Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu phương pháp quản trị rủi ro hướng mục tiêu và thử nghiệm ứng dụng trong xây dựng cổng thông tin điện tử Bộ GTVT

Chia sẻ: Hứa Tung | Ngày: | Loại File: PDF | Số trang:75

Thêm vào BST

Báo xấu

48
lượt xem 8
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu phương pháp quản trị rủi ro hướng mục tiêu và thử nghiệm ứng dụng trong xây dựng cổng thông tin điện tử Bộ GTVT được thực hiện với mục tiêu nhằm xác định rủi ro trong các hoạt động có ảnh hưởng đến chi phí dự án và thời gian thực hiện dự án. Phân tích rủi ro sẽ được tiến hành thông qua phương pháp quản trị rủi ro hướng mục tiêu. Mời các bạn cùng tham khảo,

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu phương pháp quản trị rủi ro hướng mục tiêu và thử nghiệm ứng dụng trong xây dựng cổng thông tin điện tử Bộ GTVT

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI --------------------------------------- Vũ Thị Hoa NGHIÊN CỨU PHƯƠNG PHÁP QUẢN TRỊ RỦI RO HƯỚNG MỤC TIÊU VÀ THỬ NGHIỆM ỨNG DỤNG TRONG XÂY DỰNG CỔNG THÔNG TIN ĐIỆN TỬ BỘ GTVT LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – 2017
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI --------------------------------------- Vũ Thị Hoa NGHIÊN CỨU PHƯƠNG PHÁP QUẢN TRỊ RỦI RO HƯỚNG MỤC TIÊU VÀ THỬ NGHIỆM ỨNG DỤNG TRONG XÂY DỰNG CỔNG THÔNG TIN ĐIỆN TỬ BỘ GTVT Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN …...................................... NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS. TS. HUỲNH QUYẾT THẮNG Hà Nội – 2017
LỜI CẢM ƠN Lời đầu tiên tôi xin chân thành cảm ơn các thầy cô giáo ở Viện Công nghệ thông tin và Truyền thông, ở Trường Đại học Bách Khoa Hà Nội đã giảng dạy tôi trong suốt khóa học, cung cấp những kiến thức cần thiết, cơ sở lý luận khoa học để tôi có thể hoàn thành bài luận văn này. Tôi xin gửi lời cảm ơn sâu sắc tới PGS.TS Huỳnh Quyết Thắng đã tận tình chỉ bảo, giúp đỡ tôi trong suốt quá trình làm luận văn. Tôi xin chân thành cảm ơn các thầy cô giáo trong Viện Đào tạo Sau đại học, Viện CNTT-TT đã tạo điều kiện và giúp đỡ tôi trong quá trình học tập và nghiên cứu tại trường. Xin cảm ơn những bạn bè trong tập thể lớp CNTT15B đã chung vai sát cánh vượt qua những khó khăn, thử thách, cùng nhau vững bước trên con đường học tập đầy gian nan, vất vả. Xin trân trọng cảm ơn! i
LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn " Nghiên cứu phương pháp quản trị rủi ro hướng mục tiêu và thử nghiệm ứng dụng trong xây dựng cổng thông tin điện tử Bộ GTVT " là do bản thân tôi thực hiện dưới sự hướng dẫn của PGS.TS. Huỳnh Quyết Thắng, Viện Công nghệ thông tin và Truyền thông, Trường ĐH Bách khoa Hà Nội. Các thông tin số liệu và kết quả trong Luận văn có nguồn gốc rõ ràng, nội dung của Luận văn chưa từng được công bố trong bất kỳ một công trình nghiên cứu nào ở trong nước. Hà Nội, tháng năm 2017 Tác giả Luận văn Vũ Thị Hoa ii
MỤC LỤC LỜI CẢM ƠN ............................................................................................................. i LỜI CAM ĐOAN ...................................................................................................... ii MỤC LỤC ................................................................................................................. iii DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT ...............................................v DANH MỤC CÁC HÌNH VẼ.................................................................................. vii MỞ ĐẦU .....................................................................................................................1 1. Lý do chọn đề tài ........................................................................................1 2. Mục đích nghiên cứu ..................................................................................1 3. Nhiệm vụ nghiên cứu .................................................................................1 4. Phạm vi nghiên cứu và giới hạn .................................................................2 5. Phương pháp nghiên cứu ............................................................................2 6. Giả thuyết khoa học ...................................................................................2 Chương I: TỔNG QUAN VỀ RỦI RO DỰ ÁN PHẦN MỀM...................................3 1.1 Quản lý rủi ro ................................................................................................3 1.1.1 Khái niệm về rủi ro ........................................................................................... 