Gestire i rischi
Il rischio implica una possibile variazione, talvolta significativa, dei risultati effettivi rispetto a quelli desiderati. Il termine "rischio" include sia la probabilità sia il livello di questa differenza tra i risultati effettivi e quelli desiderati. Per gestione dei rischi si intende una riduzione strategica della differenza tra il risultato desiderato e quello effettivo.
La possibilità di identificare, classificare, analizzare e gestire i rischi è una funzionalità organizzativa necessaria per realizzare una valutazione SCAMPI (Standard CMMI Appraisal Method for Process Improvement) di livello 3. Per ulteriori informazioni su CMMI, vedere Informazioni generali su CMMI.
La gestione di questi rischi basati sugli eventi consente di apportare un contributo significativo all'obiettivo complessivo di gestione dei rischi ai livelli di progetto, portfolio e organizzazione. Una buona gestione dei rischi basati sugli eventi contribuisce a un risultato soddisfacente per tutte le parti interessate e che differisce di poco dal risultato inizialmente desiderato. Questo tipo di gestione contribuisce a una previsione affidabile senza sorprese.
Definire i rischi
Questa concezione dei rischi viene talvolta denominata modello di rischio basato sugli eventi. Tale modello implica che un elenco di rischi corrisponde a un elenco di possibili eventi futuri. Ciascun rischio descrive un certo evento che può verificarsi in futuro e può includere alcune informazioni sulla probabilità del verificarsi dell'evento. È inoltre necessario includere una descrizione dell'impatto che l'occorrenza dell'evento produrrebbe sul piano del progetto ed è possibile includere una descrizione dei metodi utili per ridurre la probabilità del verificarsi dell'evento e per attenuarne l'impatto, nonché le forme di recupero suggerite dopo un evento.
Per ogni rischio identificato, creare un elemento di lavoro rischio nel progetto team.
Elemento di lavoro rischio
L'area di processo Risk Management (RSKM) in CMMI è incentrata sulla gestione di questi rischi correlati agli eventi. MSF for CMMI Process Improvement e Visual Studio Team Foundation Server semplificano queste operazioni fornendo il tipo di elemento di lavoro rischio. Il tipo di elemento di lavoro rischio consente di definire un elenco di rischi e di tenerne traccia. Questo tipo di elemento di lavoro fornisce i campi per descrivere il rischio e la probabilità che questo si verifichi. Fornisce inoltre i campi per le azioni che è possibile intraprendere per ridurre la probabilità di occorrenza dell'evento, per attenuarne l'impatto e per implementare piani di emergenza per il recupero qualora si verifichi l'evento.
I rischi iniziali del progetto devono essere identificati durante la pianificazione del progetto. È necessario riconfigurare l'elenco dei rischi durante la pianificazione delle iterazioni all'inizio di ogni iterazione del progetto.
Nel form elemento di lavoro per un rischio sono archiviati i dati inclusi nei campi illustrati nella figura seguente:
Selezionare le azioni da intraprendere
Dopo avere creato un elenco dei rischi e averli analizzati in modo sufficiente, è necessario stabilire le eventuali azioni da intraprendere per gestire tali rischi. È necessario determinare, ad esempio, se vi siano azioni in grado di ridurre la probabilità di occorrenza del rischio o in grado di attenuare l'impatto del verificarsi del rischio che si desidera adottare o descrivere in un piano di iterazione. L'adozione di azioni per ridurre o attenuare i rischi comporta costi in termini di tempo e risorse. È necessario trovare un compromesso soddisfacente tra questa scelta e l'utilizzo di tali risorse e del tempo disponibile per far progredire il progetto e trasformare l'ambito in software funzionante. Utilizzare la scheda Attenuazione del rischio per documentare le azioni di riduzione e attenuazione dei rischi previste.
È necessario considerare il profilo del rischio complessivo per il progetto quando si stabilisce il momento in cui agire per ridurre la probabilità o attenuare l'impatto dei rischi. Se nel profilo del rischio viene ritenuta inaccettabile la perdita di vite umane, è necessario gestire tutti i rischi che possono provocare tale perdita e pianificare e intraprendere le azioni di riduzione e attenuazione.
È necessario garantire che i rischi vengano gestiti in linea con i vincoli di gestione del progetto e nel giusto equilibrio con l'esigenza di realizzare il recapito di tutto il lavoro con valore aggiunto entro i tempi e il budget disponibili.
Se si seleziona un rischio per la riduzione della probabilità o l'attenuazione dell'impatto, pianificare questa attività suddividendo il rischio in elementi di lavoro attività, ciascuno dei quali deve essere collegato a un elemento di lavoro rischio.
Monitorare i rischi
I rischi del progetto devono essere monitorati regolarmente.
Per monitorare i rischi, utilizzare la query dei rischi. Analizzare ogni rischio attivo nell'elenco e valutare se la probabilità di occorrenza è aumentata, se il possibile impatto è cambiato e se si sono verificati eventi trigger di attenuazione. Se si è verificata una modifica materiale anche minima nelle informazioni acquisite per un rischio, aggiornare l'elemento di lavoro. Valutare inoltre se è necessario adottare altre azioni per ridurre il rischio o attenuarne l'impatto.
È necessario comunicare lo stato del rischio corrente del progetto. I rapporti devono includere informazioni su qualsiasi rischio individuato di recente come non gestito, qualsiasi azione di riduzione o attenuazione in corso e qualsiasi cambiamento nello stato che può provocare una modifica nella valutazione iniziale del rischio.
Creare piani di emergenza
Per i rischi per cui è stata definita un'azione di recupero, è necessario creare un piano per implementare le misure di emergenza nel caso si verifichi l'evento. Se, ad esempio, sussiste un rischio di errore del server e le misure di emergenza prevedono il prestito di hardware da un altro reparto, è necessario disporre di un piano per applicare tali misure in caso di errore del server. La creazione di piani in anticipo consente di ridurre le attività di coordinamento qualora si verifichi l'evento. Un'organizzazione con un livello di maturità superiore e una maggiore capacità di gestione dei rischi crea piani di emergenza ed è in grado di applicarli senza un impatto significativo sulle altre attività del progetto. Organizzazioni con un livello di maturità inferiore sono soggette a panico e caos durante i tentativi di recupero da eventi imprevisti. Un'organizzazione che desidera una valutazione SCAMPI di livello 3 deve aver documentato le evidenze che attestano la creazione di piani di emergenza e, laddove appropriato, la relativa applicazione.
Suddividere il piano di emergenza in una serie di attività o azioni da intraprendere. Stimare ogni attività. Creare una pianificazione e un elenco consigliato di personale assegnato. Descrivere tutte le risorse che saranno necessarie per eseguire il piano di emergenza.
Aggiungere il piano di emergenza all'elemento di lavoro rischio nella scheda Piano di emergenza oppure aggiungere il piano come allegato.