چگونگی ارزیابی ریسک تغییر با ۵ پرسش ساده
در واحد انفورماتیک هر روز شاهد دهها تغییر شبیه: تغییر پیکربندی سوئیچ ها، تغییر Route مسیر یاب ها، تغییر دسترسی به اینترنت، تغییر پرینترهای مجموعه، تغییر سیستم عامل کلاینت ها، به روز رسانی آنتی ویروس، آپدیت نرم افزار سازمانی، تغییر پالیسی های اکیتودایرکتوری، تغییر یک فیلد در یک نرم افزار، تغییر نرم افزار اتوماسیون اداری و ... هستیم که متاسفانه تقریباً بیش از نیمی از آنها بدون هیچ تحلیل اولیه ای از نظر میزان تأثیر و یا خطرات آن به معرض اجرا گذاشته می شوند و پس از آنکه ترافیک شدیدی را به واحد پشتیبانی سرازیر کرد و سبب نارضایتی کاربران شد می نشینیم و به اصطلاح عامیانه تر "کاسه چکنم چکنم دستمان بگیریم!"
مدیریت تغییر یک اصل کامل و ضروری برای مدیریت فناوری اطلاعات و از فرایندهای کلیدی ITIL است.
پیشنهاد تغییر، تایید اجرای تغییر، پیاده سازی تغییر و بازبینی آن یک چیز است و خطرات اجرای تغییر یک چیز دیگر! اغلب تغییراتی که در شبکه، زیرساخت و یا یک نرم افزار اتفاق می افتد متاسفانه هیچ تجزیه و تحلیل دقیقی از میزان خطرات آن صورت نمی گیرد امروزه در مباحث مدیریت خدمات انفورماتیک، شناسایی میزان خطرپذیری یا ریسک یک تغییر در فناوری اطاعات سازمان، نیازمند تجزیه و تحلیل انسانی است اما بالاخره یک روز فرا خواهد رسید که با استفاده از یادگیری ماشین و دیگر اشکال هوش مصنوعی (AI) می توان به مدیریت خدمات فناوری اطلاعات (ITSM) کمک کرد تا تجزیه و تحلیل و ارزیابی بهتری از خطرات تغییر Risks Change داشته باشد پس تا آن زمان، فعلا باید بر تجربه قدیمی، انسانی و همیشگی خود تکیه کنیم.
پیش از هر چیزی، ابتدا باید بپذیریم که ذاتاً در هر تغییری یک ریسک یا خطر وجود دارد، به عبارتی تغییر بدون خطر، اصلاً تغییر نیست! بی شک یکی از مهمترین دلایلی که همه افراد در قبال تغییر مقاومت نشان می دهند همین خطرات آن است چراکه آنها نمی خواهند آرامش سطحی و فعلی را فدای یک خطر کنند حتی اگر پشت این خطر یک تغییر چشمگیر و زیبا باشد! حتی تغییراتی که در زندگی شخصی هم دارید باید خطرات احتمالی آنرا بدقت محاسبه کنید تا تغییر مطلوب و دلچسب تری داشته باشید!
بنابراین تجربه انسانی برای ارزیابی تغییر این است که ریسک ذاتی در هر درخواست تغییر وجود دارد و اندازه لازم برای چک کردن و تعادل لازم جهت اطمینان از اینکه ریسک مستند شده و به درستی اختصاص داده می شود.
تغییر و ارزیابی ریسک تغییر
مدیر تغییر باید ریسک هایی یک تغییر را برای تمامی افراد زیر به دقت شرح و بازتاب دهد و با آنها ارتباط برقرار کند:
- درخواست کننده تغییر
- مالک تغییر
- مدیر خط
- پیاده ساز (مجری تغییر)
- بررسی کننده تغییر
- تأیید کنندگان تغییر (هیئت مشاورین تغییر)
بدون تردید سوالات بسیاری وجود دارند که با استفاده از آنها می توان از شرایط تغییر ایجاد شده، نحوه اجرا و خطرات آن، اطلاعات بیشتری را کسب کرد، مهمترین این پرسش ها، همین پنج پرسش ساده و موثر است که عبارتند از:
- چند تیم در سازمان در اجرای تغییر دخیل هستند؟
- آیا این نوع تغییر پیش از این انجام شده!؟ اگر شده با چه میزان موفقیتی انجام گرفته است؟
- چقدر این تغییر مورد آزمایش قرار گرفته است؟
- آیا تاخیر در ارایه خدمات برای اجرای این تغییر ضروری است، اگر چنین است برای چه مدت؟
- اگر تغییر ناموفق باشد برنامه بازگشت به حالت نرمال قبلی (عقب نشینی از تغییر) چگونه خواهد بود؟
اجازه دهید برای باز کردن این پرسش ها، توضیحات بیشتری را ارایه کنم همانطور که سعی می کنم توضیحات بیشتری ارایه کنم سعی می کنم طیف وسیعی از پاسخ های احتمالی را در اختیار شما قرار دهم و یک سیستم امتیازدهی برای رسیدن به یک نمونۀ کلی ریسک در اختیارتان قرار دهم.
