Risk yönetimi her sektördeki projeler için olduğu gibi yazılım geliştirme projelerinde de dikkate alınması gereken bir başarı faktörüdür. Sürekli değişen müşteri beklentileri, yaklaşan teslim süreleri, teknoloji uyumluluğu ve karmaşık sistem entegrasyonları gibi birçok belirsizlik yazılım geliştiren şirketlerin yaşadığı zorluklardan sadece birkaçıdır. Proje başarısını tehdit edebilecek risklerin doğru bir şekilde tanımlanması, analiz edilmesi ve yönetilmesi sonucunda yaşanacak olumsuzluklar minimum zarar verecek yöne evrilecektir. Ayrıca bilindiği üzere Yazılım projelerindeki başarısızlık oranlarının yüksek olması, risk yönetiminin bu sektörde ne kadar stratejik öneme sahip olduğunun daha iyi anlaşılmasını da sağlayacaktır.
Uluslararası standartlar ve modeller de yazılım organizasyonlarının risk yönetimi süreçlerini sistematik ve etkin bir şekilde uygulamalarına rehberlik edecek çözümler sunmuştur. SPICE MAN.5, yazılım geliştirme süreçlerini iyileştirmek ve olgunluk seviyelerini belirlemek için kullanılan SPICE (ISO/IEC 15504) modelinin bir parçası olarak, risk yönetimi sürecini düzenleyen süreçtir. MAN.5 Risk Yönetim Süreci Yazılım projelerindeki risklerin tanımlanması, analiz edilmesi ve kontrol edilmesini sağlayarak, projenin başarısızlık ihtimalini en aza indirmeyi hedefler.
ISO 31000 Risk Yönetimi Standardı ise sektörden bağımsız bir çerçeve sunar, yan, bir sektör ya da proje türünde özelleşmez ama yazılım organizasyonlarına da uygulanabilir. Bu standart, risklerin sistematik ve tekrarlanabilir bir şekilde ele alınmasını hedeflediğinden dolayı yazılım projelerindeki riskleri etkili bir şekilde yönetmek için de uygulanabilir.
Genel Kavramların Ortaklığı
SPICE MAN.5 ve ISO 31000, risk yönetimini yazılım projelerinde etkin bir şekilde uygulayabilmek için ortak noktalar barındırır. Her iki yaklaşım da risk yönetimini, organizasyonun genel stratejisi ve iş hedefleriyle entegre edilmesi gereken temel bir süreç olarak görür ;ki bu entegrasyon, yazılım projelerindeki belirsizliklerin yönetilmesi açısından çok önemlidir.
Risk Yönetiminin Tanımı ve Hedefleri
Hem SPICE MAN.5 hem de ISO 31000, risk yönetimini gelecekteki belirsizliklerin projeler üzerindeki olumsuz etkilerini azaltmayı amaçlayan bir dizi sistematik faaliyet olarak tanımlar.
- SPICE MAN.5: Yazılım geliştirme süreçlerinde risklerin projelerin hedeflerini tehdit eden unsurlar olduğunu vurgular. Bu model, yazılım ekiplerinin, proje yönetim ekibinin ve bağlı bulunulan üst yönetimin riskleri belirleme ve kontrol etme süreçlerini geliştirerek proje başarısızlıklarını önlemeyi hedefler.
- ISO 31000: Risk yönetimini, proje özelinden ziyada daha bütüncül bir yaklaşımla organizasyonların/şirketlerin hedeflerine ulaşmasını engelleyebilecek belirsizlikleri ele almak için kullanılan bir çerçeve olarak tanımlar. Yazılım projelerinde bu standart, özellikle stratejik, operasyonel ve teknik risklerin yönetiminde kullanılabilir.
Risk Yönetimi Döngüsü
Her iki yaklaşım da öncelikle bir risk yönetim stratejisi ortaya koyulmasının ardından risk yönetimi döngüsü sunar:
- Risklerin Tanımlanması: SPICE MAN.5 ve ISO 31000, risklerin bağlam analiziyle tespit edilmesini öngörür.
