（公共管理专业论文）基于能力成熟度模型集成的政府外包软件项目风险管理方法研究.pdf

国防科学技术大学研究生院公共管n ( m p a ) 学位论文 摘要 随着政府政务公开和网上办公的发展，大量的软件项目亟待开发。然而由于政府自身 条件的限制，难以独立完成软件项目开发，因而软件项目外包越来越受到政府部门的青睐。 然而，长期以来，政府外包软件开发项目却面临着种种困境，外包项目失败的例子比比皆 是不能满足政府的需求，不能按照预期的计划进度完成项目，花费的成本远远超出了 预期的支出等。这是因为政府外包软件开发本身是一项耗费巨大的复杂工程，涉及到政府 部门、承包方以及外部环境等多方面的不确定因素。政府外包软件项目风险管理的目的就 是找出导致这些不良后果的风险因素，对风险因素及可能造成的后果和危害进行分析，从 而为政府部门、承包方等提供有效控制风险的方案和措施。 鉴于此，本文研究了基于c m m i 的政府外包软件项目风险管理方法，包括： ( 1 ) 将政府外包软件项目风险管理与软件过程有机地结合在一起，明确提出了基于 c m m i 开展风险管理的思想和理论框架。将软件项目风险管理在理论上进行了扩展。 ( 2 ) 对基于c m m i 的政府外包软件项目风险管理中的评估技术和方法作了研究，提 出了基于证据理论的政府外包软件项目风险评估方法和基于网络层次分析的软件组织风 险评估方法。由于将风险评估的主观因素和客观因素有机结合，从而提高风险评估的客观 性和精度。 ( 3 ) 提出基于生命周期的动态风险追踪控制方法，从而提高风险管理的可操作性和 实用性，降低风险管理的成本。 ( 4 ) 通过作者在一个政府外包软件项目的调研情况，介绍了该项目的风险管理系统， 描述了基于c m m i 的政府外包软件项目风险管理过程的系统结构。提出了政府外包软件项 目风险管理的对策建议，并对实施效果进行了分析。 最后，对论文研究内容进行了总结，并对进一步的研究工作进行了展望。 主题词：政府外包软件项目，风险管理，能力成熟度模型集成，风险评估与控制，证据理 论，网络层次分析 第i 页 国防科学技术夫学研究生院公共管理( m p a ) 学位论丈 a b s t r a c t w 池t h ed e v e l o p m e n to fg o v e r n m e n ta f f a i r so p e n i n ga n do n l i n ew o r k i n g m a n ys o f t w a r ea r e n e e d e dt od e v e l o pu r g e n t l y h o w e v e r , t h e s es o f t w a r ec o u l dn o ta c c o m p l i s h e db yg o v e r n m e n t b e c a u s eo ft h e i rc o n d i t i o n s ，w h i c hl e a d st ot h es e e k i n go fs o f t w a r eo u t s o u r c i n g b u tf o ra l o n g t i m e ，g o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c t sw e r ei nad i l e m m a t h e yl a c k e dm a j o rr e q u i r e d f u n c t i o n a l i t y , f a i l e dt od e l i v e ra c c e p t a b l es y s t e m sw i t h i ns c h e d u l ea n db u d g e t t h er e a s o ni st h a t g o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c ti sac o m p l e xe n g i n e e r i n gw h i c hc o m e st og o v e r n m e n t b r a n c h e s ，c o n t r a c t o r s ，e x t e r i o re n v i r o n m e n ta n do t h e ru n c e r t a i nf a c t o r s t h e o b j e c t i v eo f g o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c tm a n a g e m e n ti st of i n dt h e s eu n c e r t a i nf a c t o r s ，t o a n a l y z et h ec o r r e s p o n d i n gr e s