Pada artikel yang sama, Dr. Boehm (1989) menjelaskan risk management terdiri atas aktivitas-aktivitas berikut ini :
1. Risk Assessment (menggambarkan risiko apa yang terjadi dan harus fokus terhadap yang mana)
a. Membuat daftar semua potensi bahaya yang akan mempengaruhi proyek.
b. Memperkirakan probabilitas kejadian dan potensi kehilangan dari tiap item yang didaftar.
c. Mengurutkan item-item tersebut dari yang paling berbahaya sampai kurang berbahaya.
2. Risk Control (berbuat sesuatu terhadap item-item tersebut)
a. Menggunakan teknik dan strategi untuk mengurangi risiko tertinggi.
b. Mengimplementasikan strategi untuk menetapkan faktor risiko tertinggi.
c. Mengawasi efektivitas strategi dan level perubahan risiko pada proyek.
Mengatur Risiko Secara Formal
Proses manajemen risiko formal menyediakan sejumlah manfaat bagi tim proyek. Pertama-tama, dapat memberikan mekanisme terstruktur untuk menyediakan visibilitas terhadap ancaman bagi kesuksesan proyek. Dengan memperhatikan dampak potensial pada setiap item risiko, dapat memfokuskan pada pengawasan terhadap risiko yang paling berat terlebih dahulu. Pendekatan tim memungkinkan beragam stakeholder proyek menunjukkan risiko mereka secara kolaboratif, dan melakukan mitigasi risiko dengan menentukan tanggung jawab pada individu yang paling tepat. Risk assessment dapat dikombinasikan dengan estimasi proyek sehingga dapat diukur kemungkinan penyimpangan jadwal jika risiko tertentu muncul pada suatu proyek. Tanpa pendekatan yang formal, tidak dapat dipastikan apakah aksi manajemen risiko diberlakukan pada waktu yang tepat, sesuai rencana dan efektif. Tujuan akhir dari aktivitas ini adalah membantu menghindari kejutan yang dapat dihindari, sehingga meningkatkan kemungkinan pemenuhan komitmen awal.
Organisasi pengembangan mendapatkan manfaat dari manajemen risiko, dimana dengan saling berbagi pengetahuan mengenai apa yang dapat dan tidak dapat dilakukan untuk mengontrol risiko pada sejumlah proyek membantu proyek untuk dapat menghindari pengulangan kesalahan yang sama. Anggota organisasi dapat menyatukan pengalaman mereka dan mengidentifikasi peluang untuk mengontrol risiko yang paling umum, melalui edukasi, process improvement, dan aplikasi untuk rekayasa perangkat lunak dan teknik manajemen yang telah diperbaiki. Setiap waktu, dapat dibuat daftar item risiko dan strategi mitigasi dari berbagai proyek yang dapat membantu proyek di masa mendatang melihat adanya bahaya yang tersembunyi.
Risiko dan Ketidakpastian
Risiko seringkali dihubungkan dengan ketidakpastian mengenai hal-hal yang seolah-olah dianggap di bawah kendali, padahal akan berbahaya. Ketidakpastian adalah karakteristik normal dan tidak dapat dihindari dari hampir semua proyek perangkat lunak, ketidakpastian dapat dihasilkan dari kompleksitas produk perangkat lunak yang muncul secara berkelanjutan, dan ketergesaan untuk terjun pada source code editor. Kondisi teknologi dan bisnis yang berubah secara cepat, mengakibatkan ketidakpastian akan selalu muncul. Kurangnya pengetahuan akan teknik pengembangan perangkat lunak dan tool yang digunakan juga mengakibatkan ketidakpastian yang semakin bertambah.
Mengontrol risiko dapat berarti mengurangi ketidakpastian. Tentu saja, mengurangi ketidakpastian akan mengakibatkan biaya. Perlu adanya penyeimbangan antara sejumlah biaya dengan biaya potensial yang akan didapat jika risiko datang. Dengan mengurangi terlalu banyak ketidakpastiaan bukan berarti akan mengakibatkan cost-effective. Sebagai contoh, jika suatu perusahaan khawatir dengan kemampuan subkontraktor untuk dapat mengantarkan produk yang dipesan tepat waktu, perusahaan tersebut dapat mengambil tindakan untuk bekerjasama dengan banyak subkontraktor sehingga meningkatkan atau setidaknya terdapat satu subkontraktor yang dapat mengirim tepat waktu. Namun tindakan itu akan menjadi terlalu mahal, terutama jika masalah tersebut belum tentu terjadi. Apakah hal ini bernilai ? Hal ini tergantung pada kebutuhan karena setiap situasi memerlukan keputusan yang berbeda.
