てすてぃんぐライフ

駆け出しQAエンジニアの備忘録

リスクのないプロジェクトには手をつけるな。:『熊とワルツを』を読んだ読書メモ

『熊とワルツを』(トム・デマルコ 著)を読んだ読書メモ。

http://amzn.asia/i3zcDif

 

品質保証のお仕事で普段からリスクを管理している身にとっては、結構身につまされることが書いてあったと思う。「リスクをいかに取らないようにするか」が書かれた本だと思っていたので、「リスクのないプロジェクトには手をつけるな」と最初に出てきた時はちょっとびっくりした。

特に心に残ったことを三つ挙げてみる。

  1. 潜在価値が高ければ重大なリスクでもとる価値がある。潜在価値が低ければ、たいていのリスクはとるべきでは無い
  2. 不確定性を口に出すことを許されない企業では、リスク管理はできない
  3. 不確定性を数量化して、不確定図を作成しよう

1点目は、「リスクが少なければ少ないほど良い」と普段は考えがちなので、これは目から鱗だった。「これはどれだけの価値があるのか?」を考えたい。

2点目は、チームの文化がこうならないように気をつけようと思う。

3点目は、試験計画を立てる時やスケジュールに関して関係者と合意を得る時に、不確定図を作ってみようと思った。

 

以下、超簡単に、重要そうなところを備忘録的にメモしておく。


第1部:なぜリスクを管理するのか?


・リスクのないプロジェクトには手をつけるな。
 リスクと利益は切っても切れない関係にある。
 リスクがあると言うことは、自分の能力を伸ばす機会であり、見事にやってのければ、ライバルは地団駄を踏むだろう。

・リスクとは、「将来起こりうる出来事で、望まない結果を産むもの」「望まない結果そのもの」。

リスク管理とは、原因となるリスクを管理すること

リスク管理の5つの活動
 1. リスク発見
 2. エクスポージャー分析:それぞれのリスクが実現する確率と、影響度を数量化する
 3. 危機対応計画:リスクが実現した場合に何をすべきかを計画する
 4. 軽減:計画した危機対応措置が必要な時に実行できるように、移行前にとるべき対策をとる
 5. 継続的な移行監視:管理するリスクが実現しないかどうかを監視する

リスク管理に失敗した代表的な例は「デンバー国際空港」。自動手荷物処理システムのソフトウェアの開発が遅れ、空港の開港が2年遅れた。

リスク管理の責任は、リスクを無視した場合に代償を支払うことになる当事者が負わなければならない

リスク管理を行うことで、積極的にリスクを取れるようになる
  -リスクに対する評価、数量化、対策が済んでいれば、クライアント側は論理的に判断することができ、発注できる

リスク管理は目に見えない責任転嫁を防ぐ
  -例えば、ある種のリスクをカバーするための危険準備金をクライアントが用意することになった場合、そのリスクに対する責任は、請負業者からクライアントに移譲されたと考えて良い
リスク管理をすべきでない理由はほとんど無い


第2部:リスクとは厳密にどのようなものか?それを管理するとは、どう言うことか?


・不確定性を口に出すことを許さない企業文化の中では、リスク管理はできない

・管理する価値がないリスクとは、「実現確率が無視できるほど小さい」or「もし実現した場合、現在管理している仕事など大したことではなくなる」ようなリスク。例:小惑星の衝突

第3部:リスク管理の方法とは?

・不確定性を数量化する。不確定幅を推測する。不確定図を作成する
  -例:完成予想日は、最短でN。一番遅くてM。その期間中で、相対確率が最も高い日はN+αである。

f:id:yabit:20170814154053g:plainhttp://www.systemsguild.com/adultbehavior.htm からグラフを引用

・期日が固定されているなら、不確定な要素はその日に何を納品するかという問題になる。(インクリメンタルな開発手法が望ましい)

・ソフトウェア・プロジェクトのコアリスク
 1. 内在的なスケジュールの欠陥
   -一般的に、スケジュールの超過期間は30%以上になる
 2. 要求の増大(要求の変更)
   -一般的に、予想される変更の範囲は1ヶ月につき1%未満である
 3. 人員の離脱
 4. 仕様の崩壊
 5. 生産性の低迷

・費用対効果が最適となるリスク軽減戦略は、インクリメンタル開発である
  -ただし、受け身のインクリメンタル開発手法(PMが要件の優先順位に指示を出さない)は失敗する
  -システムのうち技術的に奇跡に頼る部分は、失敗した時の損失が少なく済むように初期のバージョンに組み込むべき。
  -バージョンごとの受け入れ検査で、実質的な進捗状況を追跡しよう


第4部:リスクと機会のバランスをとるにはどうすれば良いか?

・企業にとっての最大のリスクは、価値の低いプロジェクトに無駄な労力をつぎ込み、価値の高いプロジェクトを逃して機会コストを負うことである

・潜在価値が高ければ重大なリスクでもとる価値がある。潜在価値が低ければ、たいていのリスクはとるべきでは無い
  -デスマーチの正当化にはプロジェクトの重要性が使われるが、プロジェクトがそれほど重要なら、どうして会社は適切に時間と資金を使えないのか?

・コストと効果は同じ精度で表す必要がある

・予想される価値を基準に、どれだけリスクをとるかを決めるのが良い

 

第5部:成功したかどうかはどのように判断するのか?

1. リスク調査が行われている
2. 継続的なリスク発見プロセスを実行している
3. そこら中に不確定図がある
4. プロジェクトに目標と予想の両方があり、この二つが同じになることはない。
5. 全てのリスクに対して移行指標が決められている
6. 全てのリスクに対して危機対応計画と軽減計画がある