u l t sa n dt op r o v i d em e a s u r e sf o rg o v e r n m e n tb r a n c h e sa n d c o n t r a c t o r s t h et h e s i ss t u d i e dt h eg o v e m m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s km a n a g e m e n tm e t h o d s b a s e do nc a p a b i l i t ym a t u r i t ym o d e li n t e g r a t i o n t h ea c h i e v e m e n t sa n dm a i nw o r k si n t h i s d i s s e r t a t i o na r ea sf o l l o w s ： ( 1 ) t h eg o v e m m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s km a n a g e m e n tf r a m e w o r kb a s e do n c m m ii sc o n s t r u c t e db yc o m b i n i n gs o f t w a r ep r o j e c tr i s km a n a g e m e n tw i t hs o f t w a r ep r o c e s s ， w h i c he x p a n d st h et h e o r yo fs o f t w a r ep r o j e c tr i s km a n a g e m e n t ( 2 ) t h eg o v e m m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s ka s s e s s m e n tm e t h o d sa r es t u d i e d an e w g o v e m m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s ka s s e s s m e n tm e t h o db a s e do ne v i d e n c et h e o r ya n da n e ws o f t w a r eo r g a n i z a t i o nr i s ka s s e s s m e n tm e t h o db a s e do na n a l y t i cn e t w o r kp r o c e s s a r e p r o p o s e d t h eo b j e c t i v i t ya n dp r e c i s i o no fr i s ka s s e s s m e n ta r e i m p r o v e db yc o m b i n i n g s u b j e c t i v ef a c t o r sa n do b j e c t i v ef a c t o r s ( 3 ) an e wd y n a m i cr i s kt r a c i n ga n dc o n t r o lm e t h o db a s e do nl i f ec y c l ei sp r o p o s e d w h i c h i m p r o v e st h em a n e u v e r a b i l i t ya n dp r a c t i c a b i l i t ya n dr e d u c e st h ec o s t so fr i s km a n a g e m e n t ( 4 ) t h es o f t w a r er i s km a n a g e m e n ts y s t e mo fag o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c ti s i n t r o d u c e d t h es t r u c t u r eo fg o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s km a n a g e m e n ts y s t e m b a s e do nc m m ii sc o n s t r u c t e d s o m ea d v i c e sf o rg o v e m m e n to u t s o u r c i n gs o f t w a r ep r o j e c tr i s k m a n a g e m e n ta r ep r o