Manajemen risiko proaktif bukan berarti menghindari proyek yang memiliki risiko tingkat tinggi, karena manajemen risiko bertujuan membuka mata para pengembang sehingga dapat mengetahui apa yang akan berakibat fatal, dan melakukan yang terbaik untuk memastikan faktor tersebut tidak akan mencegah kesuksesan proyek.
Tipe Risiko Perangkat Lunak
Untuk keperluan identifikasi dan mengelola risiko yang dapat menyebabkan sebuah pengembangan melampaui batas waktu dan biaya yang sudah dialokasikan maka perlu diidentifikasikan tiga tipe risiko yang ada yaitu:
� Risiko yang disebabkan karena kesulitan melakukan estimasi.
� Risiko yang disebabkan karena asumsi yang dibuat selama proses perencanaan.
� Risiko yang disebabkan adanya even yang tidak terlihat (atau tidak direncanakan).
Beberapa kategori faktor yang perlu dipertimbangkan adalah sebagai berikut:
- Application Factor merupakan Sesuatu yang alami dari aplikasi baik aplikasi pengolahan data yang sederhana, sebuah sistem kritis yang aman maupun sistem terdistribusi yang besar dengan elemen real time terlihat menjadi sebuah faktor kritis. Ukuran yang diharapkan dari aplikasi juga sesuatu yang penting sistem yang lebih besar, lebih besar dari masalah error, komunikasi dan manajemennya.
- Staff Factor merupakan Pengalaman dan kemampuan staf yang terlibat merupakan faktor utama seorang programer yang berpengalaman, diharapkan akan sedikit melakukan kesalahan dibandingkan dengan programer yang sedikit pengalamannya. Akan tetapi kita harus juga mempertimbangkan ketepatan pengalaman tersebut pengalaman membuat modul dengan Cobol bisa mempunyai nilai kecil jika kita akan mengembangkan sistem kendali real time yang komplek dengan mempergunakan C++.
Beberapa faktor seperti tingkat kepuasan staf dan tingkat pergantian dari staf juga penting untuk keberhasilan sebarang pengembangan staf yang tidak termotivasi atau person utama keluar dapat menyebabkan kegagalan pengembangan.
- Project Factor Merupakan hal yang penting bahwa pengembangan dan objektifnya terdefinisi dengan baik dan diketahui secara jelas oleh semua anggota tim dan semua stakeholder utama. Jika hal ini tidak terlaksana dapat muncul risiko yang berkaitan dengan keberhasilan pengembangan tersebut. Dengan cara serupa, perencanaan kualitas yang formal dan telah disepakati harus dipahami oleh semua partisipan. Jika perencanaan kualitas kurang baik dan tidak tersosialisasi maka dapat mengakibatkan gangguan pada pengembangan tersebut.
- Project Methods adalah Dengan mempergunakan spefikasi dan metode terstruktur yang baik pada manajemen pengembangan dan pengembangan sistem akan mengurangi risiko penyerahan sistem yang tidak memuaskan atau terlambat. Akan tetapi penggunaan metode tersebut untuk pertama kali dapat mengakibatkan problem dan delay.
- Hardware/software Factor yaitu Sebuah pengembangan yang memerlukan hardware baru untuk pengembangan mempunyai risiko yang lebih tinggi dibandingkan dengan software yang dapat dibangun pada hardware yang sudah ada (dan familiar). Sebuah sistem yang dikembangkan untuk satu jenis hardware atau software platform tertentu jika dipergunakan pada hardware atau software platform lainnya bisa menimbulkan risiko tambahan (dan tinggi) pada saat instalasi.
- Changeover Factor yaitu Kebutuhan perubahan "all-in-one" kedalam suatu sistem baru mempunyai risiko tertentu. Perubahan secara bertahap atau gradual akan meminimisasi risiko akan tetapi cara tersebut tidak praktis. Menjalankan secara paralel dapat memberikan solusi yang aman akan tetapi biasanya tidak mungkin atau terlalu mahal.
- Supplier Factor merupakan Suatu pengembangan yang melibatkan organisasi eksternal yang tidak dapat dikendalikan secara langsung dapat mempengaruhi keberhasilan pengembangan. Misal tertundanya instalasi jalur telepon atau pengiriman peralatan yang sulit dihindari dapat berpengaruh terhadap keberhasilan pengembangan.
- Environment Factor merupakan Perubahan pada lingkungan dapat mempengaruhi keberhasilan pengembangan. Misal terjadi perubahan regulasi pajak, akan mempunyai dampak yang cukup serius pada pengembangan aplikasi penggajian.
