ISO/IEC Yazılım Yaşam Döngüsü Süreçleri - Risk Yönetimi Standartları

Transkript

1 ISO/IEC Yazılım Yaşam Döngüsü Süreçleri - Risk Yönetimi Standartları ISO/IEC Software Life Cycle Processes - Risk Management Standards H. Şenyurt TÜBİTAK UEKAE / İLTAREN ÖZET: ISO/IEC Bilgi Teknolojisi Standardı Yazılım yaşam döngüsü süreçleri Elektrik ve Elektronik Mühendisleri Enstitüsü (The Institute of Electrical and Electronics Engineers IEEE) ve Elektronik Sanayi Birliği (Electronic Industries Alliance EIA) tarafından geliştirilen, yazılım projelerinde kullanılması kabul görmüş bir standart olup, yazılımın satın alınması, geliştirilmesi, işletimi veya bakımındaki tüm faaliyetleri içermektedir. Standartta risk yönetimi ile ilgili bilgiler bulunmakla birlikte, risk yönetimi için bir süreç bulunmamaktadır. Risk yönetiminin projelerde önem kazanarak ayrı bir süreç olarak ele alınması ihtiyacının belirlenmesi ile, ISO/IEC Sistem ve yazılım mühendisliği Yaşam döngüsü süreçleri Risk yönetimi standardı oluşturulmuştur. Bu bildiride, ISO/IEC de yer alan risk yönetimi ile ilgili bilgiler özetlenmekte ve ISO/IEC risk yönetimi süreci tartışılmaktadır. ABSTRACT: ISO/IEC Standard for Information Technology Software life cycle processes, developed by the Institute of Electrical and Electronics Engineers IEEE and Electronic Industries Alliance EIA, is a widely accepted standard for software projects, which includes the activities during acquisition, development, operation and maintenance of the software. The standard mentions risk and risk management in several places, but did not provide a process for risk management. As risk management s importance in projects is more realized, the need to consider risk management as a process is determined and ISO/IEC System and software engineering Software life cycle processes Risk management is developed. In this paper, information regarding risk in ISO/IEC is summarized and ISO/IEC risk management process is discussed. ISO/IEC The Institute of Electrical and Electronics Engineers ISO/IEC The Institute of Electrical and Electronics Engineers 1 GİRİŞ Müşterinin istemediği fonksiyon, özellik ve arayüzlerin geliştirilmesi, gerçekçi olmayan takvim ve bütçeler, isterlerin sürekli değişmesi, personel eksikliği ve tedarik edilen yazılım/hizmetlerin yetersizliği gibi riskler nedeniyle bilişim projelerinin başarıları daima tehlikededir. (Boehm:1991) ISO/IEC standardı, IEEE ve EIA tarafından geliştirilmiş, 1995 ten beri kullanılmakta olan, yazılımın satın alınması, tedariki, geliştirilmesi, işletimi ve bakımı için standart süreçleri tanımlayan ISO nun şemsiye standardıdır. Standartta, yazılım proje yönetiminde risklerin yönetilmesinin bir anahtar başarı faktörü olduğu kabul edilmekte, ancak standart risk yönetimi için bir süreç sağlamamaktadır.

