软件业务-风险管理过程

风险管理过程1项目组成员进行风险识别所花费的工时风险识别2风险分析的工时风险分析3风险缓解活动计划的工时风险缓解计划4各阶段的风险关闭数量与新增数量风险监控5各阶段未有效实施规避措施而发生的风险数量风险监控度量内容编号所属过程活动备注度量裁剪指南4编活动相关配置项备注号裁剪原则51风险分类风险管理计划不可裁剪2风险识别不可裁剪风险管理计划项目风险评估表3风险分析风险管理计划不可裁男4风险处理和缓解不口」裁剪活动风险管理计划项目风险评估表5风险监控项目完成后，风险转化为问题的数目不可裁剪附录引用文档/参考资料

6.16引用文档•《项目策划过程》CC202-PP-PRO-项目策划过程-CN•《风险识别参照表》CCE06-RSKM-PRC-风险识别参照表-CN•《项目风险评估表模板》CCE05-RSKM-TEM-项目风险评估表模板-CN参考资料•Carnegie MellonUniversity.Capability MaturityModel®Integration CMMI,Version

1.1for SoftwareEngineering,Staged Representation,2002•Carnegie MellonUniversity.Capability MaturityModel®Integration CMMI,Version

3.13主要步骤

3.

1.

3.24主要步骤

3.

2.

3.

2.

3.35主要步骤

3.

3.

3.

3.

3.46主要步骤

3.

4.

6.18引用文档

6.

1.

6.

7.

1.1规范项目风险评估管理过程，为风险管理活动提供指导，使风险带来的损失降低到最小适用范围

1.2适用于公司所有软件项目，并适用于产品生存周期的各个阶段错误!未找到引用源读者对象

1.3项目开发过程中与风险管理相关人员，包括项目经理、PPQA人员、CM人员、测试经理、高层经理，过程改进组成员（EPG）、客户代表、产品经理等过程总体描述过程概述

2.12风险管理需要处理可能危及关键目标的问题；是一种连续的前瞻性的过程，是项目管理过程的重要组成部分应采取主动的、持续的风险管理方法，确保有效的预测或缓解产品生存周期中具有关键影响的风险角色和职责

3.2在风险管理相关的活动中，涉及的角色包括高层经理，项目经理，风险管理执行人，质量保证人员（PPQA）,配置管理人员（CM）,风险管理小组成员等主要职责与对其的能力要求如下角色职责能力要求高层经理选择性参与软件项目风险估计评审项目的风险估计并批准能够提供足够的资源；具备风险识别能力项目经理组织识别、分析风险；具备风险识别、分析和管理能力；了解并制定缓解风险计划并予以实施；对风险能够采取适当的方法缓解风险估计与管理规程在项目进展过程中的正确实施负有全面的责任风险管理执行负责推进风险评估与管理工作，根据具备风险识别和管理的能力；人项目规模和复杂程度，可由项目经理兼任或由项目技术负责人兼任质量保证人员定期评审项目软件风险评估与管理活动具备风险识别能力PPQA的执行情况，并报告结果配置管理人员对风险管理数据进行配置管理，并报告经过风险管理数据的配置管理的培训CM状态风险管理工作负责分析、解决和记录该项目的任何风有相关的技术背景和软件开发经验；组成员险由具有不同的技能组成如设计、开发、测试、质量保证等；保证项目的关键区域都有相应的代表；具备风险识别、分析和管理的能力；项目组成员参与风险识别、分析、缓解计划和控制工作过程结构/流程描述

2.3风险管理周蒯刨区曲生图风险管理活动分解图示1风险管理过程准备风险管理

3.13建立并维护用于识别、分析以及缓解风险的策略，以实施风险管理的准备工作风险管理策略通常记录在风险管理计划中该策略说明了风险管理的特定活动和管理方法，包括识别风险来源，确定风险分类的方法，以及定义有效处理评估、限定和控制风险的参数主要步骤

3.

1.1定义风险来源和类别

3.

1.