3 1.1.2 Rủi ro phần mềm .............................................................................................. 4 1.1.3 Quản lý rủi ro .................................................................................................... 5 1.2 Phân loại rủi ro trong các dự án phần mềm...................................................7 1.2.1 Nhóm các mối ràng buộc và cam kết ............................................................... 8 1.2.2 Nhóm về kỹ thuật phát triển phần mềm ........................................................... 8 1.2.3 Nhóm về môi trường phát triển dự án ............................................................ 10 1.3 Quy trình quản lý rủi ro ...............................................................................11 1.3.1 Nhận diện rủi ro .............................................................................................. 12 1.3.2 Phân tích rủi ro và xếp hạng ........................................................................... 14 1.3.3 Kiểm soát rủi ro .............................................................................................. 16 1.3.4 Giám sát và điều chỉnh ................................................................................... 17 1.4. Giới thiệu về dự án xây dựng cổng thông tin điện tử Bộ GTVT ...............17 1.4.1. Giới thiệu dự án ............................................................................................. 17 1.4.2. Các mục tiêu và yêu cầu ................................................................................ 18 1.5. Tiểu kết chương ..........................................................................................19 Chương II: PHƯƠNG PHÁP QUẢN TRỊ RỦI RO HƯỚNG MỤC TIÊU ....................20 2.1. Tổng quan về quản trị rủi ro hướng mục tiêu.............................................20 2.1.1. Mô hình quan hệ của quản trị rủi ro hướng mục tiêu .................................... 20 2.1.2.Mô hình lớp của quản trị rủi ro hướng mục tiêu: ........................................... 22 2.2. Mô hình quy trình và hoạt động thực hiện của phương pháp ....................27 iii
2.2.1. Hoạt động 1: Khởi tạo ................................................................................... 28 2.2.2. Hoạt động 2: Xác định mục tiêu .................................................................... 30 2.2.3. Hoạt động 3: Xác định trở ngại ..................................................................... 31 2.2.4. Hoạt động 4: Đánh giá rủi ro ......................................................................... 33 2.2.5. Hoạt động 5: Quản lý và giám sát rủi ro........................................................ 34 2.2.6. Đặc tả rủi ro (Risk Specification) .................................................................. 37 2.3. Vai trò và trách nhiệm (Roles & Responsibilities) ....................................37 2.3.1. Người quản lý rủi ro: ..................................................................................... 37 2.3.2. Chủ dự án: ..................................................................................................... 38 2.3.3. Người quản lý dự án: ..................................................................................... 38 2.3.4. Người tham gia dự án: ................................................................................... 39 2.3.5. Người sử dụng: .............................................................................................. 39 2.3. Ý tưởng áp dụng quản trị rủi ro hướng mục tiêu trong các dự án phần mềm ...40 2.4. Kết luận chương 2 ......................................................................................40 Chương III. ỨNG DỤNG THỬ NGHIỆM PHƯƠNG PHÁP QUẢN TRỊ RỦI RO HƯỚNG MỤC TIÊU TRONG DỰ ÁN XÂY DỰNG CỔNG THÔNG TIN ĐIỆN TỬ BỘ GTVT ...........................................................................................................41 3.1.Xây dựng giải pháp ứng dụng .....................................................................41 3.1.1. Mô hình hóa chức năng ................................................................................. 