作者: | |
譯者: | 錢一一 |
ISBN: | 9789860611694 |
出版社: | |
出版日期: | 2021/04/15 |
內文簡介
如果你下一個專案一點風險都沒有,那就別做!
風險越大,報酬就越大,對於軟體開發來說尤其如此。
在充滿競爭的環境中,一味逃避風險的公司很快就會發現自己落後了,但如果專案經理對於可能造成失敗的風險視而不見的話,又會使組織「過於冒進」。為了解決軟體開發人員「逃避又怕落後,冒險又怕失敗」的兩難,本書將教導如何辨識風險,並去擁抱「值得冒的風險」。
作者還列舉出風險管理的好處,包括:
√使積極的冒險變為可行
√防止盲目管理的發生
√花最小的成本做好最起碼的防護措施
√釐清責任歸屬
√隔離子專案的失敗,使它不會衝擊到整個專案
讀者可以用本書提供的策略來加強專案的防禦工事,對付軟體專案中最普遍的風險:√時程延宕√需求膨脹√人員流失√規格崩潰√績效低落。
本書將幫助您,在風險演變成致命的問題之前,就紓緩風險。風險就在那兒——它們本來就應該在那兒——而你當然有辦法管理它們。
★專家推薦:本書是軟體專案風險管理方面最具影響力的著作……發人深省的見解、精闢務實的建言。我們終於有了一本實用的風險管理指南。
——Rob Austin,前哈佛商學院教授
講得很露骨、很挑釁,但絕對實用……
——Michael Schrage,MIT史隆管理學院研究員,《認真玩創新》作者
認真的軟體從業人員和專案經理,一定會把這本書當成必讀聖經。
你專案團隊中每一位成員、每一位經理、以及所有會影響專案的利害關係人,統統買一本送給他們……我已經為我最好的客戶們訂了20本。
書中妙語如珠,例如「事情做錯沒關係,就是不可以不確定」,光憑這些就很值回票價了——對於我們幼稚、不切實際的風險管理文化,那真是當頭棒喝。
——Edward Yourdon,軟體界知名顧問與作者
★內文試閱:2 風險管理是成年人的專案管理
風險:暫時性定義
我們對軟體專案的風險概念,主要是來自於對許多失敗專案所做的觀察。在我們當顧問的日子裡,常常都要打官司,打官司都是專案徹底失敗的後果,這份工作有助於我們大規模蒐集失敗的資料。回顧這些失敗專案,可知造成意外結果的因素就是它們的風險。所以,對未來的專案也一樣:可能會造成意外結果的事物就是風險。據此,我們暫時定義風險為:
風險 n 1:一個有可能在未來造成意外結果的事件 2:意外結果本身
一是因,二是果,兩方面都很重要,但請不要自以為兩方面都可以管理得很好。風險管理的事務,著重的就是成因風險(causal risk)的管理,亦即你能管理的部分。(至於風險管理的評量,則著重在結果的分析。) 之所以說是暫時性定義,是因為它假設風險要麼發生,要麼不發生。當然,這種說法並不能一體適用,許多風險不必然會發生,對專案造成的不利影響也不盡相同。為了考量這些非兩極化的風險,後續章節會重新思考風險的定義。目前,上述定義應已足夠。
風險與問題
有關風險的定義,還有另一種拐彎抹角的說法:所謂風險,就是還沒發生的問題;所謂問題,則是已經成形的風險。 在問題發生之前,風險只是抽象的概念,是某種有可能會對專案造成影響的事物,忽視它,可能結果也不怎麼樣,但若不管它,並不代表沒有管理疏失,套句William Clifford說的話,只是──「還沒遭到報應」。 風險管理是在問題發生之前,預先思考應變措施的過程,這還是一個抽象的概念。而與風險管理相對的危機管理(crisis management),則是在問題發生之後,嘗試去琢磨該怎麼善後。
風險蛻變和蛻變指標
想像一下,當原來某些被視為風險的事物突然變成問題時,本來很抽象,只是一種可能性,但現在不再抽象,它發生了,這個時間點我們稱風險成形(materialize),即風險蛻變(risk transition)之時。 對風險管理者來說,蛻變是很重要的概念──它是一個事件,任何事先為風險規劃的行動,都因這個事件而觸發了。好吧!在大部分的時候,實際上的蛻變可能並不那麼明顯(比如說,海珊決定要入侵科威特了),真讓你明顯看到的,就是蛻變指標(transition indicator)(大批軍隊已在邊境集結)。任何需要納管的風險都有某些蛻變指標存在,當然,其中某些指標特別管用,它們多半跟重大事件有關。