1.1定义风险来源提供了一种基础，在此基础上，可以通过系统化地检查随时间改变的状况，及时发现风险对项目目标达成产生的影响风险来源可以来自项目的内部和外部随着项目的进展，还可能识别出新的风险来源建立风险类别提供了一种收集和归纳风险的机制，同时可以采取恰当的措施关注那些对达成项目目标有较为严重后果的风险1）定义风险来源将风险可能发生的共同来源（内部和外部）确定下来，常见的风险来源有a）范围风险与范围变更有关的风险b）质量风险没有按照要求的技术性能和质量水平完成任务c）进度风险没有在预算的时间范围内完成任务d）成本风险没有在预算的成本范围内完成任务e）技术风险技术变化f）法律风险许可权、专利、合同失效、诉讼、不可抗力等g）外部可预测风险市场风险（原材料可利用性、需求）、日常运作（维修需求）、环境影响、社会影响、货币变动、通货膨胀、税收h）外部不可预测风险规章（不可预测的政府干预）、自然灾害i）内部非技术风险战略风险（组织的经营战略发生了变化）、管理风险（组织管理人员是否成熟等）关于典型的风险来源请参照《风险识别参照表》2）定义风险类别决定风险类别时，可以考虑下列因素a）产品生存周期模式的各个阶段b）使用的流程类型；c）使用的产品类型；d）规划管理风险（如合同风险、预算风险、进度风险、资源风险等）关于风险的分类，请参照《风险识别参照表》定义风险参数

3.

1.

1.2定义用来分析以及分类风险的参数，以及用于控制风险管理成本的参数主要的工作内容包括:1）定义一致性的准则，用以评估及量化风险的可能性以及严重程度包括估计风险发生的概率以及严重程度的范围关于风险参数请参照《风险识别参照表》2）定义每一种风险类别阈值对每一种风险类别，可建立一个阈值以决定风险的可接受性或者不可接受性、风险的优先顺序，以及管理行动的启动方式3）定义某种风险类别阈值的范围采用范围的定义可以用来限定风险管理的投入程度，以避免资源的过度消耗创建并维护风险管理策略

3.

1.

1.3风险管理策略应该由共同的成功愿景所引导，从交付产品、成本和任务实用性出发来描述对未来项目结果的期望风险管理策略通常记录在项目的风险管理计划之中，并由相关的人员评审，获得理解和承诺综合性的风险管理策略涉及的主要内容包括•用于界定风险管理工作的范围•用于风险识别、风险分析、风险缓解、风险跟踪和报告的方法和工具•项目特有的风险来源•风险的归类、界定和分析•关于已识别风险的阈值、参数和确定是否采取措施的判断依据•所要使用的风险缓解技术（如原型设计、模拟或迭代式开发）•用于监督风险状态的风险度量项的定义•风险监督或重新评估的时间间隔等针对卜8分的低风险我们的策略是接受，基本不采取相应的措施，定期更新风险状态针对9-18分的中等风险我们的策略是制定相应的风险缓解计划，制定风险缓解措施，每周例会评审风险，并更新风险状态针对19分及以上的高风险我们的策略师制定相应的风险缓解计划，制定风险缓解措施，指定风险责任人，每周例会评审风险，一起讨论风险的状态和解决措施是否有效，并及时更新风险状O输入与输出立项评审通过，项目经理已确定；《产品需求规格说明书》已获取入口准则项目初始启动风险管理活动；被提供了足够的资源，包括人员、资金、设备、工具等《产品需求规格说明书》输入工作产品《风险识别参照表》项目任务进度安排、资源、预算出口准则项目经理和项目组成员对风险分类定义明确输出工作产品《风险管理评估表》识别和分析风险

3.2风险识别是从项目的具体情况出发，对各个相关领域进行检查，列举出可能出现的每一种风险并记录下来风险识别活动不是只进行一次，而是贯穿在项目整个过程中定期执行项目组根据项目实际情况，可以采取多种方式来识别风险•采取适当的方式组织风险管理小组讨论，以鉴别项目中的潜在风险•参考使用《风险识别参照表》，根据现有项目情况逐一对照进行判断，是识别风险的有效方法，当然即使没有在《风险识别参照表》中列出的风险也要被记录项目可根据实际情况对《风险识别参照表》进行修改与扩充后使用•通过项目相关人员随时提出的有关风险的报告•进行访谈、调查风险分析是对识别出来的风险事件作风险影响分析，确定避免或减轻风险的策略以达到降低风险、保证项目顺利进行的目的对确定的风险事件还要进行描述，如可能性、可能后果范围、预计发生时间、发生频率等主要步骤

3.

2.1识别风险并将其文档化

3.

2.