سیستم امتیاز دهی
سیستم امتیاز دهی سنجش میزان خطر در یک تغییر بسیار ساده است در هر پرسش مطرح شده ۴ یا ۵ پاسخ احتمالی دریافت خواهید کرد. هر پاسخ به نسبت بهترین سناریو ۲ امتیاز خواهد داشت و در نهایت بدترین پاسخ امتیاز ۱۰ را خواهد گرفت. دقت کنید امتیاز کمتر نشانگر خطر کمتر است و امتیاز بیشتر یعنی ریسک بالاتر! در نهایت جمع کل تمامی امتیازات حاصل شده از هر پرسش جمع آوری می شود تا نمره فاکتور ریسک نهایی بدست آید.
پرسش ۱) تعداد تیم ها
وجود تعداد تیم های بیشتر (در یک تغییر) می تواند سبب چالش هایی نظیر: حفظ ارتباطات و هماهنگ سازی تلاش های مشترک، بروز پیچیدگی و بروز مشکل از منظر افراد مختلف، می شود. چراکه هر چقدر تعداد تیم های درگیر با یک تغییر بیشتر باشد جنبه های ریسک آن و تأثیر تغییر نیز به شدت افزایش خواهد یافت به عبارتی از آنجایی که ممکن است یک تغییر در فناوری اطلاعات بر روی تمامی بخش ها تاثیر بگذارد پس گروه ها و افراد مختلفی را از تمامی بخش های دیگر تحت تاثیر این تغییر و خطرات آن قرار خواهند گرفت بنابراین اجرای چنین تغییراتی نیازمند چکش کاری واحدها و بخش های مختلف است چراکه ریسک آن نیز بالا خواهد بود. در این نتیجه، هر چقدر تیم های بیشتری با تغییر درگیر باشند، خطر ابتلا به پیامدهای تغییر (ریسک ها) نیز افزایش خواهد یافت. این پرسش را می توان به سادگی بررسی نمایید و پاسخ های مناسب را درج کنید، مثلاً یک تیم فقط دو امتیاز را به دست می آورد. اگر دو تیم درگیر باشند، ۴ امتیاز و الی آخر....
به عبارتی: هر چقدر تعداد تیم درگیر بیشتر باشد در نتیجه خطر تغییر، افزایش می یابد.
تعداد تیم های مرتبط با تغییر |
امتیاز |
۱ تیم |
۲ |
۲ تیم |
۴ |
۳ تیم |
۶ |
۴ تیم |
۸ |
۵ تیم یا بیشتر |
۱۰ |
پرسش ۲) تجربه قبلی
همیشه تاریخ، عبرت آموز است! اگرچه ما معمولا درس نمی گیریم و تا خودمان امتحان نکنیم و سرمان به سنگ نخورد دست بردار نیستم! اما این رویه تا حد بسیار زیادی غلط است باور کنیم که تاریخ عبرت آموز است و تجربه، یک اصل مهم در موفقیت است! در پیشنهاد تغییر هم وجود تجربه مشابه و قبلی در سازمان ما و یا در سازمانی دیگر می تواند معیاری برای اندازه گیری خطر تغییر به ما بدهد به عنوان مثال در اینجا، اگر قبلا این نوع تغییر با موفقیت انجام شده، نمره ۲ و اگر هرگز تجریه مشابهی وجود ندارد نمره ۱۰٫
به عبارتی: هر چقدر تعداد به پیامدهای یک تجربه قبلی و شکست آن نزدیک می شویم خطر تغییر، افزایش می یابد.
