Bài giảng Quản lý dự án phần mềm - Chương 6: Quản lý rủi ro - Nguyễn Anh Hào

QUẢN LÝ RỦI RO
 Nguyễn Anh Hào
Khoa CNTT – HV CNBCVT II
 2005 - 2006
 Quản lý rủi ro
• Rủi ro là sự kiện (biến cố) không chắc chắn xãy ra, mà nếu có xãy ra 
 thì nó sẽ có tác động tốt hoặc xấu đến dự án.
 – Phát sinh từ nhận thức về tương lai, dựa trên ước lượng, giả định 
 hoặc đặc điểm nguồn lực, thời hạn và yêu cầu.
• Quản lý rủi ro là “các tiến trình có tính hệ thống để xác định, phân 
 tích và ứng phó với các rủi ro, để tận dụng tối đa khả năng xuất hiện
 và tác động của các biến cố tích cực, đồng thời giảm thiểu tối đa khả 
 năng xuất hiện và tác động của các biến cố tiêu cực”. 
• Mặc dù rủi ro thường tạo ra các tác động xấu đến dự án, nhưng dự 
 án cần phải xem xét và tận dụng các tác động tích cực hoặc các cơ 
 hội phát sinh từ các rủi ro (ie, không cố gắng tránh tất cả các rủi ro) 
 để giúp cho dự án đạt được mục tiêu nhanh hơn và ít tốn kém hơn. 
• Đối với các rủi ro có tác động xấu đến dự án, hoạt động phòng ngừa 
 cần phải được ưu tiên hơn các hoạt động khắc phục rủi ro.
 1.Tiến trình xác định rủi ro
• Là tiến trình xác định và thiết lập danh sách các nguy cơ
 (threats) và cơ hội (opportunities) có ảnh hưởng đến dự án.
 Framework:
 Internal
 1. Các rủi ro tác động đến MOV cần 
 Scope phải được xem xét trước tiên.
 2. Xem xét các rủi ro tác động lên 
 Budget MOV Quality các mục tiêu quản lý chất lượng, 
 phạm vi, thời gian, và chi phí. 
 Schedule 3. Xem xét các yếu tố tác động từ 
 môi trường bên trong và bên 
 External ngoài của dự án. 
 Risk Framework
 Kỹ thuật xác định rủi ro
• Learning cycle. Dựa trên các sự kiện đã biết, các giả định và nghiên 
 cứu để tìm các rủi ro có thể xảy ra đối với dự án. Các rủi ro này được 
 giả lập để đo mức độ ảnh hưởng, và để xác định cách phòng ngừa.
• Cause & Effect. Kỹ thuật phân tích rủi ro dựa trên các quan hệ nguyên 
 nhân – hậu quả, các yếu tố được phân loại chính-phụ, và diễn tả bằng 
 lược đồ Ishikawa
• Brainstorming. Dựa trên các ý kiến phát sinh từ nhiều quan điểm (của 
 nhiều người) khác nhau về dự án để phân loại các rủi ro và mức độ 
 ảnh hưởng đến dự án. Đây là một phương pháp làm việc theo nhóm.
• Delphi Technique. Sử dụng phương tiện hổ trợ làm việc nhóm, dùng 
 “bí danh”, và ý kiến của 1 người sẽ được chuyển cho người khác để 
 góp ý thêm.
• Interviewing. Phỏng vấn những người có nhiều kinh nghiệm trong dự 
 án hoặc tương tự. Kỹ thuật này phụ thuộc rất nhiều vào trình độ của 
 người được phỏng vấn và người phỏng vấn, cũng như cách phỏng 
 vấn.
 Giám sát các thay đổi (1)
 Các thay đổi không được chuẩn bị trước thường là nguyên 
 nhân của các rủi ro. Có 4 loại thay đổi chính gây ra rủi ro:
1. Con người. sự nổ lực của mỗi cá nhân phụ thuộc vào tâm 
 lý, sức khỏe, hoàn cảnh,cơ hội thăng tiến, nếu có thay 
 đổi trong các yếu tố này, sự nổ lực cá nhân cho công việc 
 sẽ bị thay đổi (trễ hạn).
2. Công nghệ. Vai trò của công nghệ đối với các tiến trình là 
 trợ giúp phương pháp tối ưu cho các xử lý, đồng thời chuẩn 
 hoá các hoạt động nhân công. Thay đổi công nghệ có thể 
 gây rủi ro do nhận thức chưa đầy đủ ở cả 2 khía cạnh: tích 
 hợp hệ thống, và ứng dụng.