2 ISO/IEC standardı ise, 2006 da IEEE tarafından yayınlanmış olup, sistem veya yazılım satın alma, tedarik, geliştirme, işletme ve bakımı boyunca risk yönetimi için sürekli bir süreç tanımlamaktadır. 1.1 Terminoloji Bu dokümanda kullanılan terminoloji için, ISO standartlarında bulunan risk yönetimi terminolojisinde dil birliği ve ortak bir anlayış sağlamak amacıyla hazırlanan ISO/IEC Kılavuz 73 - Risk Yönetimi Sözlüğü nden (ISO/IEC Guide 73:2002) yararlanılmıştır. Sözlüğe göre risk, bir olayın olasılığı ile sonucunun birleşimidir. Sonuçların hem olumlu, hem olumsuz etkileri olabilmesine rağmen, risk sözcüğü genellikle olumsuz sonuç olasılığı için kullanılır. Risk yönetimi ise, bir organizasyonun riskleri yönetmek ve kontrol etmek için gerçekleştirdiği koordine aktiviteler olarak tanımlanmaktadır. 2 ISO/IEC YE GÖRE RİSK YÖNETİMİ Standart, yazılım yaşam döngüsü süreçlerinin tanımlandığı (ISO/IEC Standard :1998), yaşam döngüsü veri yapılarının yer aldığı (ISO/IEC Standard :1998) ve uygulamada dikkat edilecek konuların bulunduğu (ISO/IEC Standard :1998) bölümlerinden oluşmakta olup, standardın değindiği risk konuları aşağıda özetlenmektedir. 2.1 ISO/IEC Yaşam Döngüsü Süreçlerinde Risk Yönetim Sürecinde Risk Standartta risk konusunun süreçleri en çok etkilediği kısmın, ilgili süreç/süreçlerin yönetimi için jenerik faaliyet ve görevlerin tanımlandığı organizasyonel yaşam döngüsü süreçlerinden olan Yönetim Süreci ndeki Planlama faaliyeti olduğu değerlendirilebilir. Sürecin işletilebilmesi için hazırlanan planlarda ilgili risklerin belirlenmesi ve niceliklendirilmesi istenmektedir. Proje yönetim süreci aşağıdaki risk yönetimi hedeflerine ulaşmayı sağlamalıdır: Proje için risk yönetiminin kapsamının belirlenmesi, Projedeki risklerin belirlenmesi, Risklerin analiz edilmesi ve riskleri azaltmak için kullanılacak kaynakların önceliklerinin belirlenmesi, Uygun risk azaltma stratejilerinin tanımlanması, uygulanması ve değerlendirilmesi, Risklerin durumundaki değişikliğin ve risk azaltma faaliyetlerinin ilerlemesinin ölçülmesi için risk metriklerinin tanımlanması, uygulanması ve değerlendirilmesi Satın Alma ve Tedarik Süreçlerinde Risk Temel yaşam döngüsü süreçlerinden olan yazılım ürününün veya ilgili hizmetin Satın Alma ve Tedarik süreçleri de, projenin başarısı için görev alan birden fazla taraf bulunması nedeni ile, standartta özellikle risk konusunda altı çizilen kısımlardır. Hem satın almayı yapan, hem de tedarik eden organizasyonlar, satın almadaki ve tedarikteki seçeneklerini riskleri açısından değerlendirmelidir. Satın almayı yapan organizasyon, isterleri karşılayan rafta hazır ticari (RAHAT = COTS) ürünün satın alınmasına, yazılım ürününün organizasyon içinde veya sözleşme ile geliştirilmesine / ilgili hizmetin alınmasına, bunların uygun birleşiminin uygulanmasına veya var olan bir yazılım ürününün iyileştirilmesine karar verirken bu seçeneklerin risklerini değerlendirmeli, riskleri ve risk yönetim yöntemlerini içeren satın alma planını hazırlamalı, dokümante etmeli ve işletmelidir. Benzer şekilde, tedarikçi organizasyon da yazılım ürününün iç kaynaklarla geliştirilmesi veya ilgili hizmetin iç kaynaklarla sağlanması, alt sözleşme ile sağlanması, iç/dış kaynaklardan RAHAT yazılım ürünün alınması veya bunların uygun birleşiminin uygulanmasına karar verirken bu seçeneklerin risklerini analiz etmeli, planlama isterlerine ve seçeneklere göre risk yönetimi konularını da içeren bir proje yönetim planını geliştirmeli ve dokümante etmelidir Doğrulama Sürecinde Risk İsterlerin doğru şekilde oluşturulması projelerin başarılı olmalarında büyük önem taşıdığından, destek yaşam döngüsü süreçlerinden olan Doğrulama sürecinde, isterlerin kritiklik açısından analiz edilmesi gerektiği vurgulanmakta ve kritikliğin risklerle ölçümlenebileceği belirtilmektedir.