41 3.1.2.Thiết kế các thực thể ....................................................................................... 41 3.1.3. Thiết kế cơ sở dữ liệu .................................................................................... 42 3.1.4. Xây dựng các chức năng phần mềm .............................................................. 49 3.2. Sử dụng phần mềm áp dụng trong quản trị rủi ro xây dựng phần mềm cổng thông tin Bộ GTVT ................................................................................................51 3.3. Đánh giá và kết luận ...................................................................................61 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI .........................................63 1. Kết luận .........................................................................................................63 2. Hướng phát triển của đề tài. ..........................................................................63 TÀI LIỆU THAM KHẢO .........................................................................................65 iv
DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT CNTT Công nghệ thông tin CMMi Capability Maturity Model Integration SEI Software Engineering Institude Viện công nghệ phần mềm Hoa Kỳ PMP Project Management Professional PMI Project Management InstituteViện quản trị dự án SWOT Tập hợp viết tắt những chữ cái đầu tiên của các từ tiếng Anh: Strengths (Điểm mạnh), Weaknesses (Điểm yếu), Opportunities (Cơ hội) và Threats (Thách thức) v
DANH MỤC CÁC BẢNG Bảng 3.1 : Mô tả bảng người sử dụng Users .............................................................43 Bảng 3.2 : Mô tả bảng Projects .................................................................................43 Bảng 3.3 : Mô tả bảng Goal_Categories ...................................................................44 Bảng 3.4: Mô tả bảng Goals ......................................................................................44 Bảng 3.5 : Mô tả bảng Risk_factors ..........................................................................45 Bảng 3.6 : Mô tả bảng Risk_types ............................................................................45 Bảng 3.7: Mô tả bảng Risks ......................................................................................46 Bảng 3.8: Mô tả bảng Riskfactor-Riskevent .............................................................46 Bảng 3.9: Mô tả bảng riskfactor-goal .......................................................................47 Bảng 3.10 : Mô tả bảng Agents .................................................................................47 Bảng 3.11 : Mô tả bảng Methods ..............................................................................48 Bảng 3.12 : Mô tả bảng Conflicts .............................................................................48 Bảng 3.13 : Mô tả bảng fitness..................................................................................49 Bảng 3.14 : Xây dựng và quản lý các mục tiêu của Dự án .......................................53 Bảng 3.15. Xác định và quản lý các yếu tố nguy cơ .................................................56 Bảng 3.16. Xây dụng các rủi ro có thể xảy ra trong quá trình thực hiện dự án ........58 Bảng 3.17. Xây dụng phương pháp xử lý rủi ro và theo dõi rủi ro ...........................59 vi