- Health and Safety Factor yaitu satu isu utama yaitu faktor kesehatan dan keamanan dari partisipan yang terlibat dalam pengembangan software walaupun tidak umum (dibandingkan dengan pengembangan teknik sipil) yang dapat mempengaruhi aktivitas pengembangan.
Ketergantungan
Banyak risiko muncul karena external dependencies, jadi strategi mitigasi dapat melibatkan rencana kontengensi untuk mendapatkan komponen yang diperlukan dari sumber lain atau bekerja dengan sumber ketergantungan untuk menjaga visibilitas yang baik ke dalam status dan mendeteksi masalah yang membayangi. Berikut ini adalah jenis-Jenis faktor risiko yang berkaitan dengan ketergantungan :
- Daftar atau informasi konsumen
- Relasi subkontraktor internal dan eksternal berikutnya
- Ketergantungan inter komponen atau inter group
- Kemampuan orang-orang terlatih dan berpengalaman
- Guna ulang proyek untuk proyek
Isu Requirement
Banyaknya proyek yang menghadapi ketidakpastian requirement (kebutuhan) produk, yang pada tahap awal pengembangan ditoleransi, namun jika tidak dipecahkan selama proyek akan mengancam kesuksesan proyek. Jika tidak melakukan kontrol pada faktor-faktor risiko, maka tidak mengherankan jika pengembang akan mengembangkan produk yang salah atau mengembangkan produk yang benar namun dengan kualitas yang buruk, dan hal-hal ini akan mengakibatkan ketidakpuasan bagi konsumen. Oleh karena itu pengembang harus memperhatikan bagaimana mendapatkan requirement yang jelas dan juga mewaspadai beberapa faktor risiko berikut yaitu :
1. Ketidakjelasan nisi produk
2. Kurangnya persetujuan/perjanjian terhadap requirement produk
3. Requirement yang tidak diprioritaskan
4. Market baru dengan kebutuhan yang tidak jelas
5. Aplikasi baru dengan ketidakjelasan requirement
6. Requirement yang selalu berubah
7. Requirement yang tidak efektif merubah proses manajemen
8. Analisis dampak perubahan requirement yang tidak memadai
Isu Manajemen
Meskipun banyak kekurangan manajemen yang dapat menghalangi kesuksesan proyek, namun merencanakan manajemen risiko tidak dapat mendaftarkan semua permasalahan, karena proyek manajer yang membuat rencana manajemen risiko biasanya tidak akan mendaftarkan semua kelemahan perusahaannya kepada publik meskipun risiko tersebut jelas-jelas diketahui oleh para proyek manajer, hal seperti inilah yang akan membuat proyek mencapai kesuksesan. Proses penelusuran proyek terdefinisi, dengan aturan dan tanggung jawab yang jelas dapat memberi petunjuk terhadap faktor-faktor risiko berikut :
- Identifikasi rencana dan tugas yang tidak memadai
- Visibilitas status proyek aktual yang tidak memadai
- Kepemilikan proyek dan pengambilan keputusan yang tidak jelas
- Pembuatan komitmen yang tidak realistik, kadang kala untuk suatu alasan yang tidak masuk akal
- Ekspektasi manajer dan konsumen yang tidak realistik
- Konflik antar staf
- Komunikasi yang kurang
Kurangnya Pengetahuan
Perubahan teknologi software yang pesat, serta semakin berkurangnya staf yang memiliki keahlian, akan membuat tim proyek tidak memiliki skill untuk meraih kesuksesan. Untuk mengatasi hal ini, kuncinya adalah mengenali area risiko secara dini sehingga dapat mengambil aksi-aksi preventif yang tepat seperti melaksanakan pelatihan, menyewa konsultan dan merekrut orang-orang yang berkompeten untuk tim proyek.
Faktor-faktor berikut ini dapat terjadi dalam tim proyek :
- Pelatihan yang tidak memadai
- Pemahaman yang kurang terhadap metoda, tool dan teknik
- Pengalaman domain aplikasi yang tidak memadai
- Adanya teknologi atau metoda pengembangan yang baru
- Proses yang tidak efektif, tidak terdokumentasi secara baik atau lalai dijalankan
Kategori Risiko Lainnya
Daftar area risiko potensial sangatlah banyak, namun permasalahan ini harus tetap diketahui agar pengembang dapat mengantisipasi. Beberapa area yang harus diperhatikan termasuk :
- Tidak tersedianya perlengkapan dan fasilitas untuk mengembangkan sistem dan melakukan perawatan.
- Ketidakmampuan untuk memperoleh sumber daya dengan kemampuan kritis
- Turnover personil-personil yang penting
- Requirement performansi yang tidak terpenuhi
- Permasalahan dengan bahasa dan internasionalisasi produk
- Pendekatan teknis yang tidak dapat bekerja