3 2.1.4 Eş Gözden Geçirme Sürecinde Risk Destek yaşam döngüsü süreçlerinden olan Eş Gözden Geçirme sürecine göre, proje yönetimi proje yönetim planında belirlenen sıklıklarla gözden geçirilmeli ve projenin durumu uygulanabilir planlar, takvim ve standartlar açısından değerlendirilmelidir. Gözden geçirme çıktılarında projenin başarısını tehlikeye sokan risk konularının değerlendirmesi ve yönetimi konuları bulunmalıdır. 2.2 ISO/IEC Yaşam Döngüsü Verileri Yazılım yaşam döngüsü süreçlerinin uygulanması ile oluşan veride risklerle ilgili bilgileri içermesi gereken kısımlar şu şekilde belirlenmiştir: Planlar riskleri ve risk yönetimi konularını içermelidir. o Proje yönetim planı o Satın alma planı Sistem isterleri belirtimi bilgisayar kaynakları üzerindeki sınırları, tanımlanmış risk derecesi ile tutarlı şekilde tanımlamalıdır. 2.3 ISO/IEC Uygulama Konuları Standardın L ekinde, uygulamaya yardımcı olmak için bilgi amaçlı olarak risk yönetimi kavramları bulunmakta olup, bu kavramlar şu şekilde özetlenebilir: Kapsam Risk yönetimi, yönetim sürecinin teknik, maliyet ve takvim riskleri ile ilgili parçasıdır. Risk yönetimi, problemlerin önlenmesi için bir araçtır: kötüye gidebilecek konuların tanımlanması, etkilerinin değerlendirilmesi ve kaçınılması gereken potansiyel problemlerin belirlenmesi gibi. Risk yönetimi, projenin her düzeyinde potansiyel problem alanlarının yeterli şekilde ele alınmasının güvence altına alınmasını sağlamak için gerçekleştirilen faaliyetlerdir. Tüm proje personelinin, kendilerine olumsuz sonuçları olmayacak şekilde risk konularını belirleme özgürlüğü için açık iletişim şarttır. Önemli risklerin belirlenmesi ve azaltılmasında gereken kaynakların atanması için, risklerin satın alan ile tedarik eden arasındaki ortak yönetimi (geliştirici/bakım yapan/işletici desteği ile) gereklidir. Risk yönetimi, problem çözümleme, kalite güvence ve eş gözden geçirme gibi diğer destek süreçlerin sonuçlarını kullanabilir Risk Planlama Risk yönetim planı geliştirilmeli; bu plan, risk yönetimi faaliyetlerini, bu faaliyetlerin gerçekleştirilmesi için prosedürleri ve takvimi, dokümantasyon ve raporlama isterlerini, spesifik faaliyetler için sorumlu organizasyon ve personeli, risklerin ve risk durumunun diğer organizasyonlarla (satın alan, tedarik eden, alt yüklenici vb.) iletişimi için isterleri tanımlamalıdır, proje yönetim planının bir parçası olabilir Risk Belirleme Risklerin tanımlanması için, riskin tanımı, kimlik tanımlayıcısı, belirlendiği tarih ve riski anlamak için gereken diğer bilgiyi içeren yöntemler belirlenmelidir Risk Analizi Riskler analiz edilerek yönetim ve azaltmanın etkinliği için sınıflandırılmalı veya ilgili kümelerde gruplandırılmalıdır. Sınıflandırma tutarlı bir şema ve temele dayanarak yapılmalıdır. Olasılık, etki ve oluşma zaman aralığı gibi risk özellikleri değerlendirilmelidir. Nitel ve nicel yöntemler riskin doğasına uygun şekilde kullanılmalıdır. Riskler, göreceli olarak önemlerinin belirlenmesi ve azaltma kaynaklarının etkin kullanımı için önceliklendirilmelidir Risk Azaltma Her riskin yönetim sorumluluğu uygun kişiye atanmalıdır. Sorumluluk, risk azaltma planlarının geliştirilmesi, risk ve azaltma planlarının ilerlemesinin izlenmesi ve risk durumunun raporlanmasını kapsamalıdır. Risk sınıflandırma şeması risk durumunu içermelidir: kapalı, izleniyor, azaltılmış gibi Risklerin İzlenmesi ve Kontrolü Riskler ve azaltma planları, risk özelliklerinde, riski tetikleyen etkenlerde, eşik değerlerde, olaylarda görünen değişiklik olması veya azaltma planının ilerlemesi/başarısızlığı durumları açısından takip edilmelidir. Proje durum raporları risk yönetimi bilgisini içermelidir.

