企业运营风险管理指南

风险管理指南1. 目的 .22. 适用范围 .23. 术语 .24. 项目风险管理描述 .24.1. 风险分类 .24.2. 风险识别 .34.3. 风险分析 .44.4. 风险处理和减缓活动 .55. 风险监控 .66. 附录 .66.1. 项目风险分析列表 .66.2. 参考资料 .97. 修订记录 .91. 目的描述项目进行过程中可能产生的风险的识别方法，制定预防风险的措施，及风险发生时的解决方法，供项目策划时根据具体项目的情况选择或裁剪使用。由此确定项目采用科学的风险识别方法，制定详细的预防措施和解决方法，以避免风险的发生，或者当风险发生时，将损失减小到最低程度。 2. 适用范围适用于公司的所有合同项目和产品项目, 风险管理贯穿于项目的整个生命周期。 3. 术语1) 项目风险：指项目中不利事件发生的不确定性。2) 软件风险：指软件开发过程中及软件产品本身可能造成的伤害或损失。3) 风险管理：对项目风险进行识别、分析和处理的过程。 4. 项目风险管理描述为了管理项目可能存在的风险，在进行项目策划时，需要进行风险分析，并制订风险管理计划，该计划可作为项目计划的一部分。风险管理应贯穿于项目工程的始终，它不是项目经理一人的任务，也不是一次性的任务，而是一个迭代的过程，任一项目成员都有责任进行风险管理。制定风险管理计划包括：风险识别、风险分析、风险处理、风险跟踪。4.1. 风险分类要进行风险管理， 先明确项目风险怎么分类。4.1.1. 按内容分范围风险：与范围变更有关的风险；质量风险：影响按照要求的技术性能和质量水平完成任务；进度风险：影响在预算的时间范围内完成任务；成本风险：影响在预算的成本范围内完成任务；技术风险：技术变化；法律风险：许可权、专利、合同失效、诉讼、不可抗力；外部可预测风险：市场风险（原材料可利用性、需求）、日常运作（维修需求）、环境影响、社会影响、货币变动、通货膨胀、税收；外部不可预测风险：规章（不可预测的政府干预）、自然灾害；内部非技术风险：战略风险（公司的经营战略发生了变化）、管理风险（公司管理人员是否成熟等）。4.1.2. 按可确定性分已知风险：如当前测试环境不能满足用户真实使用环境的模拟。可预知风险：如使用技术存在的缺陷。不可预知风险：如外购进口设备运输途中可能出现的不能如期到达或损坏的风险。 4.2. 风险识别风险识别是管理风险的第一步，即识别整个项目过程中可能存在的风险。一般是根据项目的性质，从潜在的事件及其产生的后果和潜在的后果及其产生的原因来检查风险。收集、整理项目可能的风险并充分征求各方意见后形成项目的风险和问题跟踪列表。【过程管理平台中，填写和维护“风险列表”。】4.2.1. 要进行风险识别的阶段在项目开始、每个阶段一开始、主要范围变更批准之前都要进行风险识别，实际上它在整个项目生命周期内都是一个连续的过程。4.2.2. 风险事件或风险来源要识别风险，就应该了解在项目各个阶段都有可能发生哪些风险。以软件开发为例： 初始阶段这个阶段包括立项和需求分析及软件需求规格说明书的设计（大部分业务建模和需求、少部分分析设计）。可能的风险事件有：项目目标不清；项目范围不明确（范围太大太小都不可以）； 用户参与少或和用户沟通少；对业务了解不够；对需求了解不够等。 设计阶段在这个阶段进行总体设计和详细设计。可能的风险事件有：项目队伍缺乏经验，如缺乏有经验的系统分析员；没有变更控制计划，以至于变更没有依据，该变更的不变，不该变的也变，这样得来的设计势必会失败或者偏离用户需求；仓促计划，可能带来进度方面的风险；漏项，由于设计人员的疏忽某个功能没有考虑进去等。 实施阶段在这个阶段进行大部分编码和测试，可能有设计变更或补充设计。