p o s e da n dt h ee f f e c t sa r ea n 出y z e d s o m ec o n c l u d i n gr e m a r k sa n df u t u r ew o r ka r eg i v e na tt h ee n do ft h et h e s i s t h es o c i mr e s p o n s i b i l i t yr e f l e c t st h ep r o b l e mo fh u m a nv a l u e ，w l i c hi sa ni d i o g r a p h i c r e f l e c t i o no ft h ew e l t a n s c h a u u n g ，p h i l o s o p h ya n dt h ev a l u e s p r e s e n t l y , u n d e rt h ec o n d i t i o no f c a l l i n go nm a n a g i n gs t a t ea f f a i r sw i t ho u rv i r t u e s ，i t sg r a d u a l l yr e c o g n i z e dt h ei m p o r t a n c eo f c u l t i v a t i n go u rs o c i a lr e s p o n s i b i l i t y a sat e a c h i n gs t a f fi nan a t i o n a lu n i v e r s i t y , t h ea u t h o rw o r k s 国防科学技术人学研究生院公共管t 哩( m p a ) 学位论文 o v e rt h ef o l l o w i n gi t e m s ： 1 t od e m o n s t r a t et h ei m p o r t a n c eo fs o c i a lr e s p o n s i b i l i t i e sf r o mb o t ht h e o r ya n dp r a c t i c e ，t h e a u t h o rd e s i g n e daq u e s t i o n a r yi no r d e rt oi n v e s t i g a t et h es t a t u sq u oo ft h es o c i a lr e s p o n s i b i l i t y f r o mt h es t u d e n t si nn a t i o n a lu n i v e r s i t i e s ，w h i c hi sb a s e do nt h er e s e a r c ho ft h es t a t u sq u oo ft h e s o c i a lr e s p o n s i b i l i t y t h ea u t h o ra r g u e dt h ei m p o r t a n c eo fc u l t i v a t i n gt h es t u d e n t s s o c i a l r e s p o n s i b i l i t yt h r o u g ht h ea c t u a ld a t a 2 b a s e do nt h er e s e a r c hi nt h es t a t u sq u oo ft h ec u l t i v a t e dm o d eo ft h es o c i a lr e s p o n s i b i l i t y , t h ea u t h o rb r o u g h tf o r w a r dat h e o r yo ft h ec u l t i v a t e dm o d eo ft h es o c i a lr e s p o n s i b i l i t ya d a p t i n g t ot h es t u d e n t si nt h en a t i o n a lu n i v e r s i t y t h e nt h ef r a m eo ft h ec u l t i v a t e dm o d ei sf o u n d e db a s e d o nt h et h e o r y 3 t h ec u l t i v a t e dm o d ei sa p p l i e dt op r a c t i c e t h ea u t h o ra m p l ye x p a t i a t e dt h ep r o c e s sa n d r e s u l to ft h ec u l t i v a t e dm o d e b