4 Gözden geçirmelerde etki olasılığı yeteri kadar düşük bir düzeye ulaştığında veya azaltma planı başarılı olduğunda riskler kapatılmalıdır. Başarısız azaltma planları gözden geçirilmelidir. Azaltma planlarında belirtilen eylemler ilgili tetik oluştuğunda uygulanmalıdır. Riskler farklı taraflarca birlikte kontrol ediliyorsa, kontrol eylemleri için iki tarafın da onayı alınmalıdır. 3 ISO/IEC RİSK YÖNETİMİ SÜRECİ Bu standarda göre (ISO/IEC Standard 16085:2006) risk yönetiminin amacı, risklerin sürekli olarak tanımlanması, analiz edilmesi, ele alınması (treatment) ve izlenmesidir. Risk yönetiminin başarılı uygulanmasının sonucunda; a) Gerçekleştirilecek risk yönetiminin kapsamı belirlenir. b) Uygun risk yönetimi stratejileri tanımlanır ve uygulanır. c) Riskler proje boyunca tanımlanır. d) Riskler analiz edilir ve ele alınmaları için gereken kaynakların öncelikleri belirlenir. e) Risk durumundaki değişikliklerinin ve risk ele alma faaliyetlerinin ilerlemesinin tanımlanması, uygulanması ve değerlendirilmesi için risk ölçüm yöntemleri tanımlanır. f) Riskin etkisini düzeltmek veya etkiden kaçınmak için, öncelik, olasılık ve sonucuna göre, risk uygun şekilde ele alınır. Risk yönetim süreci bir ürün veya hizmetin yaşam döngüsü boyunca sistematik olarak riskleri işaret eden sürekli bir süreçtir. Bu süreç şu faaliyetlerden oluşur: a) Risk yönetiminin planlanması ve uygulanması b) Proje risk profilinin yönetilmesi c) Risk analizi yapılması d) Risklerin izlenmesi e) Risklerin ele alınması f) Risk yönetimi sürecinin değerlendirilmesi Risk yönetimi süreç şeması Şekil 1 de verilmekte olup, şemada numaralandırılmış risk yönetimi süreci aşağıda özetlenmektedir. Yönetim süreçleri ve teknik süreçler, risk yönetimi sürecinin desteklemesi gereken bilgi isterlerini tanımlarlar. Bu bilgi isterleri hem risk yönetiminin planlanması ve uygulanması, hem de proje risk profilinin yönetilmesi faaliyetlerine iletilir. Şekil 1. Risk Yönetimi Süreç Şeması

5 Risk yönetiminin planlanması ve uygulanması (1) faaliyetinde risk yönetiminin uygulanmasındaki politikalar, kullanılacak prosedürler, uygulanacak teknikler ve risk planlama ile ilgili diğer konular belirtilir. Proje risk profilinin yönetilmesi (2) faaliyetinde güncel ve geçmiş risk yönetimi kapsamı ve risk durum bilgisi elde edilir. Proje risk profili bilgisi, risklerin tanımlandığı, olasılık ve sonuçlarının belirlendiği, riskin gerçekleştiğinin tespit edildiği ve eşik değeri geçen risklerin ele alınmasını önermek için risk eylem isteklerinin hazırlandığı risk analizi (3) faaliyeti ile sürekli olarak güncellenir. Ele alma önerileri, diğer risklerin durumu ile birlikte gözden geçirme için yönetime iletilerek risklerin ele alınması (4) faaliyetine geçilir. Yönetim risk ele alma işleminin uygun olup olmayacağına karar verir. Ele alınmasına karar verilen riskler için risk ele alma planı yapılır. Bu planlar diğer yönetim planları ve devam eden faaliyetlerle koordine edilir. Tüm riskler artık izlenmelerine gerek kalmayana kadar risklerin izlenmesi (5) faaliyeti ile sürekli izlenir. Ayrıca, sürekli olarak yeni riskler ve risk kaynaklarının varlığı araştırılır. Risk yönetim süreci, etkinliğini garanti altına almak amacıyla düzenli olarak değerlendirilir. Risk yönetim sürecinin değerlendirilmesi (6) faaliyeti sırasında, risklerin yönetimi açısından sürecin veya organizasyonun iyileştirilmesi için bilgi toplanır. Değerlendirme sonucunda tanımlanan iyileştirmeler risk yönetiminin planlanması ve uygulanması (1) faaliyetinde uygulanılır. 