- Analiz ve Ölçüm: Risklerin olasılık ve etkilerine dayalı olarak analiz edilmesi, her iki çerçevenin ortak noktalarındandır.
- Değerlendirme ve Önceliklendirme: Her iki yaklaşım, tanımlanan risklerin etkilerine göre önceliklendirilmesi gerektiğini vurgular.
- Kontrol ve Azaltma: Yazılım projelerinde, risk azaltma faaliyetleri arasında kod gözden geçirme, kapsamlı testler gibi uygulamalar yer alabilir.
- İzleme ve İyileştirme: Süreçlerin sürekli gözden geçirilmesi, yazılım geliştirme döngüsünde adaptasyonu sağlar.
SPICE MAN.5 ve ISO 31000, paydaşların risk yönetimi süreçlerine aktif katılımını teşvik eder. Yazılım projelerinde bu durum, geliştirici ekipler, test mühendisleri, proje yöneticileri ve müşteriler arasında sürekli iletişim ve iş birliğinin sağlanması anlamına gelir.
SPICE MAN.5 ve ISO 31000, risk yönetimini sistematik bir süreç olarak ele alır ve bu süreçlerin başarıyla uygulanabilmesi için belirli yapısal gereklilikler tanımlar. Her iki çerçeve de risk yönetim sürecinin dokümante edilmesini ve süreç boyunca şeffaf bir yaklaşım benimsenmesini vurgular. Bunlara ek olarak Her iki standart da risklere karşı proaktif bir yaklaşım benimsenmesini teşvik eder. Yazılım projelerinde, bu yaklaşım, risklerin henüz gerçekleşmeden ele alınmasını sağlar.
Risk değerlendirme ve analiz süreçleri, hem SPICE MAN.5 hem de ISO 31000’in risk yönetimindeki kritik aşamalarındandır. Analizler sonunda riskler etkilerine ve olasılıklarına göre sınıflandırıl ki bu sınıflandırma takibin efektif olarak yapılmasını sağlar. Yazılım projeleri özelinde de sonuç olarak en kritik risklerin öncelikli olarak ele alınması sağlanacaktır.
Her iki model de risklerin yönetim süreci boyunca düzenli olarak izlenmesini önererek belirlenen risk karşılama yöntemlerinden uygun olanın tercih edilmesini önermektedir. Risk karşılama yöntemleri arasında seçim yapılırken generic yöntemler değil de proje özelinde hatta risk özelinde bir tercih yapılması gerekmektedir. Ayrıca Paydaşlarla sürekli ve etkili iletişim halinde olunması risklerin daha verimli bir şekilde yönetilmesine olanak sağlar. Örnek vermek gerekirse müşteri tarafından gelecek riskler kategorisinde bir risk ortaya çıktığı takdirde proje ekibi ile müşteri tarafı arasındaki iletişim sayesinde bu riskler ortadan kaldırılabilecektir, tamamen ortadan kalkmasa bile etki ya da olasılığın düşürülmesi bile risk seviyesini önemli ölçüde düşürecektir.
Sonuç ve Öneriler
Hem SPICE MAN.5 hem ISO 31000 risk yönetimini güçlendiren etkili yöntemler sunar. Yazılım projeleri söz konusu olduğunda risk yönetiminin proje özeline indirgenmesi daha net çözümler sunacaktır. SPICE MAN.5 kapsamında aranan yeterlilikler kesin sınırlar çizmediği için yazılım projelerinde ISO 31000 doğrultusunda oluşturulmuş strateji takip edilebilir. Burada asıl önemli olan projenin risk yönetiminin en kapsamlı şekilde ortaya konması ve belirlenen yöntemler doğrultusunda analiz ve takip çalışmalarının gerçekleştirilmesidir.