a s e do nt h et h e o r yo ft h es o c i a lr e s p o n s i b i l i t ya n dt h ec u l t i v a t e dm o d e ，t h ea u t h o rc o n c e i v e d t h ec u l t i v a t e dm o d eo ft h es o c i a lr e s p o n s i b i l i t y , p r o v i d i n gad i r e c t i o nw h i c hs t r e n g t h e n st h et r a i n o ft h ec u l t i v a t e dm o d eo ft h es o c i a lr e s p o n s i b i l i t ya d a p t i n gt ot h es t u d e n t si nt h en a t i o n a l u n i v e r s i t y i t sp r o v e dt h a tt h ec u l t i v a t e dm o d er e f e r r e di nt h i sa r t i c l ei sp r o p i t i o u st os t r e n g t h e n t h es o c i a lr e s p o n s i b i l i t yo ft h es t u d e n t si nn a t i o n a lu n i v e r s i t i e sa n dm a k e sc o n t r i b u t i o n sf o rt h e d e v e l o p m e n to fn a t i o n a ld e f e n c e ，c o n s e q u e n t l y , t h eg o a lo ft h i sr e s e a r c hh a sb e e na t t a i n e d k e y w o r d s ：g o v e r n m e n to u t s o u r c i n gs o f t w a r ep r o j e c t ，r i s km a n a g e m e n t ，c a p a b i l i t y m a t u r i t ym o d e li n t e g r a t i o n ，r i s ka s s e s s m e n ta n dc o n t r o l ，e v i d e n c et h e o r y , a n a l y t i cn e t w o r kp r o c e s s 围防科学技术火学研究生院公共管i 哩( m p a ) 学位论文 插图目录 图1 1b o e h r n 的软件项目风险管理框架4 图1 2c h a r e t t e 的软件项目风险管理框架5 图1 3 持续风险管理框架6 图1 4h a l l 的六学科模型7 图1 5 论文各章节的逻辑关系图1 5 图2 1c m m i 的发展过程1 7 图2 2c m m i 阶段式表示形式1 8 图2 3c m m i 的连续式表示形式一1 9 图2 4c m m i 的阶段式模型与连续式模型的比较1 9 图2 5 基于c m m i 的风险管理过程流程图2 1 图3 1 专家信息的不确定表示一3 0 图3 2a n p 的层次结构图3 6 图4 1 基于c m m i 的软件开发工期风险控制模型4 l 图4 2 软件组织过程财富库的构成4 2 图4 3 基于c m m i 的软件开发工期风险控制模型4 3 图4 4 风险追踪实例4 6 图5 1 软件风险管理系统用户界面4 7 图5 2 风险管理应用界面4 8 图5 3 过程系统结构流程图4 9 图5 4 风险管理成员组织结构图5 0 第。v 页 国防科学技术大学研究生院公共管理( m p a ) 学位论文 表格目录 表2 1 基于c m m i 的软件项目风险管理框架2 0 表3 1 政府外包软件项目风险评估常用方法2 7 表3 2 风险矩阵实例2 8 表3 3 风险影响等级的定义2 8 表3 4 风险概率的解释性说明2 8 表3 5 风险等级对照表2 8 表3 6 软件项目组织风险评估指标体系3 5 表3 7 软件组织性能评估指标权重分配表3 8 表4 1 总工期风险评判标准及应对措施4 1 表4 2e v r 项目追踪实例4 5 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料。与我一丽工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意。 学位论文题目：基至筵应盛塾鏖搓型篡盛熬廑坌i 鱼筮缝亟望迅险篮望友造塑窥 学位论文作者签名： 未缉 日期：枷分年每月矿日 学位论文版权使用授权书 本入完全了解国防科学技术大学有关保留使用学位论文的规定。