3.1 Risk Yönetiminin Planlanması ve Uygulanması Bu faaliyetin amacı bir risk yönetim sürecinin kurulmasıdır. Bu faaliyette, risk yönetimini kimin yapacağı belirlenir, kullanılacak özel risk yönetim süreci tanımlanır, süreci uygulamak için gereken kaynaklar atanır, risklerin ve ele alınışlarının paydaşlar arasında nasıl koordine edileceği belirlenir. Bu faaliyet projenin başında gerçekleştirilmeli ve ilgili bilginin değişmesi durumunda güncellenmelidir. Faaliyet sırasında üretilen bilgi bir risk yönetimi planında dokümante edilmelidir. Bu faaliyet aşağıdaki görevlerden oluşur: Risk yönetimi politikalarının belirlenmesi Risk yönetimi için kılavuz olacak olan risk yönetimi politikaları tanımlanmalıdır. Politikalarda, a) Yönetim ve personel tarafından risk yönetiminin nasıl uygulanacağı, yönetileceği ve destekleneceği, b) Risk yönetimine paydaşların katılımının ve sürekliliğinin nasıl sağlanacağı, c) Risk yönetimi sürecinin paydaşlar arasında nasıl koordine edileceği, d) Personele risk yönetimi süreci oryantasyon ve eğitiminin nasıl verileceği ve personelden hangi deneyimlerin beklendiği, e) Risk bilgisinin (proje risk profilinin) paydaşlarla nasıl paylaşılacağı ve paydaşlar tarafından hangi sıklıkla gözden geçirileceği, f) Risklerin ele alınması için kaynakların nasıl kullanılacağı tanımlanmalıdır. Risk yönetim sürecinin kurulması Uygulanacak olan risk yönetimi sürecinin tanımı dokümante edilir ve yürürlüğe konur. Risk yönetim süreci prosedürlerinde, a) Risklerin tekrar analiz edileceği ve izleneceği sıklık, b) Gereken risk analizi tipi (nitel ve/veya nicel) c) Olasılık ve sonuçların ifadesinde kullanılacak ölçüler, d) Kullanılacak risk eşik değerleri, e) Risklerin durumunu izlemek için kullanılacak ölçüm tipleri, f) Risklerin ele alınması için nasıl önceliklendirileceği, g) Sürecin hangi paydaşın bakış açısını desteklediği, h) Risk kaynakları ve kategorileri bulunmalıdır. Sorumlulukların belirlenmesi Risk yönetiminden sorumlu tarafların görev ve sorumlulukları tanımlanmalıdır. Kaynakların atanması Sorumlu tarafların risk yönetimi sürecini gerçekleştirmeleri için yeterli kaynak sağlanmalıdır. Risk yönetim sürecinin değerlendirmesinin tanımlanması Risk yönetim sürecinin değerlendirilmesi ve iyileştirilmesi için bir süreç belirlenmelidir. 3.2 Proje Risk Profilinin Yönetilmesi Bu faaliyetin amacı, risklerin ilgili paydaşlarla eksiksiz ve özet olarak paylaşılabilmesi için, güncel ve geçmiş risklerin ve ele alınışlarının tutarlı bir görünümünün oluşturulmasıdır. Proje risk profili