DANH MỤC CÁC HÌNH VẼ Hình 1.1: Quy trình cơ bản quản lý rủi ro cơ bản .....................................................11 Hình 1.2: Mối quan hệ và trình tự các bước trong quy trình kiểm soát rủi ro ..........12 Hình 1.3: Một số chiến lược và minh hoạ các phương pháp đối phó rủi ro thường gặp .............................................................................................................................16 Hình 2.1: Mô hình quan hệ của phương pháp quản trị rủi ro hướng mục tiêu [4]....20 Hình 2.2: Mô hình lớp của phương pháp quản trị rủi ro hướng mục tiêu [4] ...........27 Hình 2.3: Mô hình của phương pháp quản trị rủi ro hướng mục tiêu [4] .................28 Hình 2.4: Chiến lược kiểm soát rủi ro .......................................................................36 Hình 3.1 Biểu đồ usecase sử dụng của hệ thống .......................................................41 Hình 3.2 Biểu đồ UML các thực thể trong một dự án ..............................................42 Hình 3.3 Cơ sở dữ liệu – quan hệ giữa các bảng ......................................................42 Hình 3.4: Giao diện trang đăng nhập ........................................................................51 Hình 3.5: Giao diện trang quản lý rủi ro dự án .........................................................51 vii
MỞ ĐẦU 1. Lý do chọn đề tài Trong một vài thập niên gần đây, đặc biệt là cuối thế kỉ 20 đầu thế kỉ 21, đã có sự tăng lên mạnh mẽ của ứng dụng phần mềm. Do đó sự phức tạp trong phát triển phần mềm cũng tăng đáng kể trong những năm này. Vấn đề quản lí bao gồm các vấn đề về cấu trúc dự án, tài nguyên dự án, phương pháp quy hoạch và quản lí rủi ro chưa đầy đủ. Như vậy rủi ro trong các dự án phần mềm là không thể tránh khỏi. Mọi rủi ro đều tạo ra vấn đề, đều gây ảnh hưởng xấu tới các dự án phần mềm, do đó những kỹ sư phần mềm phải có những biện pháp nhận diện rủi ro hiệu quả, thẩm định xác suất thực hiện, tác động nếu nó xuất hiện và giải quyết nó một cách hiệu quả để đạt được phần mềm tốt theo yêu cầu của khách hàng. Phương pháp quản trị rủi ro hướng mục tiêu (Goal-Driven Approach) gần đây được sử dụng như là một hướng tiếp cận mới trong quản trị rủi ro của các dự án phần mềm. Luận văn sẽ tìm hiểu về phương pháp này và thử nghiệm ứng dụng trong Dự án xây dựng cổng thông tin điện tử Bộ GTVT. 2. Mục đích nghiên cứu Mục đích chính của nghiên cứu này là để xác định rủi ro trong các hoạt động có ảnh hưởng đến chi phí dự án và thời gian thực hiện dự án. Phân tích rủi ro sẽ được tiến hành thông qua phương pháp quản trị rủi ro hướng mục tiêu. Mục đích chính của nghiên cứu này là tìm hiểu về quản trị rủi ro, tập trung vào phương pháp quản trị rủi ro hướng mục tiêu trong các dự án phát triển phần mềm. Xây dựng giải pháp ứng dụng phương pháp quản trị rủi ro hướng mục tiêu trong quá trình thực hiện dự án xây dựng cổng thông tin điện tử Bộ GTVT, thử nghiệm và đánh giá kết quả. 3. Nhiệm vụ nghiên cứu Nhiệm vụ thứ nhất: Tìm hiểu về quản trị rủi ro trong dự án phần mềm và dự án xây dựng cổng thông tin điện tử Bộ GTVT, nơi tôi công tác. Nhiệm vụ thứ hai: Tập trung vào phương pháp quản trị rủi ro hướng mục tiêu trong các dự án phát triển phần mềm 1
Nhiệm vụ thứ ba: Xây dựng giải pháp ứng dụng phương pháp quản trị rủi ro hướng mục tiêu trong quá trình thực hiện dự án xây dựng cổng thông tin điện tử Bộ GTVT (lấy một mô-đun thực tế), thử nghiệm và đánh giá kết quả. 4. Phạm vi nghiên cứu và giới hạn Phạm vi nghiên cứu dừng lại ở mức độ tìm hiểu lý thuyết về phương pháp quản trị rủi ro hướng mục tiêu và thử nghiệm áp dụng trong Dự án xây dựng cổng thông tin điện tử Bộ GTVT cho một chức năng cụ thể. Thông tin có thể thay đổi trong quá trình dự án, nhưng các số liệu mô hình hóa được tôi giả định trên các ý kiến chuyên gia và kinh nghiệm bản thân nên không thể mở rộng sự thay đổi hoặc tác động của nó tới dự án. Các số liệu và kết quả mang tính chất khuyến cáo cho các chuyên gia CNTT tham gia vào quá trình thực hiện dự án. 5. Phương pháp nghiên cứu Nghiên cứu sẽ được tiến hành thông qua nghiên cứu mô hình lý thuyết của phương pháp quản trị rủi ro hướng mục tiêu: Tập hợp kiến thức lý thuyết, mô hình hóa, xây dựng phần mềm minh họa. Phần mềm mô phỏng và tiếp cận định tính cũng sẽ được sử dụng qua ý kiến chuyên gia tính để đề xuất các khuyến cáo cho quản lý rủi ro. 6. Giả thuyết khoa học Về lý thuyết: - Tổng hợp các thông tin liên quan từ các nguồn: Các tạp chí khoa học chuyên ngành trong và ngoài nước, internet, lựa chọn các cách tiếp cận đã được áp dụng thành công. - Trao đổi với thầy hướng dẫn và các chuyên gia tại Trung tâm tin học Bộ Giao thông vận tải. Về thực nghiệm: - Tìm hiểu một số dự án cụ thể và nghiên cứu rủi ro trong dự án. - Lập trình thử nghiệm mô hình để kiểm tra, đánh giá độ chính xác. - Thử nghiệm trên các số liệu lấy từ các chuyên gia trong quá trình thực hiện dự án thực tế. 2