سطح تجربه قبلی / موفقیت تغییر |
امتیاز |
تجربه قبلی موفقیت آمیز بود. |
۲ |
تجربه قبلی پس از مواجهه شدن با چند پیامد، موفقیت آمیز بود. |
۴ |
تجربه قبلی پس از مواجهه شدن با چند پیامد، ناموفق بود. |
۶ یا ۸ |
هیچ تجربه قبلی در این زمینه نیست |
۱۰ |
پرسش ۳) سطح تست
بدون تردید تست کردن، یک عامل مهم در موفقیت یا شکست هر چیزی است، به ویژه اگر در پرسش قبلی (تجربه قبلی) امتیاز مناسبی را هم دریافت نکرده باشید داشتن یک لابراتوار یا آزمایشگاه جهت تست سناریو تغییر بسیار مناسب است اگرچه این تست نه تنها برای بخش فنی کار بلکه برای تست کیفیت و چیزی که در نهایت با کاربر در ارتباط خواهد بود بسیار مطلوب است یک مکانیزم به ثمر رسیدن تغییر و کاهش ریسک آن، افزایش تعداد تست هاست. مثال، خطر تغییری که تست نشده ۱۰ امتیاز دارد.
به عبارتی: هر چقدر تعداد تست های یک تغییر کمتر باشد، خطر تغییر، افزایش می یابد.
سطح تست |
امتیاز |
تست فنی، تست کیفیت، تست کاربری |
۲ |
تست فنی، تست کیفیت |
۴ یا ۶ |
تست فنی |
۸ |
تست نشده |
۱۰ |
پرسش ۴) مدت انتظار در دسترس نبودن خدمات
در فناوری اطلاعات و ارتباطات در دسترس بودن حرف اول را می زند به همین خاطر اکثر سرویس ها را با ۹۹% دسترسپذیری می سنجند بنابراین اجرای یک تغییر بر روی خدمات ممکن است سبب قطع شدن آنها شود بنابراین بسیار اهمیت دارد که بدانید در دسترس بودن خدمات همیشه یک ارزش است بنابراین آیا برای پیاده سازی یک تغییر، قطع شدن یک سرویس لازم است یا اینکه آیا بدون وقفه در دسترس خواهد بود. در این جدول امتیاز دهی اگر خدمت بیش از ۵ ساعت از دسترس خارج شود دارای بیشترین امتیاز خواهد شد.
به عبارتی: هر چقدر زمان در دسترس نبودن خدمات، بیشتر باشد، خطر تغییر، افزایش می یابد.
مدت انتظار در دسترس نبودن خدمات |
امتیاز |
بدون قطعی |
۲ |
کمتر از ۲ ساعت |
۴ |
بین ۲ تا ۳ ساعت |
۶ |
بین ۳ تا ۵ ساعت |
۸ |
بیشتر از ۵ ساعت |
۱۰ |
پرسش ۵) زمان معکوس (برنامه عقب نشینی)
در نهایت پرسش آخر، امتیاز دادن به برنامه عقب نشینی از اجرای تغییر است که بسیار هم اهمیت دارد. بخصوص آنکه اگر در پرسش بالا امتیاز مناسب را هم دریافت نکرده باشید چراکه در این صورت این پرسش شبیه پرسش قبلی زمان در دسترس نبودن سرویس در حالت نرمال را زیر سوال می برد پس اگر در حین اجرای تغییر برنامه بازگشت یا پلانی برای عقب نشینی سریع به حالت قبل نداشته باشیم باید فاتحه خود و تغییر و انفورماتیک را بخوانیم! در این حال اگر هیچ پلان بازگشتی تدارک ندیده باشید امتیاز ۱۰ را درج نمایید.
به عبارتی: هر چقدر زمان در قطعی سرویس بیشتر و یا فاقد برنامه بازگشت باشد، خطر تغییر، افزایش می یابد.