本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借| j | 砭；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文： ( 保密学位论文在解密后适用本授权书。) 学位论文题目： 基王篷囟盛憝魔搓鍪墓盛邀盛皇i 鱼筮往题旦拯险筻矍左洼塑塞 学位论文作者签名：煮竺圭 作者指导教师签名： 日期：矿g 年b 月力日 日期：b 咯年毋月刁日 国防科学技术大学研究生院公共管n ( m p a ) 学位论文 第一章绪论 1 1 研究背景 在经济全球化的今天，以信息技术为依托的知识经济初见端倪，世界各国都在实施信 息化带动工业化的发展战略，信息技术的应用已渗透到社会经济各个方面，尤其在西方发 达国家，信息产业的产值已经占到了g d p 的一半以上，软件产业成为许多国家国民经济 发展的支柱产业，一个国家软件业的发达程度，从某种意义上体现了该国的综合国力，决 定着国家未来的国际竞争地位。来自i d c 的数据显示，2 0 0 3 年中国软件外包服务市场比 上年增长了3 4 2 ，首次超越3 亿美元的数字关口达到3 1 8 亿美元，虽然目前外包市场占 整个i t 服务市场的份额还不到1 0 ，但是未来五年将保持着强劲的增长态势，年均增长 可望达到4 4 2 以上，超出软件业平均增长率近一倍以上。 随着政府政务公开和网上办公的推广，大量的软件项目亟待开发。然而由于政府自身 条件的限制，难以独立完成软件项目开发，而采用外包的方式则具有很多优势：降低开发 成本和管理成本，实现关键战略目标，提供响应市场条件变化的柔性，减少在高技术方面 的投资等。因此，软件项目外包越来越受到政府部门的青睐。然而，长期以来，政府外包 软件开发项目却面临着种种困境，外包项目失败的例子比比皆是不能满足政府的需 求，不能按照预期的计划进度完成项目，或者花费的成本远远超出了预期的支出等。一些 调查标明，大约7 0 的软件开发项目超出了估算时间，大型项目平均超出计划交付时间的 2 0 到5 0 ，9 0 以上的软件项目开发费用超出预算，并且项目越大，超出项目计划的程 度越甜1 1 ，政府外包软件项目成功的几率要远远低于其它任何工程项目，政府外包软件行 业面临着严重的危机，一度使政府和软件企业蒙受经济和信用损失。 为什么政府外包软件项目要比其它工程项目成功的几率低很多呢? 这主要是由软件 产品的特殊性造成的。从某种意义上讲，软件是一种特殊逻辑产品，不具备实体的可见性， 它是由人经过智力劳动而产生出来、具有特殊性质的复杂事物【2 j 。同时，政府外包软件的 开发也不同于其它软件产品的开发，它具有自身的规律和特殊性。 政府外包软件是一种不太成熟的产品，需要在开发和使用过程中不断地改进和完 善。因此，政府外包软件产品不是一次性的生产产品，而是不断补充完善并进行 版本的升级。 第l 页 国防科学技术大学研究生院公共管理( m p a ) 学位论文 政府外包软件项目是不可见的，其开发进度以及软件的质量是否符合要求难于度 量，从而使软件项目的管理难以把握。 用户需求在政府外包软件项目进程中是不断地发生变化的，这种变化使得软件项 目管理具有动态性的特点。在软件产品开发初始阶段，用户可能对所需要的产品 不太清楚，或者有时用户需求明确，但由于开发人员对用户的需求不理解而使需 求不断发生变化。因此许多软件项目是随项目进展和开发人员与用户的不断交流 而不断变化的。正是在这样的交互中，用户所需的软件产品逐渐明确，需求的波 动逐渐减少并趋于稳定。 政府外包软件生产不存在绝对的过程形式，软件项目的可重复性较差。每个政府 外包软件项目都有自身的特点，不同的项目所处的环境大不相同，一个项目的开 发经验和实践很难再应用于其它的软件项目，即使是很类似的项目也是如此。因 此，从该种意义上讲，政府外包软件项目管理不可能总是有效，只是在某种程度 上使开发与预期偏差相对较小。 对完成一项特殊软件开发活动时间和成本的估算是非常粗略的。由于政府外包软 件项目的可重复性较差，而对软件开发活动的进度和成本的估算又大都依赖于过 去项目的历史数据和管理者经验，因此，这种估算只是大致的、不精确的。 从以上罗列的软件产品和软件项目的特点可以看出，在政府外包软件产品开发过程中 存在着许多不确定性因素，这些不确定性因素使软件项目比其它工程项目具有更高的风 险，从而导致项目失败的可能性大增，并给项目的进展造成了不良影响。政府外包软件项 目是一个复杂的系统工程，项目的失败不仅仅是技术本身的问题，更重要的还是科学管理 的问题。软件工程的形成得益于人们用工程化的思想来看待软件产品的开发，同时，软件 工程的产生又使软件项目管理应运而生。过去几十年里，人们将工程项目管理中的一些理 论成果应用到软件项目中，并结合软件项目自身的特点，逐渐形成了软件项目管理这一学 科分支。