Chương I: TỔNG QUAN VỀ RỦI RO DỰ ÁN PHẦN MỀM Trong một vài thập niên gần đây đặc biệt là cuối thế kỷ 20 đầu thế kỷ 21 đã có sự tăng lên mạnh mẽ của ngành tự động hóa. Các ngành tự động hoá này căn bản lại phụ thuộc vào các phần mềm chức năng, do đó sự phức tạp trong phát triển phần mềm cũng tăng đáng kể trong những năm này. Mac Manus đã nhận định 65% dẫn đến thất bại của dự án là do những vấn đề trong quản lý, 35% là những vấn đề về công nghệ. Vấn đề quản lý bao gồm các vấn đề với cấu trúc của dự án, tài nguyên dự án, quy hoạch phương pháp và quản lý rủi ro chưa đầy đủ. Các vấn đề kỹ thuật bao gồm thiết kế phần mềm nghèo nàn, không tuân thủ các yêu cầu phần mềm, kỹ thuật đánh giá và phát triển không đúng. Rủi ro là yếu tố luôn tồn tại trong mọi hoạt động sản xuất, kinh doanh và đời sống và dự án phần mềm cũng không ngoại lệ. Tuy nhiên, với đặc thù riêng của mình, nhận diện và kiểm soát rủi ro trong các dự án phần mềm là điều không hề đơn giản. Mọi rủi ro đều tạo ra vấn đề, đều gây ảnh hưởng xấu tới các dự án phần mềm, do đó những kỹ sư phần mềm phải có những biện pháp nhận diện rủi ro hiệu quả, thẩm định xác suất xuất hiện, tác động nếu nó xuất hiện và giải quyết nó một cách hiệu quả để đạt được phần mềm tốt theo yêu cầu của khách hàng. 1.1 Quản lý rủi ro 1.1.1 Khái niệm về rủi ro Thực tế nghiên cứu các tài liệu cho thấy, có rất nhiều định nghĩa về rủi ro và đến nay vẫn chưa có một khái niệm thống nhất nào về rủi ro. Tùy theo từng quan điểm, các trường phái khác nhau, các tác giả khác nhau lại đưa ra những định nghĩa khác nhau. Nhìn chung có thể chia các khái niệm rủi ro làm hai trường phái là trường phái truyền thống và trường phái hiện đại. Trường phái đầu tiên cho rằng rủi ro là những thiệt hại, mất mát, nguy hiểm hoặc các yếu tố liên quan đến nguy hiểm, khó khăn hoặc điều không chắc chắn (uncertainty) có thể xảy ra cho con người. Trường phái thứ hai quan niệm rủi ro là sự bất trắc có thể đo lường được, vừa mang tính tích cực lẫn tiêu cực. Rủi ro có thể mang đến sự tổn thất nhưng có thể mang lại nhưng lợi ích, cơ hội. Ví dụ, việc xảy ra rủi ro giúp con người nhận thức được 3
những rủi ro có thể xảy ra, nghiên cứu rủi ro và tìm ra được những biện pháp để đề phòng chúng xuất hiện. Rủi ro xuất hiện khi tồn tại đồng thời hai yếu tố cơ bản yếu tố gây rủi ro và đối tượng chịu tác động, ảnh hưởng. Phạm vi nghiên cứu về rủi ro cũng khá phong phú và đa dạng, vì vậy ở đây ta chỉ xét đến rủi ro thường xuất hiện ở khía cạnh kỹ thuật trong các dự án phần mềm. - Rủi ro có hai thuộc tính chủ yếu là xác suất rủi ro sẽ xuất hiện và tác động của rủi ro nếu nó xuất hiện. + Xác suất rủi ro sẽ xuất hiện: Chúng ta có thể dùng tỉ lệ 0 – 8 để mô tả xác suất của rủi ro. Rủi ro có xác suất 0 được gọi là không có cơ hội xuất hiện. Rủi ro có xác suất 8 được gọi là chắc chắn xảy ra. Xác suất trong khoảng 0 – 8 thì rủi ro có cơ hội xuất hiện. + Tác động của rủi ro nếu nó xuất hiện: Chúng ta có thể dùng thang 0-8 để mô tả tác động của rủi ro. Rủi ro với tác động 0 được gọi là không có tác động. Rủi ro với tác động 8 được gọi là đình chỉ (nguy hiểm nghiêm trọng dẫn đến dự án không thực hiện được). 1.1.2 Rủi ro phần mềm Sự phát triển và ứng dụng phần mềm đặt cộng đồng vào nhiều mối đe dọa khác nhau: Thứ nhất, sự thất bại của một dự án phần mềm như là công việc kinh doanh của một doanh nghiệp dẫn đến lãng phí của cải và thời gian cũng như bỏ lỡ một cơ hội kinh doanh. Nguy cơ thất bại như vậy được gọi là rủi ro dự án phần mềm (rủi ro trong phát triển phần mềm, rủi ro dự án CNTT). Thứ hai, đe dọa khác liên quan đến sự an toàn của con người và môi trường. Sự thất bại của một hệ thống phần mềm có thể dẫn đến tai nạn, mà trong trường hợp xấu có thể dẫn đến việc mất đi mạng sống của con người, điều này gọi là rủi ro an toàn phầm mềm. + Sự đe dọa cuối cùng được cụ thể hóa khi một dịch vụ của hệ thống bị hỏng hoặc tài nguyên thông tin của hệ thống bị tổn hại hay thao tác bất lợi dẫn tới tính 4