6 yaşam döngüsü boyunca güncellenir. Bu faaliyet aşağıdaki görevlerden oluşur: Risk yönetimi kapsamının tanımlanması Risk yönetimi kapsamı tanımlanır ve dokümante edilir. Risk yönetimi kapsamının tanımı paydaşların risk eylem istekleri için bakış açılarını ve yönetilecek risk kategorilerini içerir. Kapsamda, a) Amaçlar (projenin başarılı olarak değerlendirilmesi için sağlanması gereken teknik, politik veya ekonomik kriterler) b) Varsayımlar (nelerin projenin kontrolünün dışında olduğu) c) Sınırlamalar (projeyi nelerin sınırladığı) bulunur. Risk eşik değerlerinin belirlenmesi Riskin kabul edilebileceği durumun tanımlandığı risk eşik değerleri dokümante edilmelidir. Risk eşikleri paydaşlarla görüşmeden kabul edilebilecek ölçülmüş risk kriterinin maksimum derecesidir. Risk eşikleri tek tek riskler veya risk grupları için tanımlanabilir. Tüm proje için de bir risk eşiği belirlenmelidir. Risk eşikleri maliyet, takvim, teknik veya diğer sonuçlar için tanımlanabilir. Proje risk profilinin oluşturulması ve güncellenmesi Proje risk profili oluşturulur ve güncellenir. Proje risk profili, projenin tüm risk bilgisini, tek tek tüm risklerin profillerini, güncel ve geçmiş risk durumlarını içerir. Proje risk profilinde, a) Risk yönetimi kapsamı, b) Her riskin olasılık, sonuç ve risk eşiklerini de içeren durumunun kronolojik kaydı, c) Paydaşlar tarafından belirlenen risk kriterlerine dayanan risk öncelikleri, d) Riskler ve ele alınma durumlarını da içeren risk eylem istekleri Proje risk profili her riskin detaylı tanımını, nedenlerini, durumunun değerlendirilmesi için ölçütleri, eylem planlarını ve durumla ilgili diğer bilgileri içermelidir. Risklerin durumlarında değişiklik olduğunda (tanımında, gerçekleşmesinde, ele alınmasında) veya yeni bir risk tanımlandığında proje risk profili güncellenmelidir. Risk durumunun iletişimi Proje risk profili veya ilgili risk profili paydaşlarla düzenli olarak paylaşılmalıdır. 3.3 Risk Analizi Risk analizi faaliyetlerinin amacı, a) Riskleri yaratan olayların, tehditlerin veya durumların belirlenmesi, b) Oluşma olasılığının, sonuçlarının ve zamanlamasının kestirilmesi, c) Her risk veya risk kombinasyonunun eşik değerlere göre değerlendirilmesi, risk ele alma alternatiflerinin oluşturulması ve öncelik sırasına göre ele alma önerilerinin yapılmasıdır. Risk analizi yaşam döngüsü boyunca sürekli gerçekleştirilir. Bu faaliyet aşağıdaki görevlerden oluşur: Risklerin belirlenmesi Riskler risk yönetimi kapsamındaki kategorilerle belirlenmelidir. Risk yönetimi kapsamındaki değişiklikler (varsayımların değişmesi nedeniyle yeni risklerin eklenmesi gibi) tanımlanmalıdır. Risk tanımlamada çeşitli yaklaşımlar kullanılır. Bu yaklaşımlar risk anketlerinin kullanımını, tiplere göre sınıflandırmayı (taksonomi), beyin fırtınalarını, senaryo analizlerini, alınan dersleri, prototiplemeyi ve diğer bilgi toplama yaklaşımlarını içerir. Risk kategorileri paydaşlarla etkin iletişim için tutarlı şekilde kullanılmalıdır. İlgili riskler analiz, izleme ve ele alma kolaylığı nedeni ile birleştirilebilir. Risk kestirimi Her riskin oluşma olasılığı ve sonuçları kestirilmelidir. Kestirimler nitel veya nicel olabilir. Paydaşlar hangi risklerin nitel, hangilerinin nicel ölçeklerle değerlendirileceğini belirlemelidirler. Risk olasılıklarının ve sonuçlarının kestirilmesi için kullanılan ölçekler tutarlı olmalıdır. Risklerin değerlendirilmesi Her risk eşik değerlerine göre değerlendirilmelidir. Karar ağaçları, senaryo planlama, oyun teorisi, olasılık analizi ve lineer programlama gibi değişik teknikler risklerin