рисками должно стать неотъемлемой частью регулярного процесса управления проектом и обеспечить идентификацию отработки рисков в течение всех фаз жизненного цикла проекта.

Литература
  1. Practical Engineering Guides for Managing Risk, McGraw-Hill, 1993.
  2. Boehm, Barry W. Software Risk Management: Principles and Practices, IEEE Software, January 1991.
  3. Continuous Risk Manage-ment Guidebook, Carnegie Mellon University, Software Engineering Institute, 1996.
  4. Conrow, Edmund H. and Patty S. Shishido, Implementing Risk Management on Software-Intensive Projects, IEEE Software, May/June 1997.
  5. Charette R. N., Software Engineering Risk Analysis and Management, McGraw-Hill, 1989.
  6. Project Management Institute, A Guide to the Project Management Body of Knowledge, Chapter 11, Project Risk Management, 2000.
  7. Continuous Risk Management Guidebook, Software Engineering Institute (SEI), 1996.
  8. D. Karolak, Software Engineering Risk Management, IEEE Computer Society Press, 1996.
  9. Capability Maturity Model Integration (CMMI), version 1.1, Software Engineering Institute, 2002.9.

Кирилл Мильман — руководитель службы управления качеством компании Artezio, kmilman@artezio.ru

Глоссарий

Проектный риск
Неопределенное событие или условие, которое в случае наступления отрицательно отражается на целях проекта.
Категория риска
Потенциальный источник появления риска (может быть как внутренним, так и внешним).
Рисковое событие
Реальное проявление риска.
Идентификация рисков
Процесс определения рисков, свойственных конкретному проекту, и документирование их характеристик.
Смягчение риска
Процесс понижения вероятности наступления рискового события или уменьшения тяжести его последствий.
Мониторинг рисков
Процесс оценки эффективности действий, направленных на предотвращение и смягчение рисков.
План управления рисками
Документ, определяющий стратегию и действия по управлению рисками конкретного проекта.

Классификация рисков

Критический риск означает, что существует высокая вероятность того, что проявление риска повлечет за собой невыполнение графика проекта и превышение его стоимости. К критическим рискам можно отнести потерю ключевых членов проектной команды: уход одного или нескольких членов, являющихся носителями уникальных знаний по предметной области или инструментарию разработки, а также технологию и/или инструменты разработки, включенные в проект, которые никогда ранее не применялись в данной организации.

Серьезный риск означает, что существует высокая вероятность того, что проявление риска повлияет на достижение целей проекта, а также на его стоимость и график. Вероятность проявления риска достаточно высока, чтобы потребовать тщательной проверки всех влияющих факторов, установления контрольных этапов и приемлемых «отходных» позиций. Серьезным риском можно считать график, не отражающий реальные условия и внешние ограничения, при которых будет выполняться проект, то есть когда план-график проекта разработан по принципу «все будет хорошо». К этой категории риска следует отнести тестирование, не учитывающее рабочие условия эксплуатации продукта: тестирование продукта, когда оно проводится в программно-аппаратной среде, не соответствующей той, в которой будет осуществляться эксплуатация продукта.

Средний риск означает, что существует определенная вероятность того, что проявление риска может оказать влияние на достижение целей проекта, а также на его стоимость и график. Вероятность проявления риска достаточна для того, чтобы потребовать тщательного контроля всех влияющих факторов. В качестве примеров средних рисков можно привести: разработанный своевременно план тестирования (это может привести к тому, что условия завершения тестирования не будут достигнуты), а также коммуникация с заказчиком, которая проходит медленнее, чем ожидалось (это может привести к задержкам и простою проектной команды).

Низкий и незначительный риск означает, что проявление риска окажет небольшое влияние на цели проекта. Вероятность проявления такого риска достаточно низка и не должна вызывать серьезной озабоченности.

Пример списка контрольных вопросов

  1. Включены ли опытные члены проектной команды в процесс идентификации и предварительной оценки проектных рисков?
  2. Сравниваются ли проектные риски с допустимой границей, превышение которой может сделать выполнение проекта нецелесообразным?
  3. Используются ли идентификация рисков и потенциальные стратегии по их предотвращению или смягчению для определения стоимости проекта?
  4. Разработаны ли стратегии ослабления проектных рисков?
  5. Учтены ли проектные планы работы по управлению рисками?
  6. Учитываются ли проектной командой риски и определяется ли необходимость своевременного применения стратегии ослабления воздействия рисков в процессе выполнения проекта?
  7. Отражают ли отчеты о выполнении проекта наличие наступивших рисков и предпринятые действия по ослаблению их воздействия?