toàn vẹn của hệ thống bị vi phạm thông qua tác động chủ ý của người tấn công, đe dọa này gọi là rủi ro bảo mật phần mềm. 1.1.3 Quản lý rủi ro - Các bộ mô hình tiêu chuẩn nổi tiếng được ứng dụng nhiều trong dự án phần mềm: Trong các dự án công nghệ thông tin, tỉ lệ thành công theo nghĩa đạt được yêu cầu chất lượng, đúng hạn và không vượt chi là rất không cao, nguyên nhân chủ yếu là do không có, hoặc thực hiện không tốt việc phòng ngừa và xử lý các nguy cơ dẫn đến thất bại của một dự án. Như vậy quản lý rủi ro có vai trò khá quan trọng trong toàn bộ tiến trình quản lý dự án. Trong cả hai bộ mô hình tiêu chuẩn nổi tiếng được ứng dụng nhiều trong dự án phần mềm là CMMI (Capability Maturity Model Integration) của viện công nghệ phần mềm Hoa Kỳ (SEI) và PMP (Project Management Professional) của viện quản trị dự án (PMI) đều xem quản lý rủi ro là một trong những hoạt động cơ bản nhất của quá trình quản trị dự án. Một cách hiểu đơn giản, quản lý rủi ro là cách để quản lý các rủi ro, để làm giảm những tác động của những sự kiện không mong muốn phát sinh trong dự án [7,9,11]. -Tầm quan trọng của quản lý rủi ro: Quản lý rủi ro là một nghệ thuật và những nhận biết khoa học, là nhiệm vụ và là sự đối phó rủi ro thông qua hoạt động của dự án và những mục tiêu đòi hỏi quan trọng nhất của dự án. Quản lý rủi ro thường không được chú ý nhiều trong các dự án, nhưng nó lại giúp cải thiện được sự thành công của dự án trong việc giúp chọn lựa những dự án tốt, xác định phạm vi dự án và phát triển những ước tính có tính thực tế. -Mục đích của quản lý rủi ro trong kỹ nghệ phần mềm: + Quản lý rủi ro giúp cho một dự án tránh khỏi bị thất bại như không hoàn thành dự án như kế hoạch đã định, vượt quá ngân sách và không đáp ứng được sự mong đợi của khách hàng. Quản lý rủi ro tìm kiếm và xem xét từ các góc cạnh khác nhau trong các dự án để đảm bảo rằng những mối đe dọa cho các dự án được xác định và phân tích, tiến hành các chiến lược thích hợp để giảm nhẹ và khống chế rủi 5
ro. Chức năng chính của quản lý rủi ro là đoán nhận được tất cả những rủi ro có khả năng ảnh hưởng đến một dự án, đánh giá mức độ nghiêm trọng và hậu quả, sau đó xác định các giải pháp tùy theo tính chất của các rủi ro. Giảm thiểu tối đa các yếu tố bất ngờ và các vấn đề không mong đợi phát sinh trong suốt quá trình thực hiện của dự án, bằng cách thiết lập ra các kế hoạch cho các tình huống có thể xảy ra. Những kế hoạch này sẽ giảm thiểu tối đa những tình huống có thể dẫn tới các sản phẩm lệch lạc hoặc có thể phá hủy toàn bộ dự án. + Quản lý rủi ro làm giảm tối thiểu khả năng rủi ro, trong khi đó tăng tối đa những cơ hội tiềm năng. Quản lý rủi ro đã xuất hiện trong nhiều thập kỷ. Tuy nhiên chỉ vào khoảng nửa cuối thập kỷ trước nó mới thật sự trở lên quan trọng đối với cộng đồng phần mềm. Trong những năm đầu của thế kỷ trước, các dự án phần mềm chỉ được áp dụng quản lý rủi ro bằng các cách tiếp cận bộc phát, không hề theo một phương pháp hệ thống nào. Tuy nhiên với sự phức tạp đang được tăng lên trong việc phát triển phần mềm, nhiều ngành công nghiệp đã thấy được sự quan trọng của quản lý rủi ro. Trước khi áp dụng bất cứ một quá trình quản lý rủi ro nào, các thành viên trong nhóm thực hiện dự án nên nắm được rõ ràng về các hậu quả sau này của các rủi ro trong dự án của họ như: -Sự mất mát sẽ phát sinh nếu xuất hiện rủi ro: sự mất mát trong dự án phần mềm có thể kể đến như lợi nhuận, thị phần, khách hàng. -Tính nghiêm trọng của sự mất mát. -Tính lâu dài của các rủi ro. -Những mô hình quản lý rủi ro phần mềm phổ biến: Đã có một vài cách tiếp cận quản lý rủi ro phần mềm được đề xuất trong quá khứ. Hầu hết là đánh giá rủi ro trong tất cả các giai đoạn phát triển phần mềm. Kết quả là trong những cách tiếp cận đó, các mô hình quản lý rủi ro đã được áp dụng một cách có kỷ luật. Đó là những cách tiếp cận sau [4]: + Mô hình quản lý rủi ro của Boehm (Win-Win). + Mô hình quản lý rủi ro phần mềm của SEI. 6