紓緩
你之所以會在意蛻變,正是因為當指標出現警訊時想採取某些行動,若在蛻變前冒然行動就太早了──這也許既花錢,又浪費時間──於是,理所當然,你希望能免則免。然而,當要暫緩某些應變措施時,某些方面卻可能不允許耽擱,為了保持決策彈性,並為可能的後續發展進行修正,有些步驟在蛻變前就必須進行,這叫做紓緩(mitigation)。 請觀察一個非我們本行的紓緩範例:美國的法院系統。每位陪審員都可能會生病、退休、過世,或因故不再適任,於是法院會為每個陪審案指派幾位代理陪審員,假如原班人馬能勝任,就沒代理陪審員的事,一旦有需要,他們隨時都可上場──由於代理陪審員也是全程參與,所以能掌握全盤狀況──加入這個角色,整個案子就可不受某個人影響而順利進行下去。這裡要對付的,就是當某個陪審員無法出席,因而造成流會、再審的風險,這些都伴隨金錢和時間的損耗;紓緩行動就是一開始引進一位以上的後補人員,假如風險成形,就可用最小的代價將之消弭。 把陪審員缺席類比到IT產業裡的專案,就是人力流失,這是所有軟體專案都會遭遇的重大風險之一。類似於指派代理陪審員的做法,便是一開始配置過多的人員,暫時把超額人手當作見習或支援性的角色,一旦有人離職,不必重新雇用新手,只要選擇一位見習人員來接手,便可在最短時間內恢復生產力。 紓緩不但花錢,也花時間,如果運氣好到沒話說,這些花出去的錢和時間就顯得有點浪費,由此可能會引申出一個會讓你做不好風險管理的謬誤,所以,我們後續會再針對這一點加以說明。
範例:學校裡的風險管理
運用剛定義過的術語,讓我們來做個練習。想像一下,您是一所貴族私立寄宿學校的校長,照顧五到八年級的小男生和小女生,目前正在實施風險管理。 身為這一行的專家,您非常清楚有哪些重大變故(風險)可能會發生並危及孩童,為此,您時時刻刻都在煩惱,一直無法放心,畢竟,託付給您的都是別人的孩子,這責任可不輕。 有些惱人的事,也許只要在蛻變時動點腦筋,就可被您或幕僚們控制住,平安度過。例如,並沒有必要弄出一份如何處理枕頭大戰的詳盡計畫,任何一位能幹的老師都知道該怎麼處理,也有能力處理得很好。 但您心裡有數,還有一類較為嚴重的風險,需要嚴肅面對,必須事先深入規劃才行,例如,宿舍失火。總不能讓一場大火證明您沒有做好災前功課,這非常丟臉。這些功課(紓緩措施)包括滅火器的配置、警鈴的裝設、消防演習、自動灑水系統的投資等等。 當這類風險發生時(蛻變),剛開始可能不易察覺,所以,必須擬出一個機制,以持續留意某些狀況出現時發出警告(蛻變指標)。這些機制有一些選擇,或許只要請宿舍管理員每隔幾個小時就去查看一下偵煙器和感熱器,也可以安裝煙霧警報器。在下決定時,您認為蛻變指標應該越早發現狀況越好,於是煙霧警報器明顯是比較好的選擇。 您很清楚,火災只是眾多必須做好預防措施的風險之一,於是您召集全體老師和員工,向他們提出問題。您建議大家開個研討會(風險探索腦力激盪),把所有必須事先規劃的風險整理出一份完整的列表(風險調查報告)。 您問:「哪些風險必須事先做好準備呢?」他們提出火災、運動傷害、食物中毒、被老師、員工或校外的陌生人性侵害、學生之間進行性實驗、毒品、槍械、因意志消沉而自殺、攻擊老師或其他孩童等等。 其中也包括某些不值得納入管理的意見(學校被隕石打了個正著,只剩下殘垣瓦礫,全體師生壯烈成仁),還有一些不太確定是否該算在您責任範圍內的,例如,「某些科學方面的課程動搖了某位學生的宗教信仰」。這是該去管理的風險嗎?記下來,將之納入腦力激盪的討論,隨後持續重新檢討這份列表,針對這些風險進行某些更深入的工作(風險分析)。您必須決定哪些風險該管理,哪些不必管理(風險分類),最起碼要決定最適合的觸發機關(蛻變指標),規劃好蛻變前該採取的行動(紓緩措施),並評估風險的相對重要性(承擔分析)。 當腦力激盪趨於穩定,並不意味就沒事了,還得律定一套長遠的運作機制(持續進行的風險探索程序),以找出需要納管的新風險,或許得指派專人負責(風險主任)。