软件项目管理的出现，使所谓的“软件危机”得到了一定程度的缓解和控制，使软 件开发项目的状况得到了改善。 项目管理的目标是在有限的资源标注条件下，保证项目时间( 进度) 、质量、成本( 花 费) 达到最优化【3 喝】。而软件项目管理的主要目标是确保软件产品能够按期并且按调度方案 交付，同时还要满足用户的需求h 9 _ 0 】。但是，由于软件开发本身是一项耗费巨大的复杂 工程，其开发过程涉及到软件的规模、参与人员、开发技术和方法以及外部环境等多方面 的因素，需要进行时间、人员、管理和财物等的大量投入，所以在软件项目中存在的不确 第：页 国防科学技术大学研究生院公共管理 m p a ) 学位论文 定性因素就比较多。因此，软件项目与其它工程项目相比较具有更大的风险，对其进行风 险分析、控制和管理也就比较困难。软件项目风险管理的目的就是找出导致这些不良后果 的风险因素，对风险因素及可能造成的后果和危害进行分析，从而为开发者、用户和项目 管理人员等提供有效控制风险的方案和措施，使对软件项目的损失或影响降低到最低程度 或使决策者可接受的限度和范围。因此，从某种意义上讲，软件项目管理在很大程度上就 是软件风险管理【5 1 1 1 引。 软件项目风险管理作为一门学科分支出现于上世纪8 0 年代末，经过近三十年发展， 已经从理论、方法乃至实践上都取得了一定的进展。目前软件项目风险管理随着软件工程 技术的发展和软件企业的不断成熟逐渐成为当前软件工程领域中研究的一个热点问题，受 到业内人士的广泛关注。 本文试图在探究软件开发特点和规律的基础上，结合软件工程和项目管理的发展方 向，利用系统工程的基本原理，致力于基于c m m i ( c a p a b i l i t ym a t u r i t ym o d e li n t e g r a t i o n ， 能力成熟度模型集成) 的政府外包软件项目风险评估与管理方法的研究。同时，针对在当 前风险管理中存在的可操作性差、量化方法少、对项目的风险评估和风险控制缺乏有效技 术手段支持等缺陷，结合本人在相关项目中的调研成果，给出一套软件项目风险评估与管 理的方法。本文研究力求能帮助外包软件管理人员通过识别开发过程中的风险因素，有效 地开展风险管理，合理地制定项目计划，对软件开发过程进行更好地风险控制，从而最终 达到提高软件开发生产效率和质量，确保外包软件开发项目的成功。 1 2 国内外研究现状及发展趋势 1 2 1 软件项目风险管理的概念 s e i 认为【l9 1 ，软件项目风险管理是项目中带有过程、方法和工具的管理风险实践，它 建立了预先决策的规范环境，使得：( 1 ) 连续地评估什么可能会出错( 风险) ；( 2 ) 明确 了哪些风险因为重要而需要处理；( 3 ) 实施处理这些风险的战略。美国国防部( d o d ) 认 为【2 0 l ：风险管理是处理风险的行为或实践，它包括风险计划、估价( 辨识和分析) 风险区 域、制定风险解决方案、监督风险以确定风险的变化，并且归档整体风险管理方案。h a l l 2 1 】 认为风险管理是评估和控制影响软件项目、过程或产品的风险实践，该实践围绕目标设定、 项目计划、执行、度量、改进和发现新信息六大科目展开。j y r k i 2 2 】认为：风险管理指辨识、 分析和控制风险的活动，风险管理过程是指系统化的和显式的风险管理活动，j y r k i 还按照 实施风险管理的严格程度将风险管理分成6 级水平：即不可见风险管理( i n v i s i b l er m ，指 第3 页 囝防科学技术大学研究生院公共管理( m p a ) 学位论文 项目中没有明显的风险管理活动，所有的风险管理都本能地隐含在项目管理中) 、临时风 险管理( a dh o er m ，指项目经理偶尔进行风险管理活动，而不是出自积极主动所为) 、形 式风险管理( s u g g e s t e dr m ，有文档形式的风险管理活动结果模板，但是计划或报告中没 有相应的部分) 、必需的风险管理( r e q u i r e dr m ，正式要求和跟踪项目风险管理活动结果， 需要频繁地报告、更新和跟踪风险管理计划和风险清单) 、有支持的风险管理( s u p p o a e d r m ，组织中已经定义了实施风险管理的过程，过程包括方法、工具和基础支持设施) 、精 练风险管理( i m p r o v i n gr m ，有一个系统化的过程，在过程中捕捉风险管理经验，并以此 经验管理风险实践) 。c m m l 1 【2 3 】中认为风险管理是一种分析问题的手段它采用风险概率来 估计某种情况下的风险，以达到对相关风险更为精确的了解；风险管理的内容包括风险识 别、分析、优先级排序和风险控制。s e i 还在提出的软件工程知识体系中讲到：风险管理 是有关管理威胁开发软件产品计划风险的概念、方法和技术，包括风险识别、分析、监控、 减轻和计划，分三个知识单元：风险分析、风险管理计划和风险监控【2 4 1 。 下面对传统软件项目风险管理领域中的几种框架模型进行回顾和简要介绍。 