ΠΛΗ 42

Ενότητα 1: Εισαγωγή
στη Διαχείριση
Κινδύνου - Βασικές
Έννοιες

Β. ΒΑΣΙΛΕΙΑΔΗΣ
ΕΛΛΗΝΙΚΟ ΑΝΟΙΚΤΟ ΠΑΝΕΠΙΣΤΗΜΙΟ
ΠΑΤΡΑ, 2008
∆ιαχείριση Κινδύνου
Σκοπός
Σκοπός αυτής της ενότητας είναι να κατανοήσετε τις βασικές αρχές της ∆ιαχείρισης
Κινδύνου καθώς και τις βασικές διαδικασίες της.
∆ιάρκεια
3 ώρες
Στόχοι
Όταν θα έχετε ολοκληρώσει αυτή την ενότητα θα µπορείτε να:

αναλύσετε έναν κίνδυνο σε πιθανότητα και συνέπειες

εξηγήσετε τις βασικές διαδικασίες της ∆ιαχείρισης Κινδύνου

ονοµατίσετε τουλάχιστον επτά (7) πηγές κινδύνου

περιγράψετε τους τρεις (3) τύπους κινδύνου

καταγράψετε τα χαρακτηριστικά ενός κινδύνου σε ειδική φόρµα

χρησιµοποιήσετε τον πίνακα συνεπειών

Λέξεις Κλειδιά

κίνδυνος

πιθανότητα κινδύνου

συνέπειες κινδύνου

πηγή κινδύνου

διαχείριση κινδύνου

πίνακας συνεπειών

φόρµα καταγραφής κινδύνου

πλάνο αντιµετώπισης κινδύνων

πλάνο διαχείρισης κινδύνων

2
Kεφάλαιο 1: ∆ιαχείριση Κινδύνου: βασικές έννοιες
1.1 Τι είναι κίνδυνος σε ένα έργο λογισµικού;
Κίνδυνος (risk/hazard) είναι ένα µέτρο της πιθανότητας και των συνεπειών του να µην
επιτευχθεί ένας ή περισσότεροι στόχοι του έργου.
Βέβαια η απόδοση του αγγλικού όρου ‘risk’ ως ‘κίνδυνος’ και όχι ως ‘ρίσκο’
αποκλείει τη θετική έννοια του όρου: ένα ρίσκο µπορεί να έχει και θετικά
αποτελέσµατα. Για παράδειγµα, η απόφαση του υπευθύνου έργου να ολοκληρώσει
ένα έργο λογισµικού στο 80% του χρόνου που κανονικά θα ήταν απαραίτητος, για να
προλάβει τον ανταγωνισµό είναι ρίσκο που µπορεί να εξελιχθεί σε πρόβληµα (αν κάτι
πάει λάθος) ή σε πλεονέκτηµα (αν όλα εξελιχθούν οµαλά). Συνήθως ένα ρίσκο έχει
περισσότερες πιθανότητες να εξελιχθεί σε πρόβληµα για το έργο λογισµικού και για
λόγους απλότητας µε αυτή την προοπτική θα το αντιµετωπίσουµε παρακάτω.
Ο κίνδυνος περιέχει αβεβαιότητα (βλέπε ενότητα 2.3 του Τόµου ΠΛΗ42/3). Για
παράδειγµα, κατά την εκτέλεση ενός έργου λογισµικού ερωτήσεις του τύπου «θα
προλάβουµε να παραδώσουµε το κοµµάτι κώδικα Χ µέσα στα χρονικά περιθώρια;» ή
«η οµάδα που έχει αναλάβει τη σχεδίαση του λογισµικού το έκανε χωρίς λάθη;» είναι
συχνές.
Ο κίνδυνος λοιπόν συνδέεται µε πιθανότητες (ο κίνδυνος να γίνει πρόβληµα) και
συνέπειες (που επηρεάζουν τους στόχους του έργου). Οι δύο αυτές παράµετροι θα
πρέπει να αντιµετωπίζονται από κοινού και όχι ξεχωριστά. Το παρακάτω παράδειγµα
είναι χαρακτηριστικό:
Παράδειγµα
Σε ένα έργο λογισµικού, ο στόχος Α είναι η σχεδίαση του λογισµικού και ο στόχος Β
η παραγωγή του κώδικα. Η πιθανότητα η οµάδα ανάπτυξης να αποτύχει στην
επίτευξη του Α είναι 5% και του Β είναι 20%. Αυτά όσον αφορά τις πιθανότητες. Οι
επιπτώσεις όµως του να µην επιτευχθεί ο Α είναι πολύ πιο σοβαρές (πιο δύσκολα
αντιµετωπίσιµες) από του να µην επιτευχθεί ο Β.
Αν και το παραπάνω παράδειγµα είναι κάπως απλοϊκό, δείχνει την αλληλεξάρτηση
πιθανότητας και συνεπειών.

∆ραστηριότητα 1.
Προσπαθήστε να βρείτε ανάλογα παραδείγµατα που επιβεβαιώνουν την
αλληλεξάρτηση πιθανότητας – συνεπειών.