可能的风险事件有：开发环境没有具备好；设计错误带来的实施困难；程序员开发能力差，或程序员对开发工具不熟；项目范围改变（突然要增加或修改一些功能，需要重新考虑设计）；项目进度改变（要求提前完成任务等）；人员离开，在一个项目内软件开发工作有一定的连续性，需要移交和交接，有时人员离开对项目的影响会很大；开发团队内部沟通不够，导致程序员对系统设计的理解上有偏差；没有有效的备份方案；没有切实可行的测试计划；测试人员经验不足；没有进行可行性研究等。 收尾阶段在这个阶段进行安装及维护（大部分部署）。可能的风险事件有：质量差；客户不满意；设备没有按时到货；资金不能回收；客户返馈意见引起大的变更等。4.2.3. 风险识别的方法不同项目可能发生的风险事件不同，应该对具体项目识别出真正有可能发生在该项目的风险事件。风险识别的有效方法有很多，如： 建立风险项目检查表：可以从以下几方面来检查，产品规模风险，业务影响风险，与客户相关的风险，过程风险，技术风险，开发环境风险，与人员的模式和经验有关的风险。 建立因果分析图。 征求意见：就项目可能存在的问题和不确定因素，征求项目组成员的意见。 参考以往项目的风险情况。 提问的方式：针对所识别的潜在风险，采用提问的方式确定是否应认定为风险。4.2.4. 确定所识别的风险类型软件项目一般有如下五类风险： 规模风险：项目产品本身（大系统和小系统）或由项目团队引起的风险；项目的风险是直接与产品的规模成正比的。风险因素有：估计产品的规模的方法（代码行，功能点，程序或文件的数目），产品规模估计的信任度，产品规模与以前产品规模平均值的偏差，产品的用户数，复用的软件有多少，产品的需求改变多少。 需求风险：不确定的客户需求引起的风险。很多项目在确定需求时都面临着一些不确定性。当在项目早期的需求不确定性在项目进展过程当中得不到解决时，就会对项目的成功造成很大威胁。与客户相关的风险因素有：对产品缺少清晰的认识，对产品需求缺少认同，在做需求中客户参与不够，没有优先需求，由于不确定的需要导致新的市场，不断变化需求，缺少有效的需求变化管理过程，对需求的变化缺少相关分析。 相关性风险：项目的外部环境或因素的相关性产生的风险。我们经常不能很好地控制外部的相关性，因此缓解策略应该包括可能性计划，以便从第二资源或协同工作资源中取得必要的组成部分，并且觉察潜在的问题。与外部环境相关的因素有：客户供应条目或信息，内部或外部转包商的关系，交互成员或交互团体依赖性，经验丰富人员的可得性，项目的复用性； 管理风险：组织自身的管理水平、能力成熟度引发的风险。应定义项目追踪过程并且明晰项目角色和责任，以能处理这些风险因素：计划和任务定义不够充分，实际项目状态，项目所有者和决策者分不清，不切实际的承诺，员工之间的冲突。 技术风险：由人员的技术水平和经验、使用的工具和技术的成熟度等引发的风险。在早期，识别风险从而采取合适的预防措施是解决风险领域问题的关键，比如：培训、雇佣顾问以及为项目团队招聘合适的人才等。主要有下面这些风险因素：缺乏培训，对方法、工具和技术理解的不够，应用领域的经验不够，新的技术和开发方法，不能正确工作的方法。 4.3. 风险分析风险分析是对识别出来的风险事件做风险影响分析，确定避免或减轻风险的策略及措施以达到降低风险，保证项目顺利进行的目的。对确定的风险事件还要进行描述，如：可能性、可能后果范围、预计发生时间、发生频率等。4.3.1. 和风险相关的因素和风险相关的主要四个因素： 风险事件，破坏或影响项目的事件 风险概率（%），事件发生的可能性 风险得失量（金额），说明可能造成的损失 风险影响（周），等于风险概率 风险得失量周。4.3.2. 风险分析步骤风险分析要确定每个风险对项目的影响大小，一般是对已经识别出来的项目风险进行量化估计。通过对风险及风险的相互作用的估算来评价项目可能结果的范围，从成本、进度及性能三个方面对风险进行评价。 评价风险影响：指一旦风险发生可能对项目造成的影响大小。