Những đóng góp nền tảng của Boehm: Boehm đã đề xuất một mô hình phát triển phần mềm là điều khiển rủi ro. Điểm mạnh trong mô hình này là đã quy công việc vào thành một mô hình xoắn ốc, nhiều rủi ro được loại bỏ tại những giai đoạn sớm nhất thay vì sẽ gặp phải những rào cản dự án ở những giai đoạn sau. Boehm đã mở rộng mô hình xoắn ốc của ông bằng cách sử dụng lý thuyết mô hình win-win, với mục tiêu đáp ứng các mục đích và mối quan tâm của các bên liên quan. Năm 1991, Boehm cũng đề xuất ra một khung quản lý rủi ro, giúp tìm ra được những nguồn rủi ro chính, phân tích và phân giải chúng. Tiếp cận quản lý rủi ro phần mềm của SEI [11]: SEI đã cung cấp một khuôn khổ quản lý rủi ro toàn diện bao gồm trong ba nhóm: Đánh giá rủi ro phần mềm, quản lý rủi ro liên tục, nhóm quản lý rủi ro. - Đánh giá rủi ro phần mềm liên quan đến nhận biết, phân tích, liên lạc và các chiến lược làm giảm nhẹ quản lý rủi ro phần mềm. Phân loại rủi ro bao gồm rủi ro trong yêu cầu, rủi ro trong thiết kế, rủi ro viết code và kiểm thử, rủi ro hợp đồng… - Quản lý rủi ro liên tục được tiếp cận trên nguyên tắc cung cấp các tiến trình, phương thức và công cụ liên tục cho quá trình quản lý rủi ro trong tất cả các giai đoạn của vòng đời phần mềm. - Nhóm quản lý rủi ro liên quan với sự phát triển của các phương pháp luận, các chương trình và các công cụ trong sự phát triển mối quan hệ giữa khách hàng và nhà cung cấp. Ba nhóm trên đều có tác dụng tương hỗ với nhau, chẳng hạn một nhóm được định hướng tiếp cận cho quản lý rủi ro cũng có thể hỗ trợ được cho quản lý rủi ro liên tục. 1.2 Phân loại rủi ro trong các dự án phần mềm Trong thực tế, khả năng xuất hiện cũng như tác hại của các rủi ro ở những dự án khác nhau là hoàn toàn khác nhau. Có những rủi ro xuất hiện trong rất nhiều dự án, nhưng tác hại gây ra lại không lớn, hoặc chỉ lớn trong vài dự án. Ngược lại, một số rủi ro chỉ xảy ra trong những điều kiện hoặc dự án nhất định, nhưng tác hại do chúng gây ra là rất lớn, hoặc tác hại có thể dự đoán và ngăn ngừa được. Có những 7
rủi ro có thể tránh được nếu ta phát hiện sớm, có những rủi ro buộc phải chấp nhận và phải có hành động đối phó hoặc khắc phục. Các rủi ro rất đa dạng và chúng xuất phát từ nhiều nguồn khác nhau, từ bên ngoài lẫn từ nội bộ dự án hoặc tổ chức. Theo phân tích của Viện công nghệ phần mềm Mỹ SEI, thông thường các rủi ro xuất phát hoặc phân loại từ ba nhóm sau [11]: - Nhóm các mối ràng buộc và cam kết, - Nhóm về kỹ thuật phát triển phần mềm, - Nhóm về môi trường phát triển dự án. 1.2.1 Nhóm các mối ràng buộc và cam kết Bao gồm các rủi ro liên quan đến các mối ràng buộc bên trong lẫn bên ngoài. Các rủi ro thường xoay quanh các vấn đề sau: Về nguồn lực, các mối ràng buộc bên ngoài tác động đến thời gian, nhân lực, ngân sách hoặc phương tiện tài trợ cho dự án. Về hợp đồng, các điều khoản ràng buộc đã cam kết trong hợp đồng giữa hai bên, thời hạn thực hiện dự án, các yêu cầu nghiệm thu, các yêu cầu về phạm vi dự án và các thay đổi. Về đối tác, bao gồm điều cam kết và ràng buộc khác đối với khách hàng, thầu phụ, ban giám đốc. Một số rủi ro thường gặp trong thực tế bao gồm: Thời gian thực hiện dự án quá gấp: Thời hạn thực hiện và bàn giao sản phẩm quá ngắn, xuất hiện ngay từ đầu dự án, hoặc có khả năng xuất hiện cao trong lúc thực thi. Các rủi ro này liên quan đến các điều cam kết cấp cao, hoặc do quá thiếu dữ liệu để ước lượng, hoặc do dự án sử dụng công nghệ mới, độ phức tạp cao do đó rủi ro hầu như được “nhìn thấy” trước. Thiếu thời gian cho kiểm định: Kiểm thử phần mềm là một khâu khá quan trọng và chiếm nhiều thời gian, đặc biệt ở các giai đoạn cuối. Tuy nhiên, trong nhiều dự án, thời lượng và nhân lực cho giai đoạn này lại khá hạn chế. Các yếu tố dẫn đến rủi ro này thường liên quan đến tính chất đặc thù của dự án như khả năng sinh lỗi cao, hoặc do dự án có yêu cầu thay đổi quá nhiều. 1.2.2 Nhóm về kỹ thuật phát triển phần mềm Bao gồm các rủi ro liên quan đến kỹ thuật phát triển phần mềm. Các rủi ro có thể liên quan đến các chặng hay nhóm tác vụ liên quan đến kỹ thuật của dự án như 8
công nghệ mới, yêu cầu không rõ ràng, thiết kế không tuân thủ các tiêu chuẩn, quy trình của khách hàng khó hiểu, phức tạp, hệ thống cũ thiếu tài liệu, thiếu công cụ kiểm định theo chuẩn mực…Các rủi ro thường xoay quanh các vấn đề liên quan đến yêu cầu của dự án: Thường gây ra sự hiểu lầm giữa hai bên, hoặc có sự cách biệt lớn so với những ước lượng từ ban đầu; thiết kế. Điều này xảy ra khi thiết kế không phản ánh đúng yêu cầu của phần mềm, hoặc phần mềm vẫn chạy nhưng kém hiệu quả, không phản ánh đúng các mối ràng buộc khi sử dụng phần mềm. Rủi ro liên quan đến kỹ thuật cũng phát sinh khi việc phát triển dự án không phản ánh đúng các thiết kế, và chương trình