3
Αν και µε τα παραπάνω αναλύσαµε τον κίνδυνο σε δύο παραµέτρους (πιθανότητα -
συνέπεια), αυτό δεν µας βοηθά και πολύ γιατί και οι δύο παράµετροι είναι δύσκολο
µε τη σειρά τους να υπολογιστούν επακριβώς ακόµα και µε τη χρήση στατιστικών
µεθόδων.
Εδώ θα πρέπει να προστεθεί και ένα ακόµα παράδοξο: εκτός από τους γνωστούς
κινδύνους (αυτούς δηλαδή που συµβαίνουν συχνά σε ένα έργο λογισµικού) υπάρχουν
και άγνωστοι. Αυτό το παράδοξο γενικά στη διαχείριση έργων έχει εµπνεύσει µία
ολόκληρη (µοιρολατρική) φιλοσοφία γνωστή ως «Νόµοι του Μέρφυ» και για την
επιστήµη της Πληροφορικής.
Σχετικές πληροφορίες θα βρείτε στο βιβλίο:
P. Dickinson . "Murphy's Law", The Official Rules. Arrow Books, ISBN 0-09-
926490-0.
και σε µία πληθώρα ιστοτόπων, όπως ο:
• http://www.wtr.ru/aphorism/eng/merphy1.htm#technology
Οι νόµοι αυτοί αποτελούν «απόσταγµα σοφίας» των απανταχού αναλυτών,
προγραµµατισµών και διαχειριστών έργων.
1.2 Μαθηµατική έκφραση του κινδύνου
Σε γενικές γραµµές, ο κίνδυνος έχει τρεις (3) παραµέτρους:
- ένα γεγονός (το οποίο είναι συνήθως µία ανεπιθύµητη αλλαγή)
- µία πιθανότητα (να συµβεί αυτό το γεγονός)
- συνέπειες (µία ή περισσότερες στους στόχους του έργου)
Άρα, ο κίνδυνος για κάθε ανεπιθύµητο γεγονός µπορεί να εκφραστεί ως µία
συνάρτηση της πιθανότητας και των συνεπειών:
Κίνδυνος = f (γεγονός, πιθανότητα, συνέπειες)
Όσο αυξάνει η πιθανότητα ή η σοβαρότητα των συνεπειών αυξάνει και ο κίνδυνος.
Μία άλλη παράµετρος η οποία θα πρέπει να ληφθεί υπόψη είναι τα αίτια των
κινδύνων. Αρκετά αίτια κινδύνων αναφέρονται στην ενότητα ενότητα 2.3 του Τόµου
ΠΛΗ42/3. Συµπληρωµατικά θα µπορούσαµε να πούµε ότι η ύπαρξη ή η έλλειψη
κάποιου παράγοντα µπορεί να προκαλέσει κίνδυνο, είναι δηλαδή πηγή κινδύνου.
Κάποιες πηγές κινδύνου είναι γνωστές και αντιµετωπίσιµες σε µεγάλο βαθµό µέσω
δικλείδων ασφαλείας. Το παρακάτω παράδειγµα είναι χαρακτηριστικό:
Παράδειγµα
Σε ένα έργο λογισµικού δύο οµάδες προγραµµατιστών δουλεύουν σε δύο διαφορετικά

4
κοµµάτια κώδικα (components) τα οποία αργότερα θα πρέπει να συνενωθούν µεταξύ
τους αλλά και να αλληλεπιδράσουν µε ένα τρίτο λογισµικό (π.χ. ένα λειτουργικό
σύστηµα). Εδώ υπάρχουν δύο πηγές κινδύνου: ο κίνδυνος τα δύο κοµµάτια
λογισµικού να µην επικοινωνούν σωστά µεταξύ τους και ο κίνδυνος κάποιο από
αυτά (ή και τα δύο) να µην είναι συµβατά µε το τρίτο λογισµικό. O υπεύθυνος έργου
έχοντας προβλέψει αυτόν τον κίνδυνο έδωσε εντολή στη οµάδα έργου να προβλέψει
τις κατάλληλες διεπαφές ήδη από τη φάση της σχεδίασης. Έδωσε δηλαδή
προτεραιότητα στην αντιµετώπιση αυτών των πηγών κινδύνου.
H παραπάνω ανάλυση µας οδηγεί στη διατύπωση µίας ακόµη λογικής σχέσης για τον
κίνδυνο:
Κίνδυνος = f(πηγή κινδύνου, δικλείδα ασφαλείας)
Όσο αυξάνονται οι πηγές κινδύνου τόσο αυξάνει και ο κίνδυνος. Αντίθετα αυτός
µειώνεται µε την αύξηση των δικλείδων ασφαλείας.
Είναι πλέον γενικά αποδεκτό ότι εφόσον αναγνωρίζουµε την ύπαρξη κινδύνου θα
πρέπει να είµαστε και προετοιµασµένοι για τις συνέπειες. Η διαδικασία αυτή οδήγησε
στη σχεδίαση συγκεκριµένων µεθόδων διαχείρισης κινδύνου.
Πριν προχωρήσουµε στην επόµενη ενότητα που πραγµατεύεται αυτό το θέµα, καλό
θα ήταν να τονίσουµε ότι η εισαγωγή διεργασιών διαχείριση αυξάνει το κόστος του
έργου λογισµικού. Σε πολλές µικρές (αλλά και µεγάλες επιχειρήσεις), οι υπεύθυνοι
έργου προτιµούν να αγνοούν τον κίνδυνο είτε λόγω νοοτροπίας είτε λόγω κόστους.
∆υστυχώς η νοοτροπία του «εάν συµβεί κάτι θα το αντιµετωπίσουµε επιτόπου»
πολλές φορές αυξάνει περισσότερο το κόστος του έργου και κυρίως µειώνει το ηθικό
της οµάδας ανάπτυξης του λογισµικού.
Εάν θέλετε µπορείτε να διαθέσετε µισή ώρα για να κάνετε τη δραστηριότητα 2.
∆ιαφορετικά προχωρήστε στην Ενότητα 2.
∆ραστηριότητα 2.
Μία εταιρία αναλαµβάνει να κατασκευάσει ένα λογισµικό ηλεκτρονικού εµπορίου.
Θα χρησιµοποιήσει νέες τεχνολογίες και ο πελάτης θέλει όσο το δυνατόν πιο άµεση
παράδοση. Κατασκευάστε έναν πίνακα µε τους πέντε κυριότερους κινδύνους και
δώστε % τιµές στην πιθανότητα και τις συνέπειες που µπορεί να έχουν για το έργο.
Εξηγήστε συνοπτική γιατί δώσατε αυτές τις τιµές.

5
Κεφάλαιο 2: ∆ιαχείριση Κινδύνου: η διαδικασία
2.1 ∆ιαχείριση κινδύνου
Η ∆ιαχείριση Κινδύνου (Risk Management) σε ένα έργο λογισµικού περιλαµβάνει
όλες εκείνες τις διεργασίες (διαδικασίες) που αφορούν το σχεδιασµό, αναγνώριση,
ανάλυση, αντιµετώπιση και συνεχή παρακολούθηση των κινδύνων και των πηγών
τους.
Οι περισσότερες από αυτές τις διεργασίες είναι ενεργές καθόλη τη διάρκεια του
έργου. Ο στόχος τους είναι να αυξηθεί η πιθανότητα και οι συνέπειες θετικών για το
έργο γεγονότων (υπάρχουν και τέτοια) και να µειωθεί η πιθανότητα και οι συνέπειες
αρνητικών.
Το παρακάτω σχήµα απεικονίζει τις διαδικασίες που περιλαµβάνει η διαχείριση
κινδύνου:

Αναλυτικότερα:
1. Σχεδιασµός ∆ιαχείρισης Κινδύνων: λήψη αποφάσεων για το πώς θα
σχεδιαστούν και θα υλοποιηθούν οι διαδικασίες διαχείρισης κινδύνου.
2. Αναγνώριση Κινδύνων: εντοπισµός των κινδύνων που µπορούν να
επηρεάσουν το έργο και καταγραφή των χαρακτηριστικών τους.
3. Ποιοτική Ανάλυση Κινδύνων: ταξινόµηση των κινδύνων µε βάση την
πιθανότητα να συµβούν και τις συνέπειες που θα έχουν στο έργο.
4. Ποσοτική Ανάλυση Κινδύνων: ποσοτικός προσδιορισµός των συνεπειών που
θα έχουν στους στόχους του έργου οι αναγνωρισµένοι κίνδυνοι.
5. Σχεδιασµός Αντιµετώπισης Κινδύνων: σχεδιασµός ενεργειών για το
µετριασµό των συνεπειών των κινδύνων που έχουν γίνει προβλήµατα στο
έργο.

6
 6. Παρακολούθηση και έλεγχος κινδύνων: παρακολούθηση αναγνωρισµένων
κινδύνων, αναγνώριση νέων, εφαρµογή σχεδίου αντιµετώπισης και συνεχής
αξιολόγηση των διαδικασιών διαχείρισης κινδύνων.
Εκτός από την 6, όλες οι υπόλοιπες διαδικασίες εκτελούνται (σε γενικές γραµµές) η
µία µετά την άλλη (υπάρχουν βέβαια συνδέσεις µεταξύ τους).
Μπορείτε να βρείτε κάποια πιο λεπτοµερή διαγράµµατα εδώ:
Τhe risk management Guide: www.ruleworks.co.uk/riskguide/risk-cycle.htm και εδώ:
http://www.stafftechs.com/images/ProjectManagement/risk-flow-chart2.gif
Tα αποτελέσµατα των διαδικασιών είτε συνιστούν ξεχωριστά παραδοτέα είτε
καταγράφονται σε ένα αρχείο που καλείται Αρχείο Κινδύνων (Risk Register) το οποίο
αποτελεί κοµµάτι του Πλάνου ∆ιαχείρισης Έργου (Project Management Plan). Μία
φόρµα µπορείτε να βρείτε εδώ: Risk Register Template.
Ας δούµε τώρα πιο αναλυτικά την κάθε µία διαδικασία στην επόµενη ενότητα.
2.2 Σχεδιασµός ∆ιαχείρισης Κινδύνων (Risk Management Planning)
Ο σωστός σχεδιασµός εγγυάται και την ορθή λειτουργία των υπόλοιπων 5
δραστηριοτήτων για τη ∆ιαχείριση Κινδύνου. Επικεντρώνεται στον τρόπο (τη
φιλοσοφία) µε τον οποίο θα εκτελεστούν οι διαδικασίες διαχείρισης κινδύνου. Έχει
άµεση σχέση µε την ανεκτικότητα που θα αποδοθεί στους πιθανούς κινδύνους ενός
έργου. Σε κάποιες περιπτώσεις η ανεκτικότητα είναι µεγάλη γιατί ναι µεν οι κίνδυνοι
είναι µεγάλοι αλλά και το κέρδος είναι µεγάλο (high risk/high gain). Σε άλλες
περιπτώσεις η ανεκτικότητα µπορεί να είναι µικρή γιατί π.χ. ο πελάτης είναι νέος και
η εταιρία προσπαθεί να εγκαθιδρύσει µία µακρόχρονη σχέση µαζί του.
(περισσότερα για την ανεκτικότητα εδώ: www.ruleworks.co.uk/riskguide/risk-
cycle.htm )
Κατά τη διάρκεια του σχεδιασµού παίρνονται αποφάσεις για το χρόνο, το κόστος και
το χρονοπρογραµµατισµό των διαδικασιών διαχείρισης κινδύνου. Ανατίθενται
ευθύνες και καθορίζονται τα εργαλεία που θα χρησιµοποιηθούν. Όλα τα παραπάνω
αποτελούν αρχικές εκτιµήσεις.
To παραδοτέο αυτής της διαδικασίας είναι το Πλάνο ∆ιαχείρισης Κινδύνου (Risk
Management Plan). Αυτό το πλάνο περιέχει όλες τις απαραίτητες πληροφορίες για
τον εντοπισµό, την καταγραφή, την αντιµετώπιση και την παρακολούθηση των
κινδύνων. Η αρχική του έκδοση συντάσσεται κατά τη φάση του σχεδιασµού και οι
κατοπινές συµπληρώνονται από τις υπόλοιπες διεργασίες.
Μπορείτε να βρείτε µερικές φόρµες (templates) για αυτό το πλάνο εδώ:

7
 1. Project Risk Management Plan Template
2. Risk Management Plan
3. Risk management plan template
2.3 Αναγνώριση Κινδύνων (Risk Identification)
Αυτή η διαδικασία αναγνωρίζει ποιοι κίνδυνοι επηρεάζουν το έργο και καταγράφει τα
χαρακτηριστικά τους. Η αναγνώριση κινδύνων µπορεί να γίνει από άτοµα εσωτερικά
του έργου (υπεύθυνος έργου, µέλη της οµάδας ανάπτυξης κτλ.) ή εξωτερικά
(διοίκησης εταιρίας, υπεργολάβοι, πελάτες, εξωτερικοί ειδικοί). Η διαδικασία αυτή
είναι επαναλαµβανόµενη αφού νέοι κίνδυνοι µπορεί να εµφανιστούν κατά τη
διάρκεια του έργου.
Τα εργαλεία τα οποία χρησιµοποιούνται για την αναγνώριση των κινδύνων
περιλαµβάνουν συναντήσεις µεταξύ των βασικών συντελεστών του έργου (brain
storming), την εφαρµογή της τεχνικής Delphi, ανάλυση SWOT και διαγραµµατικές
τεχνικές (διάγραµµα αιτίου-αποτελέσµατος, ροής κτλ.)
Εάν θέλετε να εµβαθύνετε στις τεχνικές αναγνώρισης κινδύνων µπορείτε να βρείτε
περισσότερες λεπτοµέρειες εδώ:
• Brainstorming: Brainstorming: a creative problem- solving method
• Μέθοδος Delphi:
http://www.iit.edu/~it/delphi.html (εισαγωγή στην τεχνική αυτή από το Illinois
Institute of Technology)
Υπάρχει διαθέσιµο και το βιβλίο µε τίτλο: Τhe Delphi Method: Techniques
and Applications
• SWOT:
http://www.quickmba.com/strategy/swot/
http://www.businessballs.com/swotanalysisfreetemplate.htm
• ∆ιαγραµµατικές τεχνικές:
∆ιάγραµµα Αιτίου – Αποτελέσµατος:

http://www.skymark.com/resources/tools/cause.asp

http://www.saferpak.com/cause_effect_articles/howto_cause_effect.pd
f
∆ιάγραµµα Επιρροής (Influence Diagram)

http://www.lumina.com/software/influencediagrams.html

8
Το παραδοτέο αυτή της διαδικασίας είναι συνήθως η καταγραφή των κινδύνων σε
ειδικές φόρµες όπως θα δούµε παρακάτω.
Καλό θα ήταν πρώτα να κάνουµε µία συζήτηση για τους τύπους των κινδύνων αλλά
και τις πηγής από τις οποίες προέρχονται.
2.3.1 Τύποι Κινδύνου
Οι τύποι κινδύνου είναι τρεις:
• Ποιοτικός Κίνδυνος: αυτός ο κίνδυνος έχει σχέση µε την ποιότητα των
διαδικασιών και των παραδοτέων που µε τη σειρά τους επηρεάζουν την
απόδοση του έργου.
• Κίνδυνος Κόστους: αυτός ο κίνδυνος σχετίζεται µε την ικανότητα του έργου
να εκπληρώσει τους οικονοµικούς του στόχους. ∆ύο βασικοί άξονες κινδύνου
σε αυτόν τον τύπο είναι (1) οι αρχικές εκτιµήσεις κόστους και στόχων δεν
είναι ακριβείς και ρεαλιστικές και (2) ο κίνδυνος να µην εκπληρωθούν οι
οικονοµικοί στόχοι ως αποτέλεσµα αποτυχίας αντιµετώπισης των διαφόρων
κινδύνων.
• Κίνδυνος Σχεδιασµού: ανάλογα, αυτός ο κίνδυνος σχετίζεται µε την
ικανότητα του έργου να εκπληρώσει τους στόχους χρονοπρογραµµατισµού.
∆ύο βασικοί άξονες κινδύνου σε αυτόν τον τύπο είναι (1) οι αρχικές
εκτιµήσεις για τον απαιτούµενο χρόνο εκτέλεσης του έργου δεν είναι ακριβείς
και ρεαλιστικές και (2) ο κίνδυνος να µην εκπληρωθούν οι στόχοι
χρονοπρογραµµατισµού ως αποτέλεσµα αποτυχίας αντιµετώπισης των
διαφόρων κινδύνων.
2.3.2 Από πού προέρχονται οι πηγές κινδύνου και πως αντιµετωπίζονται
Οι πηγές από όπου προέρχεται ο κίνδυνος για ένα έργο λογισµικού είναι εσωτερικές
και εξωτερικές.
Στις εσωτερικές πηγές κινδύνου περιλαµβάνονται:
• Το έργο. Το µέγεθος του έργου περιλαµβάνει τη διάρκεια, το εκτιµώµενο
κόστος και τους πόρους που χρειάζονται για την υλοποίησή του.
• Η οµάδα ανάπτυξης του έργου. Παράγοντες όπως η εµπειρία, τα προσόντα, οι
σχέσεις µεταξύ των µελών µπορούν να δηµιουργήσουν είτε ωφέλιµα είτε
βλαβερά γεγονότα.
• Η διοίκηση της εταιρίας / η εταιρική πολιτική. Επεµβάσεις της διοίκησης ή
κακές εταιρικές πολιτικές µπορούν να δηµιουργήσουν κινδύνους.

9
Στις εξωτερικές πηγές κινδύνου περιλαµβάνονται:
• Οι πελάτες. Πολλές φορές οι πελάτες (για διάφορους λόγους) αλλάζουν τις
απαιτήσεις ενόσω το έργο είναι σε εξέλιξη.
• Τεχνολογία. Η χρήση νέων τεχνολογιών που είναι ασταθείς, ασύµβατες ή
έχουν µεγάλο κόστος για το έργο αποτελούν πηγή κινδύνου.
• Κατάσταση της αγοράς. Αλλαγές στην κατάσταση της αγοράς (αγορά
ανθρώπινου δυναµικού, τεχνολογίας, κατάσταση ανταγωνιστών) αποτελεί
πηγή κινδύνου καθώς µπορεί να επηρεάσει το κόστος ή/και τη διάρκεια του
έργου.
• Εξωτερικοί συνεργάτες. Τα προβλήµατα που ίσως αντιµετωπίσουν
υπεργολάβοι ή εξωτερικοί συνεργάτες ενδέχεται αποτελέσουν σοβαρό
κίνδυνο για το έργο.
Μία πιο αναλυτική ταξινόµηση των πηγών κινδύνου µπορείτε να βρείτε στο άρθρο:
Use a Risk Breakdown Structure (RBS) to Understand Your Risks
2.3.3 Φόρµα καταγραφής κινδύνων
Έχοντας τα παραπάνω υπόψη, ο υπεύθυνος έργου θα πρέπει να συντάξει µία λίστα µε
ερωτήσεις οι οποίες θα προσπαθούν να εντοπίσουν τις πιθανές πηγές και τους
κίνδυνος που αυτές µπορεί να παράγουν.
Μπορείτε να βρείτε ένα πλήρες ερωτηµατολόγιο στην αναφορά Taxonomy-Based
Risk Identification στο Αppendix B.
Εφόσον απαντηθούν οι ερωτήσεις (σε συνεργασία µε την οµάδα έργου αλλά και
όλους τους εµπλεκόµενους), ο υπεύθυνος θα πρέπει να συµπληρώσει µία φόρµα η
οποία καταγράφει τους κινδύνους που εντοπίστηκαν. Αυτή η φόρµα καταγραφής
ανανεώνεται όποτε είναι απαραίτητο κατά τη διάρκεια του έργου. Εννοείται ότι
καθώς το έργο εξελίσσεται νέοι κίνδυνοι εµφανίζονται ενώ κάποιοι παλαιοί
εκλείπουν. Ένα παράδειγµα Φόρµας Καταγραφής Κινδύνων (µία για κάθε κίνδυνο)
είναι η παρακάτω:
Τίτλος Κινδύνου
Α/Α: Υπεύθυνος Ηµεροµηνία: Προτεραιότητα:
Συνδεόµενη αντιµετώπισης: 1 2
δραστηριότητα: 3