1.1找出可能会对项目产生负面影响的潜在问题、危险、威胁以及弱点等，是完整及成功进行风险管理的基础风险识别应该采用组织化并且透彻的方法来找出达成目标的过程中可能发生或者实际的风险1）在产品生存周期的所有阶段中，识别与目标、成本、日程以及成效相关的风险；2）评审可能影响项目的环境因素；3）评审所有工作分解结构（WBS）作为识别风险的一部分，以帮助确保所有的工作投入均已考虑；4）评审项目计划的所有部分作为识别风险的一部分，以帮助确保项目的各部分都被考虑；5）记录风险的内容、条件和后果；6）识别每一风险的关系人评估风险并分类，实施风险排序

3.

2.

1.2利用定义的风险种类及参数,评估及分类每一个已经识别的风险，并决定其相对的优先处理顺利1）利用已定义的风险参数、评估已识别的风险；关于风险参数请参照《风险识别参照表》2）依照定义的风险类别，将风险分类并分组；3）排列缓解风险的优先顺序可通过计算风险权重（Risk Exposure）来实现风险排序；风险权重是综合风险概率与风险影响以及时间框架，来体现风险对项目威胁的大小具体的计算公式如下•风险权重=风险概率X风险影响X时间框架对每个被识别与分析后的风险项目计算风险权重后，就可以根据风险权重的数值，从高到低进行排序对风险进行排序可以使管理者的目光集中到高级别风险的事件上输入与输出入口准则项目经理和项目组成员对风险分类定义明确《产品需求规格说明书》输入工作产品《项目开发计划》《风险识别参照表》项目过程中的所有风险被识别出来；被识别出来的风险被分析；出口准则输出工作产品《风险管理评估表》处理和缓解风险

3.3完成了风险识别和分析之后，可以根据风险性质和项目对风险的承受能力制定相应的预防措施和解决方法，即风险缓解活动对每个高优先级风险，项目组都要制定出缓解风险的活动计划，并在风险达到启动阈值时实施缓解风险的计划主要步骤

3.

3.1制订风险缓解计划

3.

3.

1.1按照风险管理策略的约定，针对那些对项目最重要的风险制订风险缓解计划风险缓解计划的核心是拟订几种行动方案、规定工作区和撤退位置，以及为每个高优先级风险推荐的一个行动方案缓解风险的策略一般有•避免通过分析找出风险发生的原因消除这些原因来避免一些特定的风险事件发生•缓解通过降低风险发生的概率或风险影响量来减轻对项目的影响•接受接收风险造成的后果，如自然灾害造成的风险•转移使用合作伙伴、项目外包、保险与担保等手段来转移风险•回避当风险无法转移又不能承受时，通过改变项目来规避风险如修改项目目标、项目范围等方式•后备措施主要体现在后备费用、预留进度时间、后备技术力量三个方面这些后备措施在项目计划中就应预留，保证在项目实施过程中，能充分调用后备力量解决问题针对需要采取规避策略的风险事件，开发规避计划一旦发生风险事件，实施规避计划实施风险缓解计划

3.

3.

1.2定期监控每一种风险及其状况，以及风险缓解活动的结果本步骤的工作内容包括1）监控风险及其状况；2）采取适当的方式追踪未完成的风险处理活动，直至关闭；3）当监控的风险超过定义的阈值时，引用选定的风险处理方案；4）为每个风险缓解计划提供持续性的资源承诺，以使能够成功地执行风险处理活动；5）搜集记录每个风险管理活动的执行情况和结果的数据，包括开始时间和期望完成时间输入与输出332风险识别和分析完成入口准则输入工作产品《风险管理评估表》出口准则风险缓解计划制订《项目开发计划》输出工作产品《风险缓解计划》更新的《风险管理评估表》风险监控

3.4初始的风险管理计划反映了当时对风险的理解状况但风险是一些概率事件,依赖于外部的因素当外部因素发生变更时，新的风险可能发生，风险所引发的危害可能与以前所做的评估发生较大的差别由于对风险的理解也可能随着时间而改变，导致风险缓解计划所采取的措施可能需要变更所以必须定期对风险状态进行跟踪、再评估、必要时更新风险管理计划与项目计划主要步骤可通过以下方式对风险状况进行跟踪与重估计1）在项目周报和项目例会中对当前风险进行跟踪；2）在CCB变更评审时，对风险进行重估计；3）在里程碑评审处对风险进行重估计和总结；4）在风险管理评估表中对风险跟踪至关闭；5）项目结束时，对本项目风险管理活动的经验和体会进行总结输入与输出入口准则《风险管理评估表》完成输入工作产品《风险管理评估表》出口准则项目结束《项目开发计划》输出工作产品《风险缓解计划》更新的《风险管理评估表》。