如果损失的大小不容易直接估计，可以将损失分解为更小部分再评估它们。风险影响可用相对数值表示，建议将损失大小折算成对计划影响的时间表示。 估计风险概率：它是风险发生可能性的百分比表示，是一种主观判断。 计算风险值和和风险等级：它是评估风险的重要参数。“风险值”=“风险概率”“风险影响”。如：某一风险概率是 25%，一旦发生会导致项目计划延长 4 周，因而，风险值=25%4 周=1 周。风险等级（分为 1 级、2 级、3 级）。 确定风险优先级。哪些风险事件或来源可以避免，哪些可以忽略不考虑（包括可以承受），哪些要采取应对措施。 4.3.3. 风险分析方法 确定型风险的分析方法：盈亏平衡分析（计算和分析产量、成本和盈利这三者之间的关系）；敏感性分析（考察与软件项目有关的一个或多个主要因素发生变化时对该项目投资价值指标的影响程度）；概率分析（运用概率论及数理统计方法，来预测和研究各种不确定因素对软件项目投资价值指标影响的一种定量分析）。 不确定型风险的分析方法：有小中取大原则、大中取小原则、遗憾原则、最大数学期望原则、最大可能原则。 随机型风险的分析方法：最大可能原则、最大数学期望原则、最大效用数学期望原则、贝叶斯后验概率法等。4.3.4. 建立风险跟踪列表当风险分析完成后，将风险名称、风险的分类、风险值、风险等级和排出的风险优先级记录到风险和问题跟踪列表中的“风险跟踪列表”部分。【在过程管理平台中，填写和维护“风险列表”。】一旦完成了风险和问题跟踪列表，就可以根据概率及影响来进行综合考虑，风险影响和出现概率从风险管理的角度来看，它们各自起着不同的作用。一个具有高影响但低概率的风险因素不应当占用太多的风险管理时间 ，但具有中到高概率、高影响的风险和具有高概率及低影响的风险，就应该进行风险处理。 4.4. 风险处理和减缓活动当完成了风险分析后，就已经确定了项目中存在的风险以及它们发生的可能性和对项目的风险冲击，并可排出风险的优先级。就可以根据风险性质和项目对风险的承受能力制定相应的预防措施和解决方法的计划，即风险处理和减缓。对每个高优先级风险，项目组都要制定出处理和减缓风险的活动计划。4.4.1. 风险规避的策略一旦监视到风险，就应采取合理措施进行风险规避，可以从改变风险性质、改变风险发生的概率、改变风险的影响大小等多方面着手。风险规避的策略一般有： 避免：通过分析找出来发生风险事件的原因，消除这些原因来避免一些特定的风险事件发生。如避免客户不满意，可采用这些措施，客户参与业务建模阶段，需求阶段要多和客户沟通，了解客户真正的需求， 目标系统的模型或 DEMO 系统要向客户演示，并得到反馈意见，如果反馈的意见和 DEMO 系统出入比较大时，一定要将修改后的DEMO 系统在次向客户演示，直到双方都达成共识为止，要有双方认可的验收方案和验收标准，做好变更控制和配置管理。 减缓：通过降低风险事件发生的概率或得失量来减轻对项目的影响。如经过风险识别发现，项目组的程序员对所需开发技术不熟。可以采用熟悉的技术来减缓项目在成本或进度方面的影响。也可以事先进行培训来减缓对项目的影响 接受：接收风险造成的后果。如自然灾害造成的风险，在一个大的软件项目中，为了避免自然灾害造成的后果，考虑异地备份中心。 转移：使用合作伙伴、项目外包、保险与担保等手段来转移风险的方法，以减轻风险对项目带来的影响。 回避：当项目风险潜在威胁的可能性极大，并会带来严重的后果，无法转移又不能承受时，通过改变项目来规避风险。通常会通过修改项目目标、项目范围、项目结构等方式来回避风险的威胁。 后备措施：主要体现在后备费用、预留进度时间、后备技术力量三个方面，这些后备措施在项目计划中就应预留，保证在项目实施过程中，能充分调用后备力量解决问题。4.4.2. 制定风险规避计划针对需要采取规避策略的风险事件，要制定规避计划，一旦发生风险事件，就实施规避计划。