風險管理的主要活動
從上述的例子中,可摘要出五個主要的風險管理活動: ● 風險探索(risk discovery):一開始先進行風險腦力激盪,然後把風險歸類,再訂出一套可長可久的運作機制,使這套程序持續進行下去 ● 承擔分析(exposure analysis):以風險成形的機率、及其潛在的衝擊程度為基礎,量化每個風險 ● 應變規劃(contingency planning):萬一風險真的成形,你期望採取的行動 ● 紓緩(mitigation):在風險蛻變前必須進行的步驟,使事先規劃的應變行動在必要時能發揮作用 ● 蛻變的持續監視(ongoing transition monitoring):風險被納管之後,就要進行風險追蹤,留意是否成形 以上,除第一項是屬於全面性的活動之外,其餘針對的都是個別的風險。 雖不是什麼先進技術,但正如所料,想要在辦公室裡推動風險管理,將會面臨一些特別的挑戰。
挑戰想都別想的風險
在專案面臨的風險之中,有些可能非常致命,說致命,針對的是某些人在專案建立之初就有的期待和願望。這些風險是最基本要加以管理的,但若去管理它們,顯然又會陷入與既有文化相衝突的矛盾之中。對於你負責的專案,可能早就被公司最高執行長當眾宣佈了固定的時程──在眾目睽睽的壓力之下──產品將在某一天誕生。最高執行長透過非常公開的手段,讓大家都知道這個日期,企圖讓時程延後變成想都別想的事。 其實我們都知道,對於不想看到的結果,就算宣告它絕不可能發生,也無法把它變成絕不可能,但這會使風險變得幾乎無法管理,請看下一章的例子……- 作者簡介
湯姆‧狄馬克 Tom DeMarco
他和提摩西‧李斯特(Timothy Lister)同為大西洋系統協會(Atlantic Systems Guild, www.systemsguild.com)的主持人,這是一家專攻系統建構複雜程序、特別著重在人性面的顧問公司。他們從1979年開始,便一起從事有關管理、預估、生產力、企業文化方面的授課、寫作和顧問工作,享譽國際。他們建立了網站http://www.systemsguild.com/riskology 上頭有一些風險管理的有用工具,並可配合本書使用。
湯姆‧狄馬克的寫作主題,涵蓋了開發方法、組織功能與組織功能失調,至今已是九本書的作者或共同作者,此外,他還出了兩本小說(包括《最後期限》)和一本短篇故事集。他的顧問工作主要專注在擔任專家證人(expert witness),偶爾也接受專案和團隊的諮詢工作。狄馬克現居緬因州坎登,在附近的緬因大學授課,已教了三年他喜歡的道德課。提摩西‧李斯特 Timothy Lister
他定居在曼哈頓,全副心力都花在顧問、教學和寫作上。他與湯姆‧狄馬克合著了《Peopleware》、《與熊共舞》,又與另四位大西洋系統協會的主持人合著《Adrenaline Junkies & Template Zombies: Understanding Patterns of Project Behavior》。李斯特是電機電子工程協會(IEEE)、計算機協會(ACM)的會員,也是卡特資訊科技趨勢委員會(Cutter IT Trends Council)的榮譽會員。譯者:錢一一
1968年生,中正理工學院電子工程碩士,目前任職於中山科學研究院,從事大型系統的軟體架構設計工作。譯作有《人月神話》、《與熊共舞》、《Peopleware》(以上由經濟新潮社出版)、《設計的設計》(碁峰出版)。作者序中文版序 Tom DeMarco
每當我們的作品轉換到另一個不同文化的時候,我就神往不已。美國文化和中華文化以多種驚奇面貌呈現出彼此的差異──說驚奇,乃因它的多元多樣、多采多姿──特別是一想到中文讀者們即將感受到這份成果的價值,我就滿心歡喜,果真如此,就要歸功於譯者錢一一先生的膽識與靈巧,從我們交談的過程當中,我發現他是一位觀察很敏銳的讀者,思維周密,善於分析。同時,也要感謝經濟新潮社對本書所展現的企圖心。
