ISACA Journal
Volume 2, 2,016 

Translated Articles 

敏捷專案風險管理 

作者: Alan Moran, Ph.D.,  CRISC, CITP 

敏捷實務的特有的步調和迭代實施的本質使其非常適合於產品開發及相關專案中多種常見風險的管理。1 確實,此類專案經常需要各種不同性質的修改;對於假設需求可以明確定義且穩定的傳統作法,則認為已知風險可以由固有方式描述和建模。這種不斷的改變對傳統管理方法是很大的挑戰。例如,敏捷管理方式對各種開發需求不斷加深理解的方式(例如,促進工作坊[Facilitated Workshop]、敏捷建模)、在探索中進行設計的方法(例如,雛型設計,架構試驗 [architectural spikes])和解決方案的增量交付等,都有助於應對不確定性和獲得預期結果。這一點在高度創新的解決方案中尤其明顯。在這類方案中,客戶和交付團隊既要相互協作,以反覆確定最終解決方案的範圍和內容,又要同時應對風險的正面與負面影響。

然而,在敏捷文獻中,貫穿著一種明顯的傾向,即完全專注於風險的負面影響,而沒有考慮到可以開發和利用的機會。不難理解,眾多的方法論明確表示風險應被認為有可能帶來負面的結果。此外,還有一種流行的觀點認為,有敏捷就夠了,不需要更明確地注意風險的識別、評估、處理和監控。

儘管如此,還是有一些方法論,例如基於動態系統開發方法(DSDM)的敏捷專案管理(AgilePM)2 採納了與風險社群實務較為一致的風險管理 方法。3 此外,敏捷實務社群越來越多的人認識到風險(就不確定性而言)和學習之間的關聯。4

在現實中,風險可能是微妙而複雜的,缺少經驗的人難以對其進行識別和管理。不論選擇哪一種敏捷方法,都需要敏捷風險管理以解決以下問題:

  • 識別專案中的威脅和機會,以平衡期望報酬和追求報酬所面臨的風險。這不僅需要對專案中的風險偏好和容忍度有一個徹底的瞭解,還需要對各個團隊成員的風險傾向以及社會文化因素對風險管理的影響有所認識。
  • 基於風險暴露並通過與敏捷實務相一致的方式(例如,在產品開發清單中納入風險相關任務,或者使用加入風險概念的看板5 手法做為工作規劃工具,將各種開發階段的活動依不同狀態 (如:計畫中、進行中、已完成)條列,或用使用者故事地圖(本文稍後介紹),確認適當的風險回應策略(例如,接受、減緩、善用)並對其進行優先排序。
  • 透過風險監控判斷風險是否以有效果和效率地進行管理的能力。這也包括反覆檢視其剩餘風險的認知,以及這些如何影響專案的整體風險水準。

因此,無論以何種形式出現,敏捷風險管理都成為專案治理的基礎。在敏捷環境下,這將有助於表達與提高風險的可視程度,確保集體風險歸屬與相關責任,並在通常以人員為主要決策準則的環境下(例如,集體主義、自主組織或充分授權)支援決策所需的資訊。

敏捷式風險管理方法

雖然敏捷實務者常常能說出他們在做什麼(例如,使用者故事[User Stories])、適用哪些品質標準(例如,“已完成”的定義),但一般多認為他們很少能夠說清楚他們的工作對整體專案風險有何影響,或者他們為風險管理做出了何種貢獻。

為了保證團隊異質性、有效意見回饋和精實決策的價值不被侵蝕,將成熟的風險管理技術整合到敏捷專案需要特別小心。因此,有必要採用與敏捷宣言中的偏好和原則相一致的風險管理方法,而不是簡單地將傳統的風險實務嫁接到敏捷過程之上。事實上,由經驗中得知:使用通常存在於敏捷專案中的手法(例如,產品清單或看板),這是可能實現的。如圖 1 所示。