比如：在一个软件开发项目中，某开发人员有可能离职，离职后会对项目造成一定的影响，则应该对这个风险事件开发应对计划，过程可以参照如下： 1) 进行调研，确定流动原因。2) 在项目开始前，把缓解这些流动原因的工作列入风险管理计划。3) 项目开始时，做好计划一旦人员离开时便可执行，以确保人员离开后项目仍能继续进行。4) 制定文档标准，并建立一种机制，保证文档及时产生。5) 对所有工作进行细微详审，使更多人能够按计划进度完成自己的工作。6) 对每个关键性技术人员培养后备人员。在考虑风险成本之后，决定是否采用上述策略。4.4.3. 风险管理报告无论项目进展的情况如何，都必须将风险管理的计划、行动、结果记录到风险和问题跟踪列表,在过程管理平台中填写和维护“风险列表”。风险管理的持续性要求风险和问题跟踪列表的连贯性和不间断性，因此，该报表为项目的实施、控制、管理、决策提供信息基础。对于项目采用的特殊的风险管理问题和措施，可在项目/开发计划的风险管理部分说明，参见项目/开发策划书，也可以形成单独的风险管理计划文档。 5. 风险监控制定了风险防范计划后，风险并非不存在，在项目推进过程中还可能会增大或者衰退。因此，在项目执行过程中，需要时刻监督风险的发展与变化情况，并确定随着某些风险的消失而带来的新的风险。 风险监控包括两个层面的工作：其一是跟踪已识别风险的发展变化情况，包括在整个项目周期内，风险产生的条件和导致的后果变化，衡量风险减缓计划需求。其二是根据风险的变化情况及时调整风险应对计划，并对已发生的风险及其产生的遗留风险和新增风险及时识别、分析，并采取适当的应对措施。对于已发生过和已解决的风险也应及时在风险和问题跟踪列表进行记录, 在过程管理平台中填写和维护“风险列表”。风险贯穿于项目的整个生命周期中，因而风险管理是个持续的过程，建立良好的风险管理机制以及基于风险的决策机制是项目成功的重要保证。风险管理是项目管理流程与规范中的重要组成部分，制定风险管理规则、明确风险管理岗位与职责是做好风险管理的基本保障。 6. 附录6.1. 项目风险分析列表风险分类 潜在风险因素 规避措施建议商业 合同类型风险合同的约束风险合同中与第三方的合作风险主承包商风险子承包商风险相关承包商风险协作管理方风险卖方因素风险政治因素风险风险目标、范围不明确，不知项目何时终结 规范销售、采用标准合同、工作任务书模板。签订补充协议、说明、备忘录客户的技术素养不足客户的承诺风险客户内部对需求理解不一致客户的需求不明确对客户需求变化缺少控制机制客户需求频繁变更客户需求发生重大变化无法与客户就交付形式、交付时间和交付内容达成共识客户对软件产品不认可，不在交付清单和试运行报告上签字客户不验收或拖延验收客户期望与产品功能差距太大，客户反映强烈 高级工程师介入售前，提供业务咨询、实施策略、方案设计等支持，尽量不开空头支票。变通解决、说服客户、降低客户需求。客户方风险客户对实施人员、最后应用效果不满意、发生投诉的情况。 实行工程师认证上岗制度，提高实施工程师的素质和工作能力；对项目实施质量管理，由高级工程师对方案进行审核；及时更换实施工程师、由高级工程师对方案进行优化调整人员时间和精力不能满足人员的质量意识不强人员的协作意识不强人员的沟通意识不强人员的积极性不够人员没有接受过必要的培训人员不稳定，发生变动 在项目组成立时要求所有项目组成员保持固定；健全项目组成员的激励措施。发生人员变动前及早安排其它人员接替工作，离开时办理工作交接。人力资源风险人员数量紧张缺少必要的软件硬件设备不具备测试所需的资源要求和安排不能满足测试环境准备不充分软硬件资源和环境风险关键计算机资源（指对计算机内存和硬盘空间这些资源可能超过目前可能提供的数量这种风险）项目时间紧张来自项目进度监控的风险软件产品生命周期各个阶