زمان معکوس |
امتیاز |
بدون قطعی و زمان معکوس کمتر از یک ساعت |
۲ |
بدون قطعی و زمان معکوس بیش از یک ساعت |
۴ |
با قطعی و زمان معکوس کمتر از یک ساعت |
۶ |
با قطعی و زمان معکوس بیش از یک ساعت |
۸ |
هیچ گزینه بازگشتی وجود ندارد! |
۱۰ |
نمونه کار
بنابراین، تغییری که شامل ۱ تیم (۲ امتیاز) شده است، قبلا هم پس از بروز چند پیامد باموفقیت هم انجام شده است (۴ امتیاز)، کاملا مورد آزمایش قرار گرفته (۲ امتیاز) و نیاز به قطعی سرویس بین ۲ تا ۳ ساعت (۶ امتیاز) و یک قطع شدن بیش از یک ساعت با زمان معکوس معنادار (۸ امتیاز)، مجموع نمرات ۲۲ امتیاز را نشان می دهد. که میانگین آن ۴٫۴ را نشان می دهد که کمتر از حد وسط خطر است! اگرچه این فرمول و جدول امتیازدهی چیزی نیست که دقیقا علمی باشد اما روشی ابداعی برای ارزیابی صحیح میزان ریسک است و البته که باید در طول زمان تغییر یابد، این فرم امتیازدهی به شما امکان می دهد تا به درک درست و سریعی از خطرات احتمالی تغییرات را بدست آورید و به اقتضای مناسب به آن واکنش نشان دهید و صد البته با پذیرش مسئولیت اجرای تغییر به خود یا دیگران و همچنین وزن دهی به نوع تغییر قدرت تصمیم گیری لازم را داشته باشید.
فرم ارزیابی خطر تغییر
عنوان تغییر: ارتقای سیستم عامل سرور اتوماسیون اداری |
پرسش |
وضعیت |
امتیاز |
تعداد تیم های مرتبط با تغییر |
۱ تیم |
۲ |
سطح تجربه قبلی / موفقیت تغییر |
تجربه قبلی پس از مواجهه شدن با چند پیامد، موفقیت آمیز بود. |
۴ |
سطح تست |
تست فنی، تست کیفیت، تست کاربری |
۲ |
مدت انتظار در دسترس نبودن خدمات |
بین ۲ تا ۳ ساعت |
۶ |
زمان معکوس |
با قطعی و زمان معکوس بیش از یک ساعت |
۸ |
جمع امتیاز |
۲۲ |
میانگین امتیاز خطر |
۴٫۴ |
بر اساس پاسخ ها و نتایج فوق ریسک انجام
تغییر "ارتقای سیستم عامل سرور اتوماسیون اداری" در حد تقریبا وسط یعنی عدد"۴٫۴" قرار دارد و نشانگر اهمیت تغییر هست اما چندان خطرناک نیست!
درک محدوده خطرناک سازمان شما
ممکن است تعیین دقیق محدوده خطرناک در سازمان شما متفاوت باشد، اما با توجه به نرخ امتیازدهی فوق می توان گفت که میانگین امتیاز کم (خطر کم ۲ امتیاز و خطر زیاد ۱۰ امتیاز و حد وسط ۵ خواهد بود) اما باتوجه به سرویس ها و اهمیت سازمان می تواند متغیر هم باشد.
تکرار می کنم ماهیت تغییر، همراه با ریسک است پس چه مقدار خطر و چه تعداد خطر در سازمان شما برای اجرای هر تغییر می تواند مناسب باشد؟ و تحمل خرابی ها و تغییرات و خطرات تا چه حد مقبول سازمان شما خواهد بود؟ در هر صورت نمره کل را می توان با سطوح مختلف مدیریت تغییر درج و برای بررسی دقیق، مقایسه کنید. ممکن است بارُم گذار نمرا تاز بین ۱ تا ۱۰۰ باشد و تعداد پاسخ های هر پرسش بیش از ۵ مورد باشد در هر حال این ۵ پرسش، معیاری برای اندازه گیری خطرات اجرای هر نوع تغییری است.