 Giám sát các thay đổi (2)
3. Cấu trúc dự án. Dự án là một hệ thống có cấu trúc liên kết 
 nhiều thành phần, vd: liên kết các tiến trình, các 
 stakeholders, users và người phát triển, Nếu có sự thay 
 đổi trong cấu trúc liên kết này, cơ chế vận hành của dự án 
 sẽ bị ảnh hưởng lớn.
4. Công việc. Các kế hoạch công việc được biết sớm là cơ sở 
 để chuẩn bị cho công việc gồm nhiều hoạt động như 
 nghiên cứu, tập huấn, tìm công cụ, sắp xếp lịch cá nhân,...; 
 thay đổi về công việc thường làm bỏ đi những gì đã được 
 chuẩn bị (đã quen) trước đây để làm công việc mới → 
 thiếu sự chuẩn bị trước dẫn đến thiếu sót trong công việc
 2.Tiến trình phân tích & đánh giá rủi ro
• Là tiến trình xác định mức độ tác động của các rủi ro đến dự 
 án (có thể tích cực hoặc tiêu cực), để quyết định có cần thiết 
 lập các hoạt động phòng ngừa, khắc phục hay không.
• Mục đích của phân tích rủi ro là xác định khả năng xuất 
 hiện của các rủi ro và mức độ tác động của rủi ro lên dự án.
• Mục đích của đánh giá rủi ro là để xác định thứ tự ưu tiên 
 của các rủi ro để đối phó có hiệu quả nhất.
 Expect value
• Xem xét giá trị của các rủi ro đối với dự án (A*B), dựa trên xác suất 
 xảy ra (A) và ảnh hưởng của từng rủi ro (B) lên dự án. A*B là khả 
 năng thu được giá trị ảnh hưởng từ các rủi ro.
 Xác suất Thưởng / Điểm
Thời hạn hoàn thành ( A ) Phạt ( B ) (A * B)
Dự án hoàn tất sớm hơn 20 ngày 5 % $ 200,000 $ 10,000
Dự án hoàn tất sớm hơn 10 ngày 20 % $ 150,000 $ 30,000
Dự án hoàn tất đúng thời hạn 50 % $100,000 $ 50,000
Dự án hoàn tất trễ hơn 10 ngày 20 % - -
Dự án hoàn tất trễ hơn 20 ngày 5 % - $ 50,000 - $ 3,000
(các rủi ro độc lập nhau) 100 %
 Decision tree
• Ví dụ: để quyết định chọn Full test hay Limited test, dự án 
 cần phân tích 2 phương án testing này. 
• Full test cần $10,000 để test 95% số lỗi, 5% lỗi còn lại nếu 
 bị phát hiện thì dự án sẽ phải chi thêm $2,000 để sửa lỗi. 
 Như vậy xác suất để sản phẩm được chấp nhận là 95% với 
 chi phí $10,000. 
• Đối với Limited test, xác suất được chấp nhận chỉ có 30% 
 với chi phí kiểm thử và sửa lỗi là $8,000.
• Vấn đề đối với người quản lý dự án là chọn phương án rủi 
 ro cao (Limited test) để có lợi nhuận lớn hay ngược lại.
 Decision tree
 EV(FullTest) = 0.95*I1+0.05*I2 I1 = 10000+0 
 = 10100 = 10000
 Pass 
 95% $ 0
 Full test I2 = 10000+2000
 $10000 = 12000
 5% Fail 
 + $2000
Testing 
 ? I3 = 8000+0
 system = 8000
 Pass
 30% $0
 Limited test
 $8000 I4 = 8000+8000
 = 16000
 70% Fail
 + $8000
 EV(LimitedTest) = 0.3*Ỉ3+0.7*I4
 = 8000+5600 = 13600
 Ví dụ
Dự án có các công việc được cho trong hình. Các rủi ro tác động lên 
các công việc được đo bằng xác suất. Hãy xác định độ tin cậy của kế 
hoạch khi ước tính thời gian hoàn thành dự án là 9 tháng.