敏捷專案的固有步調突顯了風險識別和評估以及確認風險衡量方法,應一起納入迭代的規劃活動當中。在以產品為導向的方法中(例如,Scrum,XP),這相當於衝刺計畫(Sprint);然而,在以專案為中心的方法(例如,AgilePM),這應該在每個時間盒(timebox)(即:以啟動和規劃活動開始、緊隨執行工作及回顧結果的結構化或固定時段)的起點發生。如此,風險的處理和監控便可以嵌入在反覆執行的日常實務當中。

傳統和敏捷專案風險管理之間的一個主要區別是,風險歸屬由專案團隊成員以類似於用戶故事(即敏捷要求)和相關任務分配的方式來確定。這就將風險管理者的傳統角色轉換為一個更具促進性從且確保對風險管理持續注意的角色。這些功能可以很容易地透 過 現 有 的 敏 捷 角 色 ( 例 如 , Scrum Master,或DSDM 專案經理)來擔任。

風險識別與評估

由於風險和效果(effects)經常被混淆,風險的識別往往比人們想像的困難。6 例如,假設有一個將網頁應用程式從實體基礎架構遷移到一個虛擬基礎架構的專案,其 中的一個擔憂是該應用程式在遷移後是否仍能存取執行。許多人可能認為網頁應用程式的不具可用性是一項專案風險,但這實際上是遷移失敗的效果。真正的風險在於導致網頁程式從一開始導致無法連線執行的不確定因素(例如,關於虛擬基礎架構系統設置是否正確,或是網頁程式能否通過網域名稱系統 [DNS] 定址)。風險和結果之間的這種混淆是特別有害且不易被察覺的,因為它會誤導風險管理活動。

鑒於圍繞風險認識的微妙細節,敏捷團隊的最好技巧之一是基於“是什麼-為什麼”(what-why)的實務作法(圖 1)。這需要一個小組進行腦力激盪會議,以發現專案可能出現的風險問題,隨後分析每件事情為什麼可能會發生。前者識別效果,後者涉及風險。事實上,在討論為什麼一個事件可能會發生時,聽到關於不確定性的詳細陳述,這種情況並不少見。例如,在前面提到的遷移示例中,可以對網頁應用程式的無法存取(what)進行進一步分析,以揭示各種各樣的風險(why),例如,虛擬伺服器的配置或 DNS 清單的正確性,從而能夠識別有意義的對策。這種方法的優點在於簡單,特別是對於那些較擅長於一般通用技能而不熟悉特定領域風險管理實務的團隊而言。此外,由於業務和技術包含了多種領域,常見於敏捷團隊的多樣性可視為尋找可能風險的一項優勢。但是,舉行這類討論會時,不要專注於純粹的負面事件(例如,透過詢問什麼可能出錯),而要保持討論的開放性,以發現該專案可能利用的機會。

為保持原有實務作法,風險應被記錄在登記簿中。然而,要始終保持紀錄的明瞭以及由團隊成員清楚認知的風險歸屬,可採使用者故事或其他敏捷專案任務等相似的方式承擔。這可以透過將登記簿保存在所有團隊成員都能夠存取的位置,並鼓勵他們盡可能經常和儘早地提供回饋(例如,更新、遺漏、更正)來實現。

風險評估涉及確定面臨的風險(其中以 T 恤的尺寸型號即可滿足要求,例如,使用小,中和大來表示幅度)和基於風險暴露所在對風險計分進行指派(可用於之後的風險監測)。這個分數需要考慮固有風險,並應包括要求或任務中涉及的內容,以及如何完成這種要求或任務(例如,使用降低風險的敏捷技術)。面臨的風險也是風險優先處理次序的核心內容;反過來,風險優先次序也表明了為了應對專案風險而展開學習的緊迫性。