یک مثال برای درک بهتر
فرض کنید به همراه خانواده در حال سفر هستید دو مسیر پیش روی خود دارید یک مسیر هموار و همیشگی و نزدیک و یک مسیر ناشناخته، طولانی (۵ ساعت بیشتر) و جنگلی! بجای مسیر همیشگی، ترجیح می دهید تغییری ایجاد کنید پس به دل جنگل می زنید به نظرتان خطر مواجه شدن با شیر یا حیوانات درنده و سایر خطرات را تا چه میزانی ارزیابی می کنید؟
فرم ارزیابی خطر تغییر
عنوان تغییر: مسیر سفر |
پرسش |
وضعیت |
امتیاز |
تعداد افراد درگیر با تغییر |
۳ نفر ( شما، همسر و فرزندتان) ( یا ۳ تیم) |
۲ |
سطح تجربه قبلی / موفقیت تغییر |
هیچ تجربه قبلی در این زمینه نیست |
۱۰ |
تست شده |
این مسیر قبلا تست نشده |
۱۰ |
مدت انتظار رسیدن به مقصد |
بیشتر از ۵ ساعت |
۱۰ |
مدت زمان بازگشت به سر همین دوراهی |
بیش از یک ساعت |
۸ |
جمع امتیاز |
۴۰ |
میانگین امتیاز خطر |
۹ |
در این سناریو اگر من بجای شما باشم و تنها باشم، ریسک می کنم لذت دیدن مسیر جنگلی را بسیار دوست دارم و چون تاثیر آن بر روی خود من است! و من می توانم از پس خودم و رضایت خودم هم برآیم اما بی شک همراه داشتن زن و فرزند، شرایط را به شدت متأثر می کند پس در آنصورت ترجیح می دهم خطر نکنم! بنابراین اگر خانواده را شبیه یک سازمان در نظر بگیریم تاثیر و پاسخگویی به سازمان ملاکی مهمتر از لذت بردن از زیبایی جنگل خواهد بود پس امتیاز خطر در این سناریو به شدت بالاست و پذیرش ریسک تغییر عاقلانه به نظر نمی رسد. البته این بدان معنا نیست که لذت دیدن مسیر جنگلی را برای همیشه از دست بدهیم بلکه با رسیدن به پاسخ های "سطح تست" کاملتر، ایجاد تجربه قبلی (سفر فردی یا مطالعه برای کسب اطلاعات از مسیر جنگل!) می تواند امتیاز خطر را در این سناریو به شدت کاهش دهد
پرسش نامه ارزیابی خطر |
عنوان پرسش |
پاسخ پرسش |
امتیاز |
تعداد تیم های مرتبط با تغییر |
۱ تیم |
۲ |
۲ تیم |
۴ |
۳ تیم |
۶ |
۴ تیم |
۸ |
۵ تیم یا بیشتر |
۱۰ |
سطح تجربه قبلی / موفقیت تغییر |
تجربه قبلی موفقیت آمیز بود. |
۲ |
تجربه قبلی پس از مواجهه شدن با چند پیامد، موفقیت آمیز بود. |
۴ |
تجربه قبلی پس از مواجهه شدن با چند پیامد، ناموفق بود. |
۶ یا ۸ |
هیچ تجربه قبلی در این زمینه نیست |
۱۰ |
سطح تست |
تست فنی، تست کیفیت، تست کاربری |
۲ |
تست فنی، تست کیفیت |
۴ یا ۶ |
تست فنی |
۸ |
تست نشده |
۱۰ |
مدت انتظار در دسترس نبودن خدمات |
بدون قطعی |
۲ |
کمتر از ۲ ساعت |
۴ |
بین ۲ تا ۳ ساعت |
۶ |
بین ۳ تا ۵ ساعت |
۸ |
بیشتر از ۵ ساعت |
۱۰ |
زمان معکوس |
بدون قطعی و زمان معکوس کمتر از یک ساعت |
۲ |
بدون قطعی و زمان معکوس بیش از یک ساعت |
۴ |
با قطعی و زمان معکوس کمتر از یک ساعت |
۶ |
با قطعی و زمان معکوس بیش از یک ساعت |
۸ |
هیچ گزینه بازگشتی وجود ندارد! |
۱۰ |
سناریوهای مشابه از ریسک پذیری و تغییرات اجرا شده چه در زندگی شخصی و یا زندگی حرفه ای خود را اینجا در میان بگذارید.
هادی احمدی
سلام آیا manage engine ماژولی برای محاسبه ریسک های مختلف مثل دارایی یا سرویس را دارد که بتوان با استفاده از آن بدون نیاز به سامانه مجزا ریسک های فناوری را محاسبه و مدیریت کرد؟
بله با تعیین و تعریف فیلدهای دلخواه در داراییها و نرخ در دسترسپذیری آنان و گزارش از وضعیت خرابیهای هر سرویس قادر به محاسبه ریسک آن دارایی خواهید بود.
[…] چگونگی ارزیابی ریسک تغییر در ۵ مرحله […]