chứa đựng nhiều lỗi nội tại ở mức đơn vị. Ở khâu tích hợp và kiểm định, sản phẩm chứa đựng nhiều sai sót khi tích hợp, hoặc chứa đựng lỗi tiềm ẩn do kiểm định chưa hết cũng dẫn đến những rủi ro về kỹ thuật. Cuối cùng là các yêu cầu đặc biệt khác, thường là về tính an toàn của phần mềm, tính ổn định trong môi trường vận hành thực, bảo mật dữ liệu. Minh họa cho nhóm này, một số rủi ro thường gặp trong thực tế bao gồm [11]: Yêu cầu khó hiểu, nhiều thay đổi: Rủi ro này bắt gặp trong rất nhiều dự án, và là một trong những nguyên nhân phổ biến nhất làm cho dự án kéo dài và thậm chí thất bại. Rủi ro liên quan đến nhiều trạng thái dẫn đến việc hiểu sai, bỏ sót hoặc bị quá tải các yêu cầu và thay đổi củadự án, thông thường bao gồm các yêu cầu: -Không đủ, không rõ ràng, văn phong trừu tượng, thiếu dữ liệu. -Mâu thuẫn nhau, thiếu chặt chẽ hoặc qúa sơ sài. -Thay đổi quá nhiều và thường xuyên (hằng ngày, hằng tuần). -Thay đổi sát lúc hoàn thành dự án. -Tài liệu yêu cầu quá đồ sộ, do nhiều người tham gia. Kiểm thử mức đơn vị (unit test) nghèo nàn: Rủi ro này khá phổ biến trong nhiều dự án. Kiểm định mức đơn vị phải do lập trình viên (developer) thực hiện trước khi bàn giao sản phẩm để tích hợp và kiểm định mức hệ thống (system test). Công việc này đòi hỏi thời gian, do đó nếu không giám sát chặt chẽ, nó thường bị bỏ qua hoặc làm chiếu lệ. Rủi ro này sẽ dẫn đến những lỗi phần mềm tiềm ẩn rất 9
khó phát hiện và chỉnh sửa khi phần mềm đi vào hoạt động, hoặc nếu chỉnh sửa sẽ tốn rất nhiều công sức. 1.2.3 Nhóm về môi trường phát triển dự án Bao gồm các rủi ro liên quan đến các điều kiện hỗ trợ và bảo đảm dự án được thực thi tốt. Chẳng hạn, các rủi ro liên quan đến bất đồng ngôn ngữ, môi trường phát triển với kỹ thuật quá mới, phong cách quản lý không phù hợp, môi trường và công cụ truyền thông kém, thiếu phần mềm do bị ràng buộc về vấn đề bản quyền, môi trường làm việc chật chội, nóng bức, thiếu hệ thống backup dữ liệu và nguồn điện dự phòng… Các rủi ro thường liên quan đến bốn vấn đề sau: Thứ nhất là quy trình, bao gồm kế hoạch phát triển dự án, tài liệu, sự ràng buộc tuân thủ quy trình, truyền thông giữa các nhóm, phương pháp phát triển dự án, khả năng của trưởng dự án, sự giám sát của cấp trên hoặc của khách hàng; Thứ hai là kỹ thuật, dùng để phát triển dự án, ngôn ngữ, phần mềm có bản quyền, các bộ giả lập, biên dịch, hệ thống máy tính…, công nghệ mới; Thứ ba là môi trường làm việc như văn hóa, thói quen, thái độ, tinh thần làm việc, sự hợp tác với nhau của nhân viên. Rủi ro về môi trường, luật pháp, sự ổn định về chính trị; và thứ tư là nhân lực như trình độ, kỹ năng và kinh nghiệm của nguồn lực, bất đồng ngôn ngữ, các xung đột. Minh họa cho nhóm này, một số rủi ro thường gặp trong thực tế bao gồm: Nhân viên thiếu kiến thức và kinh nghiệm: Rủi ro này liên quan đến vấn đề trình độ, kiến thức và kinh nghiệm của nhân viên dự án yếu kém (nhất là nhân viên mới), không đáp ứng được yêu cầu khắt khe của dự án, đặc biệt là các dự án sử dụng công nghệ và kỹ thuật mới, độ phức tạp cao, dự án được phát triển dựa trên hệ thống đã có sẵn, đòi hỏi nhân viên phải am hiểu. Rào cản ngôn ngữ: Rủi ro về rào cản ngôn ngữ mang tính tự nhiên và xảy ra trong hầu hết cácdự án làm cho đối tác nước ngoài. Trong thực tế, rủi ro về tiếng Anh là phổ biến nhưng các dự án có thể khắc phục được do hầu hết kỹ sư đều có thể làm việc với tài liệu tiếng Anh, một số khó khăn lớn nhất thường chỉ liên quan đến giao tiếp trực tiếp. Ngược lại, rủi ro về tiếng Nhật và Pháp được lưu ý đặc biệt vì 10
mức độ nghiêm trọng của chúng. Hầu hết kỹ sư không thể hiểu và làm việc trực tiếp với tiếng Nhật và Pháp, đều phải qua trung gian là các kỹ sư cầu nối (Bridge Engineer). 1.3 Quy trình quản lý rủi ro Nhận diện và kiểm soát tốt rủi ro chỉ bằng những kỹ năng và kinh nghiệm cá nhân không thì chưa đủ, việc kiểm soát rủi ro phải được thực hiện theo một quy trình chặt chẽ và phù hợp với đặc thù, mục tiêu và ngân sách của dự án. Tổng quát, quy trình cơ quản lý rủi ro bao gồm các bước chính được trình bày ở Hình 1.1. Ở mức chi tiết hơn, quy trình quản lý rủi ro bao gồm các bước cùng với trình tự xử lý và mối quan hệ giữa chúng như trình bày ở Hình 1.2 Hình 1.1: Quy trình cơ bản quản lý rủi ro cơ bản 11