Περιγραφή κινδύνου:

10
Τύπος: Σχέδιο Ποιότητα Κόστος

Επεξήγηση:
Επίπεδο σοβαρότητας συνεπειών: Πιθανότητα
Υψηλό Μεσαία Χαµηλό Μεγάλη Μεσαία Μικρή

Πρώτο γεγονός ενεργοποίησης του κινδύνου:

Στρατηγική µετριασµού:

Γεγονός έναρξης της επιβολής της στρατηγικής αντιµετώπισης:

Στρατηγική αντιµετώπισης:

Παρακολούθηση κινδύνου
Ηµ/νια ∆ράση Κατάσταση

Κριτήρια απενεργοποίησης κινδύνου: Τρέχουσα κατάσταση:

Ενεργός Ανενεργός
Τελική ηµ/νια παρακολούθησης κινδύνου:

Τα πεδία της φόρµας εξηγούνται παρακάτω:

Τίτλος Κινδύνου: ένας σύντοµος περιγραφικός τίτλος για τον κίνδυνο
Α/Α: αύξων αριθµός κινδύνου. Είναι µοναδικός για κάθε κίνδυνο. Μπορεί να είναι
και σύνθετος περιλαµβάνοντας τον αριθµό του παραδοτέου ή της δραστηριότητας
στην οποία αντιστοιχεί.
∆ραστηριότητα: η δραστηριότητα την οποία απειλεί ο κίνδυνος.
Υπεύθυνος αντιµετώπισης: όνοµα του υπευθύνου αντιµετώπισης του κινδύνου.
Συνήθως είναι ο υπεύθυνος της δραστηριότητας (η ΤΥ όπως αναφέρει ο Τόµος Γ’)
που απειλείται.
Ηµεροµηνία: Η ηµεροµηνία αναγνώρισης του κινδύνου.
Προτεραιότητα κινδύνου: παράγοντας που αποτελεί συνδυασµό των επιπτώσεων
και της πιθανότητας του κινδύνου. Ο παρακάτω πίνακας βοηθά στον υπολογισµό
αυτού του παράγοντα:

11
 Σοβαρότητα Προτεραιότητα Αριθµ.
Πιθανότητα
Συνεπειών κινδύνου Τιµή
Μεγάλη Μεγάλη Μεγάλη 1
Μεγάλη Μεσαία Μεγάλη 1
Μεγάλη Μικρή Μεσαία / Μεγάλη 2/1
Μεσαία Μεγάλη Μεσαία 2
Μεσαία Μεσαία Μεσαία 2
Μεσαία Μικρή Μικρή / Μεσαία 3/2
Μικρή Μεγάλη Μικρή 3
Μικρή Μεσαία Μικρή 3
Μικρή Μικρή Μικρή 3
Περιγραφή κινδύνου: περιγραφή του κινδύνου υπό τη µορφή «συνθήκη-
αποτέλεσµα». Η περιγραφή θα πρέπει να απαντά και στις ερωτήσεις: (1) τι είναι
αυτός ο κίνδυνος και (2) γιατί συνέβη;
Σοβαρότητα συνεπειών: ποιες θα είναι οι επιπτώσεις στην περίπτωση που ο
κίνδυνος γίνει πρόβληµα; Εκτός από την περιγραφή των συνεπειών χρειάζεται και ο
καθορισµός του τύπου του κινδύνου.
Σοβαρότητα Συνεπειών: καθορίζεται µε βάση τη σοβαρότητα των συνεπειών και τα
παραδείγµατα που δίνει ο παρακάτω Πίνακας Συνεπειών (impact matrix):

Επίπεδο Επίδραση στο χρόνο Επίδραση στην Επίδραση στο

ποιότητα κόστος
Υψηλό Μεγάλη απόκλιση στο
χρονικά περιθώρια Σηµαντική µείωση.
µεγαλύτερη από 30% Αποτυχία στην
Αύξηση κόστους
του συνολικού χρόνου. εκπλήρωση των
>20%
Ανάγκη για ποιοτικών στόχων
επαναπροσδιορισµό του έργου.
των οροσήµων.

12
 Μεσαίο Μεσαία απόκλιση
µεταξύ 10% και 30%
Κάποια επίδραση Αύξηση κόστους
του συνολικού χρόνου.
στην ποιότητα του µεταξύ 5% και
Ανάγκη για µικρή
έργου. 20%
προσαρµογή των
οροσήµων του έργου.
Χαµηλό Μικρή απόκλιση Περιορισµένη Αύξηση κόστους
µικρότερη του 10%. επίδραση. <5%
Ο ακριβής υπολογισµός της σοβαρότητας των συνεπειών γίνεται στην Ποιοτική
ανάλυση µε τη χρήση πιο εξειδικευµένων πινάκων.
Πιθανότητα: η πιθανότητα να συµβεί το γεγονός το οποίο προκαλεί τον κίνδυνο. Η
πιθανότητα υπολογίζεται µε βάση τον παρακάτω πίνακα:

Πιθανότητα Ποσοστό
Μεγάλη >30%
Μεσαία 10-30%
Μικρή <10%

Πρώτο γεγονός ενεργοποίησης του κινδύνου: περιγραφή του γεγονότος που

σηµατοδοτεί ή της συνθήκης που πρέπει να ικανοποιηθεί για να µετατραπεί ο
κίνδυνος σε πρόβληµα.
Στρατηγική µετριασµού: ενέργειες µετριασµού των συνεπειών.
Στρατηγική Αντιµετώπισης: περιγραφή των ενεργειών που µειώνουν τον κίνδυνο
που έγινε πρόβληµα.
Παρακολούθηση κινδύνου: αυτό το πεδίο παρέχει το ιστορικό της εξέλιξης ενός
κινδύνου. Ενηµερώνεται κάθε φορά που ένας κίνδυνος αλλάζει κατάσταση.
Καταγράφονται όλες οι ενέργειες που έγιναν για την παρακολούθησή του
συµπεριλαµβανοµένης της ηµεροµηνίας και την κατάσταση που επετεύχθη.
Καταγράφει επίσης γενικές ενέργειες παρακολούθησης που εκτελούνται καθόλη τη
διάρκεια του έργου.
Κριτήρια απενεργοποίησης κινδύνου: περιγραφή των κριτηρίων που πρέπει να
ισχύουν για να θεωρηθεί ένας κίνδυνος ανενεργός (η πιθανότητα να εξελιχθεί σε
πρόβληµα είναι µηδαµινή).