風險處理

風險評估提供決定風險回應(例如,避免、接受、利用)所需的投入資訊。有些風險可以通過展開具體活動(稱為敏捷風險管理中的“風險任務指派”[risk tasking])來解決,有些則需要關注活動所採取的方式(稱為敏捷風險管理中的“風險標記” [risk tagging])。例如,開發產品使用者介面時出現的要求風險可能會鼓勵團隊採用使 用 者 配 對 程 式 設 計 (Programming Pairing)—一種兩個不同群體協力工作的敏捷技術—來執行所有這類用戶故事。7 因此,在稍後的迭代過程中執行活動時,團隊會確定所有受影響的活動,並將其標記為這個決定的提醒(例如,可能使用一個雙頭的圖示作為視覺提示,以使用如圖 2 所示的配對程式設計)。

建議於風險修改看板針對不同風險任務進行顏色編碼(例如,綠色為機會,紅色為威脅),以支持風險的視覺化。順帶地,這些做法也可以延伸到其他的敏捷規劃工作,包括描述故事和構成它們的用戶故事之間關係的敏捷故事地圖,如圖 2 所示。這使得風險的分佈位置以良好的視覺效果呈現出來,甚至能檢測出風險分析可能不足的地方(例如,沒有明顯的正面或負面風險的使用者故事集)。

風險監控

在風險評估期間,用於衡量固有風險的分數可以用來建構追蹤整體風險管理概況的風險燃盡圖。這個類似於廣泛使用的故事點燃盡圖,也向團隊昭示存在一種無法完全消除的反覆運算剩餘風險(由用戶故事的累積剩餘風險以及與轉移或分擔等風險回應策略所組成)。此外,它清楚地顯示出風險管理中的動態,而其他方式則可能不會如此清楚(例如,次級風險可能會導致圖表上升而非下降)。在一種被稱為“風險牆”(risk walling)的實務中,建議同時尋找風險燃盡和其他風險相關紀錄方式(如風險登記表、風險修改看板或用戶故事地圖),以提高透明度,並積極徵求團隊回饋。

結論

敏捷已較以往任何時候都更加廣泛的應用,而其對於風險管理、治理和相關事項中的回應處理仍然是某些組織的障礙。但是,隨著這些挑戰的應對措施被發現並融入敏捷方法論和專案實務中,這一點正在開始改變。這不僅提供了有關風險管理的監督和責任歸屬,同時也有助於敏捷所提供的價值效益不會被侵蝕。

Endnotes

1 Moran, A.; Agile Risk Management, Springer Verlag, Germany, 2014
2 DSDM Consortium, The DSDM Agile Project Framework, 2014, www.dsdm.org/resources/dsdm-handbooks/the-dsdm-agile-project-framework-2014-onwards
3 Op cit, Moran
4 Cockburn, A.; “How ‘Learn Early, Learn Often’ Takes Us Beyond Risk Reduction,” Humans and Technology, February 2013, http://alistair.cockburn.us/Disciplined+Learning
5 Op cit, Moran
6 Hillson, D.; Managing Risk in Projects, Gower Publishing, UK, 2009
7 Agile Alliance, Guide to Agile Practices, 2015, http://guide.agilealliance.org/

作者: Alan Moran, Ph.D., CRISC, CITP, is an Agile thought leader and managing director of the Institute for Agile Management. His career spans both the private and public sectors, and his research interests lie in Agile management (e.g., risk, finance and governance) as well as the Agile enterprise. He is a frequently invited speaker at international conferences and is the author of Agile Risk Management, Managing Agile: Strategy, Organisation, Implementation and People (Springer Verlag), and Valuing Agile: The Financial Management of Agile Projects.

譯者: 孫嘉明 ,CISA, ACDA, CHFI 雲林科技大學會計系副教授 .

Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 2, 2016 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2016,Volume 2中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2016 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2016 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的ISACA Journal。

ISACA Journal收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA 的書面許可。如有需要,欲複印ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付 CCC 上述費用,並說明 ISACA Journal 之 ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經 ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.