değerlendirilmesinde kullanılabilir. Riskler paydaşlar tarafından belirlenen öncelik sıralamasına sokulur. Risklerin azaltılması veya ortadan kaldırılması için çeşitli ele alma alternatifleri değerlendirilmelidir. Risk eşiğini geçen her risk için riskin ortadan kaldırılması, oluşma sıklığının azaltılması veya riskin kabul edilmesi gibi risk ele alma stratejileri tanımlanır ve risk eylem isteğinde dokümante edilir. Ele alma alternatiflerinin etkinliğini belirten ölçümler de tanımlanmalıdır. Riskler, önerilen ele alma yöntemleri ve etkinliklerinin ölçümleri, onaylamaları, reddetmeleri

7 veya değişiklik yapmaları için paydaşlarla paylaşılmalıdır. 3.4 Risklerin Ele Alınması Risklerin ele alınması faaliyetinin amacı, risklerin paydaşlar tarafından kabul edilebilir olup olmadıklarını belirlemek, kabul edilemeyen riskleri kabul edilebilir bir düzeye kadar azaltmak için eylemleri başlatmaktır. Paydaşlar risk eşiğinin üstündeki her riski ele alınması için değerlendirmelidir. Bu faaliyet aşağıdaki görevlerden oluşur: Riskin ele alma yönteminin seçilmesi Riskin ele alınması için önerilen alternatifler risk eylem istekleri ile paydaşlara iletilir. Paydaşlar önerilen alternatiflerin riski kabul edilebilir düzeye getirip getirmediğini değerlendirir. Eğer risk kabul edilebilecek düzeye geliyorsa, risk ele alma alternatifi ilgili kaynaklarla desteklenerek uygulanır, izlenir ve diğer proje faaliyetleri ile koordine edilir. Riskin ele alınmasının maliyetinin çok yüksek olması, zamanlamasının uygun olmaması veya yeterli kaynak olmaması gibi durumlarda paydaşlar riski kabul edebilirler. Bu durumda risk yüksek öncelikli olarak değerlendirilir ve gelecekte ele alınmasının gerekip gerekmeyeceği için sürekli olarak izlenir. Paydaşlar risk eylem isteği ile ilgili daha fazla bilgi isteyebilir veya başka bir yaklaşım önerebilir. Eğer öneri risk eylem isteğinde bulunmuyorsa, risk eylem isteği analiz için tekrar risk analizi faaliyetine döner. Risk eylem isteği daha sonra paydaşlara tekrar değerlendirmeleri için tekrar iletilir. Risk ele almanın planlanması ve uygulanması Bir risk ele alma önerisi kabul edildiğinde, uygulanan proje yönetim planı ile uyumlu bir ele alma planı yapılarak, bir sorumlu ve gerekli kaynaklar atanır, plan uygulanır, ilerleme izlenerek eylemin başarılı olması sağlanır. Ele alınmasında başarısız olan eylemler veya kabul edilen bazı riskler için paydaşlar tarafından beklenmeyen olay eylemleri (contingency actions) belirlenmelidir. 3.5 Risklerin İzlenmesi Risklerin izlenmesi faaliyeti ile risk durumları ve risk yönetiminin kapsamı gözden geçirilir ve güncellenir, risk ele almanın etkinliği değerlendirilir, yeni riskler ve kaynakları araştırılır. Bu faaliyet aşağıdaki görevlerden oluşur: Risk izleme Yaşam döngüsü boyunca tüm risklerin durumlarındaki değişiklikler proje risk profiline kaydedilen ölçümlerle izlenir. Risk yönetimi kapsamı da izlenerek, değişiklikleri proje risk profiline kaydedilir. Riskler paydaşların belirlediği kriterlere göre bir izleme önceliği sırasına sokulur, yüksek öncelikli riskler daha sık izlenir. İzleme öncelikleri de sıralamanın doğruluğunu kontrol etmek için sürekli gözden geçirilmelidir. Durumu değişen riskler hemen risk değerlendirme faaliyetine girmelidir. Risk ele almayı izleme Risklerin ele alınışının etkinliğinin değerlendirilmesi için ölçümler yapılmalı ve izlenmelidir. Etkin olmayan işlemler belirlenmeli ve düzeltilmelidir. Yeni risklerin araştırılması Sistem, yaşam döngüsü boyunca sürekli olarak yeni riskleri ve kaynaklarını belirlemek amacıyla izlenmelidir. Yeni riskler ve kaynakları analiz edildikten sonra paydaşlarla paylaşılmalıdır. 