13
Τελική ηµ/νια παρακολούθησης κινδύνου: η ηµεροµηνία στην οποία ο κίνδυνος
δεν έχει πιθανότητα να γίνει πρόβληµα. Συνήθως είναι το τέλος του έργου.
Τρέχουσα κατάσταση: τρέχουσα κατάσταση των ενεργειών µετριασµού του
κινδύνου άρα και της κατάστασης του κινδύνου.
Παράδειγµα
Ένα έργο λογισµικού έχει αρκετά µεγάλη διάρκεια και κόστος. Ο Μάκης Π.,
διαχειριστής του έργου έχει αναγνωρίσει έναν σηµαντικό κίνδυνο: την κακή
διαχείριση των οικονοµικών και των άλλων πόρων που υπάρχουν στη διάθεσή του. Η
δραστηριότητα η οποία παρουσιάζει αυτόν τον κίνδυνο είναι η υπ. 1. «∆ιαχείριση
Έργου». Με την έναρξη του έργου το µήνα 0, συµπληρώνει την ανάλογη φόρµα:

Υπέρβαση προϋπολογισµού / Εξάντληση πόρων

Α/Α: 1.1 Υπεύθυνος Ηµεροµηνία: Προτεραιότητα:
Συνδεόµενη αντιµετώπισης: Τ0 Χ 1 2
δραστηριότητα: 1 Μάκης Π. 3

Περιγραφή κινδύνου:
Κακός σχεδιασµός της αλληλουχίας των δραστηριοτήτων και λάθη στο χρονοπρογραµµατισµό είναι
δυνατόν να δηµιουργήσουν κίνδυνο υπέρβασης του προϋπολογισµού και εξάντλησης των διαθέσιµων
πόρων.

Τύπος: Σχέδιο Ποιότητα Χ Κόστος

Επεξήγηση: θα επηρεαστεί η κατανοµή κόστους και πόρων στις δραστηριότητες.

Επίπεδο σοβαρότητας συνεπειών: Πιθανότητα
Χ Υψηλό Μεσαία Χαµηλό Μεγάλη Χ Μεσαία Μικρή

Πρώτο γεγονός ενεργοποίησης του κινδύνου:

Σηµαντική υπέρβαση του προϋπολογισµού τους τρεις πρώτους µήνες του έργου.
Στρατηγική µετριασµού:
Συνεχής παρακολούθηση των δραστηριοτήτων από τους υπευθύνους και αναφορά των σηµαντικών
αποκλίσεων.
Γεγονός έναρξης της επιβολής της στρατηγικής αντιµετώπισης:
Υπέρβαση του προϋπολογισµού κατά 20%.
Στρατηγική αντιµετώπισης:
Αναπροσαρµογή του πλάνου έργου µε επανασχεδιασµό δραστηριοτήτων.

14
Παρακολούθηση κινδύνου
Συνεχής παρακολούθηση των αναφορών από τους υπευθύνους των δραστηριοτήτων.
Ηµ/νια ∆ράση Κατάσταση

Κριτήρια απενεργοποίησης κινδύνου: Τρέχουσα κατάσταση:

Απόκλιση 10% από το προβλεπόµενο κόστος στο Χ Ενεργός Ανενεργός
τέλος του έργου.
Τελική ηµ/νια παρακολούθησης κινδύνου:
Τέλος του έργου

Άλλες φόρµες και εργαλεία καταγραφής κινδύνων µπορείτε να βρείτε εδώ:

Λογισµικό:

Risk Radar Demo download (εργαλείο καταγραφής κινδύνων. Η έκδοση demo
καταγράφει µέχρι 10 κινδύνους)

Risk Matrix 2.20 Software (ουσιαστικά ένα αρχείο excel µε πολλές
δυνατότητες. Οι οδηγίες βρίσκονται εδώ: Risk Matrix 2.20 User's Guide)
Φόρµες (templates):

Risk Identification and Assessment Worksheet

Εάν διαθέτετε 1 ώρα, µπορείτε να κάνετε την παρακάτω δραστηριότητα η οποία θα

σας βοηθήσει να εµπεδώσετε τον τρόπο καταγραφής των κινδύνων. Αλλιώς,
συνεχίστε στην ενότητα 2.4
∆ραστηριότητα 3.
Θεωρείστε την εκφώνηση της υπο-εργασίας 1.Α του ακαδηµαϊκού έτους 2006-2007.
Κατασκευάστε τις φόρµες για τους 5 κυριότερους κινδύνους που θα αντιµετωπίσει ο
υπεύθυνος έργου (µπορείτε να χρησιµοποιήσετε τους κίνδυνους που αναφέρονται
στις σχετικές ενδεικτικές λύσεις).
2.4 Ποιοτική Ανάλυση Κινδύνων (Qualitative Risk Analysis)
Αυτή η διαδικασία ταξινοµεί τους κινδύνους που έχουν αναγνωριστεί έτσι ώστε να
προχωρήσει η αντιµετώπισή τους. Η ταξινόµηση µπορεί να γίνει γίνεται βάσει
πολλών παραγόντων όπως πιθανότητα, συνέπειες, το χρονοδιάγραµµα έργου, η
ανεκτικότητα ή συνδυασµούς αυτών. Είναι µία διαδικασία η οποία επαναλαµβάνεται
σε τακτά χρονικά διαστήµατα αφού η προτεραιότητα ενός κινδύνου µπορεί να
αλλάξει κατά τη διάρκεια του έργου.