1 2 2 传统软件项目风险管理框架简介 从软件项目风险管理的理论上看，其理论框架最初是由b o e h m 、c h a r e t t e 、h i g u e r a 、 h a i m e s 和h a l l 等人构建起来的。 1 2 2 1b o e h m 和c h a r e t t e 的风险管理框架 软件项目风险管理的创始人之一的b o e h m 在其名著“s o f t w a r er i s km a n a g e m e n f 【1 4 】中 将软件项目风险管理分为风险评估和风险控制两个大的部分，其中风险评估又分为风险识 别、风险分析和风险的优先级排序，风险控制又分为风险管理计划、风险解决和风险监控。 见图1 1 。 r 圃 ( 圃 匠 网 。忸堕 l 一； 。r 赢萄磊订 ；广 ；厂 ：i 风险控制 1 风险化解 l l i 风险监控 图1 1b o e h m 的软件项目风险管理框架 第4 页 国防科学技术大学研究牛院公共管理( m p a ) 学位论文 在此框架中，风险识别主要是提出一个潜在破坏项目成功的风险列表，这个风险列表 将作为风险控制的基础；风险分析是指评估每个风险出现的可能性及其影响，判定风险的 级别；而风险优先级排序是指按风险影响大小排出一个风险优先级。风险控制是由风险管 理计划、风险化解和风险监控组成。其中，风险管理计划是指制定一个应对每个重要风险 的方案，同时应确保每一个单独的风险管理计划之间以及与整体项目计划之间相一致；风 险化解是指每个重要风险所对应计划的执行；而风险监控是指对解决风险的过程进行监 控，风险监控还可以包括识别新的风险并将其反馈到正在进行的风险管理过程中。 b o e h m 还在其著作中给出了每个部分的相关实现技术，例如，对风险识别中给出了 1 0 大软件风险列表清单，从该清单出发，项目管理人员能够迸一步细化风险因素，并加以 评估和缓解。另外，软件项目管理人员还可以在每个里程碑处进行新的1 0 大风险识别列 表清单，实施风险管理的动态更新。 b o e h m 先生还首先提出了将风险管理加入到软件开发生命期模型中的思想，并提出 了软件开发生命期的螺旋模型，他还从经济学角度论证了软件开发问题，提出了“软件工 程经济学”的概念和方法体系，在此基础上，以b o e h m 为代表的结构成本模型( c o n s t r u c t c o s tm o d e l ， c o c o m o ) 成为软件项目风险管理领域的研究方向之一。 而c h a r e t t e 的风险管理框架四则直接将其分为风险分析和风险管理两个部分，风险分 析包括识别、估算和评估，风险管理包括计划、控制和监控，见图1 2 。 厂臣圃 _ 臣函丑臣蕊丑 j 臣回 匝 t 一。l 。_ j l 匝回 图1 2c h a r e t t e 的软件项目风险管理框架 从本质上讲，两人提出的风险管理的框架基本是相同的，而且从其内容上看与其它工 程项目的风险管理没有实质性的差别。 1 2 2 2h i g u e r a 和l t a i m e s 的持续风险管理框架模型 h i g u e m 和h a i m e s 提出的软件项目风险管理框架是美国卡内基梅隆大学的软件工程 研究所提出的风险管理理论体系中的一部分，它将风险管理化分为风险识别、分析、计划、 第5 页 蓦 囝防科学技术大学研究生院公共管理( m p a ) 学位论文 跟踪、控制五个步骤，风险管理的方式是连续循环的，其核心是风险沟通，它要求在项目 生命期的所有阶段都关注风险识别和管理，即所谓的持续风险管理 ( c o m i n u o u s 鼬s k m a n a g e m e n t ，c r m ) 框架模型【2 6 ，2 7 1 ，见图1 3 。 s e i 的模式是描述软件项目风险管理的不同组成部分之间如何相互作用的一种模型以 及软件项目风险管理如何实施的一个框架。另外，s e i 还提出了团队风险管理( t e a m 鼬s k m a n a g e m e n t ，t r m ) ，它主要是通过对风险的有效沟通来降低软件开发的风险。因此从 理论的角度来看，软件项目风险管理和其它项目的风险管理的区别不大，也是主要包括风 险评估和风险控制两部分，而且软件项目风险管理应该是一个风险管理过程，其中要涉及 到软件需求、技术、人员、以及组织等各方面的不确定性。 s e i 的软件项目风险管理框架在b o e h m 和c h a r e t t e 模型的基础上有所改进，注重了软 件项目过程的特点。但是，这一模型也只是在理论上对风险管理的过程性有一个初步的认 识，具体如何把风险管理演绎成一个动态的、持续的风险管理过程未做出详细地阐述。 图1 - 3 持续风险管理框架 1 2 2 3h a l l 的六学科模型 h a l l 的六学科风险管理模型【2 8 1 见图1 4 。