任何著作能夠突破文化差異的限制,就是一項奇蹟,對《與熊共舞》來說尤其如此,因為這本書講的是風險,而風險認知在本質上就深受文化的影響。受到不同文化的薰陶,面對同一件事情,看待的方式就有千百種。就風險管理而言,其中一個與文化汲汲相關的問題,就是人們有多少意願去面對有可能衝擊本業的不利因素。在非常宿命的文化中,人們可能會選擇不理不睬,並對風險存有某種設想,想想古希臘就是這樣,「一切都是諸神的意旨」;然而在美國牛仔文化中,人們就傾向於事到臨頭再想辦法,沒事兒何必自尋煩惱。顯然,這兩種態度都與風險管理的理念相違背。
最後,在讚美譯者和出版社之餘,也要讚美一下讀者您,肯多接觸來自另一個世界、與自己文化迥然相異的著作,並認同它的價值,進而應用在自己的工作上,為了表達對您的敬意,在此以我能想得到的詞彙,稱呼您為「智慧型冒險家」。謹祝您的事業冒險順利成功。
作者說明
本書共分為五個部分,每部分都旨在回答一個重要問題,這些問題可能是一般新任的或未來的風險管理者很想問的。
Part I :為什麼要自尋煩惱做風險管理?
Part II :為什麼不要做風險管理?(有些組織根本不願引進風險管理,作者忠實舉出一些潛在的理由。)
Part III:該如何做風險管理?
Part IV :組織該冒多少風險?
Part V :怎麼知道風險管理管不管用?
每部分一開始,都會把上述問題再分解成幾個更小的問題,隨後的章節讀完後,便能得到解答──或許,我們也還沒找到最完美的解答。
發言
本書大部分是屬於聯合發表的內容,文中若看到「我們」兩字,指的就是咱們兩個作者,有時,我們也喜歡發表一下個人觀感,這部分的段落就會標註成:
TRL:這代表是我(Tim)在說話。
TDM:而這是我(Tom)。
網站
做為本書的補充材料,第12章會提到一個我們建立的網站:
http://www.systemsguild.com/riskology
上頭放了一些有助於風險管理的工具。若有新工具,或有什麼新消息,我們也會隨時更新網站。
關於書名
「與熊共舞」其實是取材自Dr. Seuss所著的《The Cat in the Hat Songbook》裡頭的一首歌,1 歌詞裡說Terwilliger叔叔每個禮拜六都會「悄悄走下樓,/躡手躡腳出門,和熊跳起華爾滋」。
Terwilliger叔叔無疑是一位冒險家──希望他對風險評估(risk assessment)、抑制(containment)、紓緩(mitigation)很有一套,若如此,他就是專案經理的最佳模範了。對具有風險的軟體專案來說,必要時,這些專案經理都得跟自己的熊跳一跳舞。
1 Dr. Seuss and Eugene Poddany, The Cat in the Hat Songbook(New York: Random House, 1967,中譯本《戴帽子的貓》遠流出版).目錄
中文版序 Tom DeMarco
致謝
作者說明
序言 信仰的道德
PartⅠ:為什麼要管理風險
1. 擁抱風險
2. 風險管理是成年人的專案管理
3. 丹佛國際機場的省思
4. 進行風險管理的理由
Part II:為什麼不管理風險
5. 反對風險管理的理由
6. 不確定性的臭名
7. 運氣
Part III:如何管理風險
8. 將不確定性量化
9. 風險管理的技巧
10. 風險管理的處方
11. 回到根本
12. 工具和程序
13. 軟體專案的核心風險
14. 風險探索的明確過程
15. 風險管理的動態追蹤
16. 漸進式風險紓緩
17. 終極的風險紓緩策略
Part IV:該冒多少風險
18. 價值的量化
19. 價值也一樣不確定
20. 敏感性分析
21. 值不值得冒險
22. 改良風險管理的處方
Part V:管不管用
23. 風險管理測驗
附錄A 信仰的道德,第1部分
附錄B 風險範本
參考資料
索引
譯後記