15
Οι τεχνικές που χρησιµοποιούνται για την ταξινόµηση των κινδύνων επικεντρώνονται
σε brainstorming ή/και συναντήσεις µεταξύ των µελών του έργου. Με τη βοήθεια
αναλυτικών πινάκων Πιθανοτήτων και Συνεπειών (Impact and Probability matrix) οι
κίνδυνοι κατατάσσονται σε µία λίστα (συνήθως οι 10 πρώτοι – top 10 list). Οι
πίνακες αυτοί έχουν προκαθορισµένες τιµές που έχουν τεθεί µε βάση την εµπειρία της
επιστηµονικής κοινότητας ή της ίδιας της εταιρίας σε ανάλογα έργα. Περιέχουν
συνδυασµούς τιµών για πιθανότητες και συνέπειες που οδηγούν στην αξιολόγηση του
επιπέδου σοβαρότητας ενός κινδύνου.
Υπάρχουν πολλές εκδοχές πινάκων Πιθανοτήτων και Συνεπειών. Μερικές από αυτές
µπορείτε να βρείτε εδώ: Qualitative Risk Analysis @ Anticlue. Μία διαφορετική
εκδοχή µπορείτε να βρείτε σε αυτό το παράδειγµα έργου λογισµικού για την πόλη της
Φιλαδέλφειας (ΗΠΑ): Risk Probability/Impact Matrix.
Το αποτέλεσµα αυτής της διαδικασίας είναι κάποιο από τα παρακάτω:

Λίστα µε τους 10 µεγαλύτερους κινδύνους

Ταξινόµηση κινδύνων σε κατηγορίες

Λίστα κινδύνων που πρέπει να αντιµετωπιστούν άµεσα

Λίστα κινδύνων που χρειάζεται να αναλυθούν περισσότερο
∆ραστηριότητα 4.
Αναγνωρίστε και ταξινοµήστε τους 10 κυριότερους κινδύνους της δραστηριότητας 3
(υπο-εργασία 1.Α περιόδου 2006-2007) σε τρεις τουλάχιστον κατηγορίες
(δικαιολογήστε πως καταλήξατε στην κατηγοριοποίηση αυτή).
2.5 Ποσοτική Ανάλυση Κινδύνων (Quantitative Risk Analysis)
Η ποσοτική ανάλυση χρησιµοποιεί ειδικές τεχνικές όπως η προσοµοίωση Monte
Carlo ή τα ∆ένδρα Απόφασης (Decision Trees) για να αναθέσει τιµές στους κινδύνους
οι οποίοι κατηγοριοποιήθηκαν από την Ποιοτική Ανάλυση. Οι τιµές αυτές δίνουν µία
εκτίµηση της πιθανότητας να εκπληρωθούν οι στόχοι του έργου, εκτιµούν την %
συνεισφορά κάθε κινδύνου στο συνολικό κίνδυνο του έργου και θέτουν ρεαλιστικούς
στόχους όσον αφορά το κόστος, το χρονοδιάγραµµα και τους στόχους του έργου µε
βάση την αξιολόγηση των αναγνωρισµένων κινδύνων. Επίσης, προτείνουν αποφάσεις
που πρέπει να παρθούν από τη διοίκηση του έργου όταν η κατάσταση είναι αβέβαιη
λόγω των κινδύνων.
Οι µέθοδοι που ακολουθούνται για τον καθορισµό αυτών των τιµών περιλαµβάνουν:
• Ανάλυση Ευαισθησίας (Sensitivity Analysis)

16

Sensitivity and Risk Analysis
• EMV (Expected Monetary Value analysis)
• ∆ένδρα Απόφασης

Decision Trees and Influence Diagrams in Decision Analysis

http://people.brunel.ac.uk/~mastjjb/jeb/or/dectree.html (εισαγωγή και
παραδείγµατα)
• Προσοµοίωση

Monte Carlo Simulation Basics (βασικές αρχές)

Principles of Monte Carlo Simulation (µία σειρά διαλέξεων για την
τεχνική Monte Carlo)
Λογισµικό
Εδώ θα βρείτε µία γκάµα εργαλείων (εκδόσεις demo που λειτουργούν για 10 ηµέρες)
ποσοτικής ανάλυσης κινδύνων της εταιρίας Palisade:

http://www.palisade-europe.com/trials.asp
ή της εταιρίας Vanguard:

http://download.vanguardsw.com/download/VanguardTrial.exe
Η διαδικασία ποσοτικής ανάλυσης κινδύνων έχει αρκετά µεγάλο κόστος και
εφαρµόζεται µόνο σε µεγάλα έργα.
Άσκηση Αυτό-αξιολόγησης 1
Ο Πάκης είναι υπεύθυνος έργου για τη σχεδίαση και κατασκευή ενός συστήµατος
CRM. Για ποιους από τους παρακάτω λόγους θα ήταν καλό να κάνει µία ποιοτική
ανάλυση των κινδύνων πριν αρχίσει το έργο;
1. είναι µία τελευταία ευκαιρία να µειώσει το κόστος.
2. θα του επιτρέψει να έχει µία αρχική γνώση των κινδύνων και να σχεδιάσει
εναλλακτικές λύσεις.
3. θα δώσει δεδοµένα στη ποσοτική ανάλυση έτσι ώστε να έχει µία λεπτοµερή
εικόνα των κινδύνων
4. θα του δώσει µία συνολική και λεπτοµερή εικόνα για τους κινδύνους του
έργου.

2.6 Σχεδιασµός Αντιµετώπισης Κινδύνων (Risk Response Planning)

Η διαδικασία αυτή καθορίζει τις ενέργειες που θα πρέπει να ακολουθηθούν για να
µειωθεί η πιθανότητα οι κίνδυνοι που έχουν αναγνωριστεί να γίνουν προβλήµατα. Η

17
πιο συνηθισµένη τακτική που χρησιµοποιείται είναι η αποδοχή (acceptance) των
κινδύνων και η αντιµετώπισή τους µέσω ειδικών πλάνων όταν αυτοί τείνουν να
γίνουν πρόβληµα. Άλλες τακτικές αντιµετώπισης περιγράφονται εδώ:

Risk Response Planning (On-line άρθρο)
Το αποτέλεσµα της διαδικασίας αυτής είναι το Πλάνο Αντιµετώπισης Κινδύνων (Risk
Response Plan). Μπορείτε να βρείτε κάποιες σχετικές φόρµες (template) εδώ:

Risk Response Plan and Register

Risk Response Plan Template
Το πλάνο αυτό αναφέρεται και ως Contingency Plan. Συντάσσεται για κάθε κίνδυνο
ο οποίος έχει µεγάλη πιθανότητα να εξελιχθεί σε πρόβληµα αλλά και σοβαρές
συνέπειες. Θα πρέπει να διατυπώνει µε µεγαλύτερη λεπτοµέρεια από τη φόρµα
καταγραφής κινδύνου:
• τη στρατηγική που θα ακολουθηθεί όταν ο κίνδυνος γίνει πρόβληµα
• το χρονικό περιθώριο στο οποίο το πλάνο θα είναι ενεργό
• ποιος είναι αρµόδιος για την ενεργοποίησή του
• µία λίστα µε άτοµα (εσωτερικά ή εξωτερικά στο έργο) τα οποία θα πρέπει να
ειδοποιηθούν ότι το πλάνο είναι ενεργό.
Η σύνταξη του πλάνου εξαρτάται από τον κίνδυνο που αντιµετωπίζει. Είναι
σηµαντικό για το έργο να συνταχθεί ένα ρεαλιστικό πλάνο, ικανό να ανταπεξέλθει
στις απαιτήσεις του έργου. Μία τεχνική για τη σύνταξή του είναι η καταγραφή των
απαντήσεων στην παρακάτω λίστα ερωτήσεων:
1. Πως θα είναι γνωστό στους υπευθύνους του πλάνου ότι ένας κίνδυνος
πρόκειται να γίνει πρόβληµα ή πρόκειται να γίνει πρόβληµα;
2. Όταν προκύψει ο κίνδυνος, πως θα γίνει γνωστό πότε θα πρέπει να
εφαρµοστεί το πλάνο;
3. Ποια προετοιµασία θα πρέπει να γίνει για να δουλέψει το πλάνο;
4. Έχει δοκιµαστεί το πλάνο;
5. Ποιος θα είναι υπεύθυνος για να εφαρµόσει το πλάνο;
6. Ποιο θα πρέπει να ειδοποιηθούν ότι το πλάνο ενεργοποιήθηκε;
7. Ποιες αλλαγές θα γίνουν στο έργο µε την ενεργοποίηση του πλάνου; Θα
αλλάξουν τα παραδοτέα, το κόστος ή οι προδιαγραφές;
8. Πως θα επηρεαστεί το χρονοδιάγραµµα του έργου;
9. Θα χρειαστεί επιπλέον προσωπικό;

18
 10. Θα χρειαστεί επιπλέον υλικό ή/και λογισµικό;
11. Ποιος είναι υπεύθυνος για την επικοινωνία;
Σχετικές φόρµες (templates) µπορείτε να βρείτε εδώ:

Contingency Plan Template και οδηγίες (Contingency Planning Template
Instructions)

Risk Contingency Plan Template
∆ραστηριότητα 5.
Χρησιµοποιώντας µία από τις παραπάνω φόρµες, να συντάξετε ένα απλό πλάνο
αντιµετώπισης των 5 κυριότερων κινδύνων της δραστηριότητας 3.

Άσκηση Αυτό-αξιολόγησης 2
Είστε υπεύθυνος έργου και θέλετε να κάνετε µία συνάντηση για να καθορίσετε το
επίπεδο των κινδύνων του έργου. Σε ποιο πλάνο καταγράφονται τα ονόµατα αυτών
που θα πρέπει να συµµετάσχουν στη συνάντηση;
1. Πλάνο ∆ιαχείρισης Κρίσεων
2. Πλάνο ∆ιαχείρισης Κινδύνων
3. Φόρµα Καταγραφής Κινδύνων
4. Πλάνο ∆ιαφυγής και Εξόδου

2.7 Παρακολούθηση και έλεγχος κινδύνων (Risk Monitoring and Control)

Μία συνεχής διαδικασία παρακολούθησης των υπαρχόντων κινδύνων και
ενηµέρωσης των πλάνων διαχείρισης και αντιµετώπισης κινδύνων. Στηρίζεται κυρίως
σε ελέγχους (audits) και συναντήσεις µεταξύ των µελών της οµάδας έργου.
Περισσότερες πληροφορίες για την τεχνική των ελέγχων µέσω audits µπορείτε να
βρείτε εδώ:

Risk Management Guide (Review Guide) - November 1, 1994, Chapter 2-
Performing The Audit

Αναφορές

Γλωσσάρι Όρων:
http://www.uofaweb.ualberta.ca/riskmanagement/glossary.cfm

19
Οδηγοί / Τεχνικές Αναφορές
1. Risk Management Guide for Information Technology Systems από το NIST
(ΗΠΑ).
2. Τεχνική αναφορά του SEI για risk management
http://www.sei.cmu.edu/risk/documents.html
3. Α Risk Management Standard από το The Institute of Risk Management
∆ηµοσιεύσεις
(Οι υπερσύνδεσµοι οδηγούν στο Portal της ACM. Από εκεί και µέσω της βιβλιοθήκης
του ΕΑΠ µπορείτε να προσπελάσετε το πλήρες κείµενο είτε ο εκδότης είναι η ACM
είτε κάποιος άλλος.)
1. Davide Aloini, Riccardo Dulmin, Valeria Mininno, Risk management in ERP
project introduction: Review of the literature, September 2007, Information
and Management, Volume 44 Issue 6.
2. H. Edmiston, The role of systems and applications monitoring in operational
risk management, January 2007, BT Technology Journal, Volume 25 Issue 1.
3. Mary Sumner, Risk factors in enterprise wide information management
systems projects, April 2000, Proceedings of the 2000 ACM SIGCPR
conference on Computer personnel research SIGCPR '00.

Απαντήσεις Ασκήσεων Αυτό-αξιολόγησης

Άσκηση Αυτό-αξιολόγησης 1
Σύµφωνα µε την ανάλυση του κειµένου, σωστές είναι οι 2 και 3. Η 1 είναι λάθος γιατί
ναι µεν η αναγνώριση των κινδύνων στην αρχή του έργου ίσως συµβάλει στη µείωση
του κόστους, δεν είναι όµως η τελευταία ευκαιρία για να γίνει αυτό. Η 4 είναι επίσης
λάθος. Η ποιοτική ανάλυση δίνει µία εικόνα για τους κινδύνους όχι όµως και τόσο
λεπτοµερή όπως αυτή που δίνει η ποσοτική ανάλυση.
Άσκηση Αυτό-αξιολόγησης 2
Το πλάνο διαχείρισης κινδύνων περιέχει απαραίτητα τα ονόµατα αυτών που είναι
υπεύθυνοι ή θα πρέπει να ειδοποιηθούν για την αναγνώριση /παρακολούθηση
/αντιµετώπιση των κινδύνων.

20