3.6 Risk Yönetimi Sürecinin Değerlendirilmesi Risk yönetimi sürecinin değerlendirilmesi faaliyetlerinin amacı, risk yönetim sürecinin kalitesi, iyileştirme ihtiyacı bulunan prosedürler, süreç ve politikalar ile sistem kaynaklı riskleri azaltacak veya giderecek organizasyonel yönetim yapıları değişiklik fırsatları hakkındaki bilgilerin paydaşlara sağlanmasıdır. Bu faaliyet aşağıdaki görevlerden oluşur: Risk yönetimi bilgilerinin toplanması Risklerle ilgili bilgi belirlenir, kaynakları, nedenleri, ele alınışları ve ele alınışlarının başarı durumu, risk yönetim sürecinin iyileştirilmesi ve alınan derslerin oluşturulması amacıyla, projenin yaşam döngüsü boyunca toplanır. Risk yönetimi sürecinin değerlendirilmesi ve iyileştirilmesi Risk yönetimi süreci etkinliği ve verimliliği açısından periyodik olarak gözden geçirilir. Proje veya organizasyonel risk yönetimi sistemlerinin ve süreçlerinin iyileştirilmesi için fırsatlar belirlenmelidir. Paydaşların belirlediği sıklıklarla süreç iyileştirilmeli, organizasyonel risk yönetim sistemleri ve politikaları güncellenmeli ve projenin risk yönetim planı güncellenmelidir. Alınan derslerin oluşturulması

8 Riskler, ele alınışları ve başarıları, sistemik proje ve organizasyonel risklerin belirlenmesi için düzenli olarak gözden geçirilmeli ve alınan dersler oluşturulmalıdır. 4 SONUÇLAR Projelerin riskleri, her projede bulunan belirsizliklere dayanır. Bilinen riskler, tanımlanmış ve analiz edilmiştir ve bu risklerin risk yönetimi süreçlerinin kullanılması ile planlanması mümkün olacaktır. Bilinmeyen riskler ise proaktif şekilde yönetilemezler, ancak proje ekibinin ihtiyatlı tepkisi, bu tip riskler için bir beklenmeyen olay (contingency) rezervi ayırmak olacaktır. (PMI:2004) Organizasyonlar risk yönetimini tehdidi başarıya, fırsatı da başarı şansının artırılmasına dönüştürmek olarak algılamalıdırlar. Organizasyonlar, hangi risk yönetim süreçlerini ya da standartlarını kullanıyor olurlarsa olsunlar, başarılı olmak için risklerin proje boyunca proaktif ve tutarlı şekilde yönetilmesi için kararlı olmalıdırlar. 5 KAYNAKLAR Boehm, B., 1991; Software Risk Management: Principles and Practices, IEEE Software Vol:8 No:1, sayfa ISO/IEC, 1998; Standard Standard for Information Technology Software life cycle processes. ISO/IEC, 1998; Standard Standard for Information Technology Software life cycle processes Life cycle data. ISO/IEC, 1998; Standard Standard for Information Technology Software life cycle processes Implementation considerations. ISO/IEC, 2002; Guide 73 Risk Management Vocabulary. ISO/IEC, 2006; Standard Systems and software engineering Life cycle processes Risk management. PMI, 2004; A Guide to Project Management Body of Knowledge, Project Management Institute Inc., Pennsylvania.