其中e 代表预想( e n v i s i o n ) ，这是把思想转 化为目标和目的的学科，用于研究软件产品的远期规划；p 代表计划( p l a n ) ，是要为软件 目标分配资源的学科；w 代表工作( w o r k ) ，指生产产品计划的执行，工作的伴生产品是 状态和不确定性；m 代表度量( m e a s u r e m e n t ) ，指比较期望值和实际值的学科，两个值的 差异用于调整项目计划；i 代表改进( i m p r o v e ) ，是指从过去的经验中学习的学科，它通 过分析基准和项目度量结果，找出改进的方向：d 表示发现( d i s c o v e r ) ，是指要预知未来 的学科，是通过对工作中不确定性的评估和困惑的思考，思考机会和风险的均衡，预先指 导计划和规划的改变。 第6 页 国防科学技术大学研究生院公共管理( m p a l 学位论文 图1 4h a l l 的六学科模型 总之，以上四种风险管理框架归属两个风险管理层次，一个是研究如何识别、处理和 消除风险的学科，一个是试图识别并采取规避措施的行为或过程。它们总体上都偏重解决 开发活动内部的技术风险，在风险控制手段上也往往着眼于降低风险发生的可能性，而对 如何规避风险后果的措施不多。 1 2 2 4 基于c m m i 的软件项目风险管理框架 前面我们对传统软件项目风险管理的框架模型进行了总结和比较，这些成果为软件企 业开展风险管理提供了理论基础和依据。然而如前所述，软件项目风险管理的发展是以软 件工程发展为背景和依托的，在现代软件企业面临着开发越来越多的应用领域和规模越来 越大的软件项目时，软件企业使用传统的软件工程技术时常常暴露出软件过程的能力比较 弱的缺点，软件项目由此常处于混乱的状态，管理软件过程的能力成为制约软件开发的瓶 颈问题。为适应软件工程领域的这种变化，更好地对软件项目开展有效的风险管理，许多 学者结合软件工程中最新的实践成果，将风险管理的理论和方法进行了完善和补充，其中， 基于c m m i 的软件项目风险管理框架的提出就是一种较为有益的尝试。 文献 2 9 ，3 0 提出了基于c m m i 的软件项目风险管理框架，对软件项目风险管理的理 论作了进一步研究和扩展。 能力成熟度模型( c m m ) 是s e i 主持研发的一套评估软件能力与成熟度的标准。该 标准基于众多专家的经验，侧重于开发过程的管理，是目前国际上流行的软件生产过程标 准和软件企业成熟度等级认证标准。c m m 主要用五个不断进化的层次来表达，即初始级、 可重复级、已定义级、已管理级和优化级，项目风险管理被集成在第三级水平中。目前， s e i 将c m m 扩展为能力成熟度模型集成( c a p a b i l i t ym a t u r i t ym o d e li n t e g r a t i o n ，c m m i ) ， 从内容和特征上对c m m 进行了完善。 基于c m m i 软件项目风险管理框架的主要思想是将风险管理融入到过程管理中，使 第7 页 国防科学技术大学研究乍院公共管t 哩( m p a ) 学位论文 对软件风险的管理和控制作为一个动态的、持续改进的过程，在该过程中，在c m m i 中， 管理人员可以通过对以往历史数据的处理和使用，达到为风险管理提供量化工具和支持的 目的，使软件项目风险管理朝着可预测、有规律、可量化的管理方向发展。因此，基于 c m m i 软件项目风险管理体现了风险管理的过程特点，从而使“在过程中进行风险管理” 的原则得以真正体现【3 1 1 。其研究推动了风险管理理论与当前以软件过程改进为主导的软件 工程实践的融合。目前，该研究刚刚起步，对其进行深入探讨必能为软件项目管理人员提 供定量分析的基础和控制、决策的依据。 本文正是着眼于软件项目风险管理领域中的这一变化，在以往取得成果的基础上进行 理论和方法上的研究，并希望通过研究将取得的成果应用到软件工程的风险管理实践，为 项目管理人员进行决策提供技术支持。 1 2 3 软件项目风险管理的方法、技术和工具评述 软件项目风险管理开展近三十年来，出现了不少的方法、技术和工具，这些成果的取 得一方面与软件工程实践的深入分不开，另一方面也与工程技术的发展密切相关。纵观几 十年的文献和成果我们可以发现，大多数风险管理的方法、技术和工具常常是以系统整体 的形式出现的，其中很多方法贯穿于风险的识别、评估、分析和控制的全过程，各个方法 和工具之间也有相互交叉、相互引用的情况，同时又由于阐述的问题和所站的角度不同而 又有所侧重，但总体来说，软件项目风险管理的方法、技术和工具通常是从系统工程的思 想出发，试图将系统工程现有的技术应用到软件项目中去的，因此软件项目风险管理与系 统工程技术密不可分。下面就将其主要的成果进行简要评述。 1 2 3 i 软件项目风险识别方法 风险识别是任何风险管理活动的起点。从已有软件项目风险管理的成果来看，对风险 识别的研究方法大致有以下几种：一是风险清单( r i s kc h e c k l i s t ) 法。b o e h m 在文献 1 4 】 中给出了t o p l 0 风险序列