 A D
 B C
 CV t/gian xác suất trễ hạn xs trễ
 A 4 tháng 0.8 1 tháng 0.2
 B 5 tháng 0.9 2 tháng 0.1
 C 3 tháng 0.9 1 tháng 0.1
 D 5 tháng 1 0 0
 Ví dụ
Các sự kiện hoàn tất công việc thể hiện dạng cây:
 TED = 9, TEC=8 T = 9, xs=1*0.9
 0.8*0.9 A(4),B(5) D(5), C(3)
 0.8*0.1
 A(4),B(7) T > 9 xs (T≤9) =0
 TE = 9, TE =9 T=9, xs=1*0.1
 0.2*0.9 A(5),B(5) D C
 0.2x*0.1 A(5),B(7) D(5), C(4)
 1*0.1
 P(T≤9)=(0.9 + 0.1) * 0.8 * 0.9 = 0.72
 PERT – Action duration
• Ước lượng trung bình PERT dựa trên phân phối xác suất 
 Beta (β-distribution), hoặc đơn giản là phân phối xác suất 
 chuẩn (Normal-distribution). Vì xác xuất nằm ngoài đoạn 
 [μ-3σ, μ+3σ] không đáng kể (<0.003), nên: 
 p o 4m p o
 Mean() ET Variance( 2 ) ( )2
 6 6
 o m p o m p o m p
 PERT – Action duration
 Công o p 4m p o
 o p m ET  σ2
 việc 6 6
 A 1 3 2 2 1/3 1/9
 B 2 4 3 3 1/3 1/9
 C
 1 5 3 3 2/3 4/9
A,B→C
 D
 2 8 2 3 1 1
 A→D
 E
 3 7 5 5 2/3 4/9
C,D→E
 Chú thích: o,p,m và ET được tính bằng tuần
 PERT – Project duration
• Giả định 1: Thời gian hoàn thành dự án được xác định bằng 
 thời gian trung bình để hoàn tất các công việc trên critical 
 path của dự án đó.
 Mean critical path (CP): thời gian hoàn tất CP = tổng thời 
 gian trung bình μ(t) để hoàn tất mỗi công việc trên CP.
• Giả định 2: Thời gian hoàn tất một công việc có phân phối 
 xác suất độc lập với thời gian hoàn tất các công việc khác.
• Giả định 3: Phân phối xác suất cho thời gian hoàn tất toàn 
 bộ dự án là phân phối xác xuất chuẩn (normal distribution)
 μ(T) của dự án = ∑ μi(t) của cvi trên CP
 2 2
 σ (T) của dự án = ∑ σi (t) của cvi trên CP
 PERT – Project duration
 (2,2,3,1) (3,5,6,1)
 CP = B(3)→C(3)→E(5)
 A D
 (5,11,11,0) μ = 3+3+5 = 11 tuần
 2
 E σ = 1/9+4/9+4/9 = 1
 σ = 1
 B C
 (3,3,3,0) (3,6,6,0)
• Vấn đề: Nếu dự án cần hoàn tất trong vòng 12 tuần thì xác 
 suất hoàn thành dự án trong khoản thời gian 12 tuần là bao 
 nhiêu, ie: với X=12 là dead-line của dự án, P(T ≤X) = ?
 P(T ≤ 12)
 PERT – Project duration
 CP = B(3)→C(3)→E(5), μ = 11, σ2 = 1, σ = 1
 T: thời điểm hoàn thành dự án, X: dead-line của dự án
 σ
 2σ μ μ
 Hàm pp xs P(T) Hàm xs P(T<X)
• Để tính P(T≤X), ta tính độ lệch z = (X-μ) /σ và tra bảng hoặc 
 dùng hàm NORMDIST() của excel để tính:
 – P(T ≤ X) = P(Normal ≤ z) = 1 - P(Normal > z)
 – Với X=12: z = (12–11)/1 = 1 → tra bảng → P(T ≤ 12) ≈ 0.84
Bảng tra cứu phân phối xác suất chuẩn
 3.Tiến trình giám sát & đối phó rủi ro
• Khi kế hoạch quản lý rủi ro được thiết lập, (vào thời điểm 
 này rủi ro chưa xãy ra), các biểu hiện của rủi ro cần phải 
 được giám sát liên tục theo thời gian để phát hiện rủi ro và 
 để kích hoạt kịp thời các hoạt động đối phó với rủi ro 
 Thời điểm hiện tại
 R1 R2
 Nhận thức về 
 nguy cơ R1, R2 “Triệu 
 chứng” Xãy ra Xãy ra
 Thời gian T1 T2 T3 T4
 Thực thi các kế Thực thi các kế 
 hoạch phòng ngừa. hoạch khắc phục.
 Giám sát & đối phó rủi ro
• Đối với các nguy cơ (threats), các hoạt động đối phó cho rủi 
 ro cần tập trung vào phòng ngừa nhiều hơn khắc phục. Nội 
 dung của các hoạt động đối phó với rủi ro bao gồm:
 – Xác định các sự kiện kích hoạt các tiến trình đối phó rủi 
 ro.
 – Xác định người giám sát các rủi ro và thực thi các hoạt 
 động đối phó rủi ro.
 – Xác định nguồn lực cần thiết để thực thi các tiến trình đối 
 phó rủi ro.
 – Thông báo cho các nơi liên quan về rủi ro.