第9章软件工程风险管理.ppt

基于CMMI的软件工程 风险管理 第九章风险管理 风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪 风险的概念 风险是项目执行全过程中可能发生 一旦发生就会影响目标的实现并进而造成损失的事件或问题 两个明显的特征 不确性 事件可能发生也可能不发生 必然发生的事件应列入项目的约束条件 损失 事件一旦发生 就会造成 成本 进度和质量等方面的 损失甚至出现严重的恶性后果 2020 3 30 杭电软职张万军 4 风险管理就是成年人的项目管理 风险与工作同样重要一个成熟的项目管理者 一个聪明的企业家 不能 将风险管理看作是项目工作以外的额外活动将风险管理看作是本身职责范围以外 由他人负责的活动风险管理 作为一门科学 始于16世纪文艺复兴时代 人 People 要点 风险管理涉及所有层次的人员 各有各的职责 学习 培训和经验有助于提高个人风险管理能力 机构应采取足够的激励措施 克服风险管理的障碍 了解个人的风险偏好 Preference 用以预测个人行为 过程 Process 要点 风险管理过程可划分为二个子过程 5个过程元素 风险评估 含风险识别 风险分析 风险控制 含风险策划 风险跟踪 风险应对 过程可以伸缩 以便适应不同类型和不同规模的项目 过程应有必要的灵活性 过程执行应讲究成本效益 风险管理能力关键因素 3 基础设施 Infrastructure 要点 决策者的价值观通过机构方针影响或约束人们的行为 客户和部门管理者通过需求为项目设定预期目标 运用资源应对风险 分析风险管理的成本和收益 4 实施 Implementation 要点 制定一个主动的 高质量的风险管理计划 选择符合项目特性的方法和工具 风险管理能力关键因素 续 1 路线图第一步 业务分析信息获取限制条件分析工具报告汇总2 路线图第二步 风险识别风险分析基础潜在限制条件风险识别工具风险识别报告 风险管理路线图 3 路线图第三步 风险评估和衡量风险评估对象风险评估障碍风险评估工具风险评估报告4 路线图第四步 风险规划和应对应对的风险事项风险应对的障碍风险应对方法风险应对策略5 路线图第五步 风险管理体系的全面实施风险管理体系的基本要素设计 实施风险管理能力企业全面风险管理体系的启动和监控 风险管理路线图 第九章风险管理 风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪 CMMI对应实践 风险管理 RiskManagement 简称RSKM 过程域目的 在问题发生之前识别潜在的问题 以便策划风险处理活动 在项目或产品生命周期全过程中一旦需要就可启动风险处理活动以缓解对目标实现的不利影响 风险管理应该解决那些可能危及关键目标实现的问题 应采用持续的风险管理方法 以便有效地预先采取措施缓解对项目会产生严重影响的风险 SG1PrepareforRiskManagement 准备风险管理 为实施风险管理做好准备工作 通常是形成一个风险管理计划文档 为整个风险管理提供一个战略性的文件 SP1 1DetermineRiskSourcesandCategories 确定风险来源和类别 通常是通过风险源清单和风险类别清单来完成该工作 SP1 2DefineRiskParameters 定义风险参数 目的是定义用于分析和分类风险参数 以及用于控制风险管理活动的参数 SP1 3EstablishaRiskManagementStrategy 建立风险管理策略 目的是建立和维护用于风险管理的策略 RSKM 一 RSKM 二 SG2IdentifyandAnalyzeRisks 识别和分析风险 识别和分析风险 以便决定其相关的重要性 SP2 1IdentifyRisks 识别风险 识别并记录风险 SP2 2Evaluate Categorize andPrioritizeRisks 对风险进行评审 分类和排序 目的是使用已定义的风险类别和参数 评价和分类每个已识别的风险 并对其进行排序 SG3MitigateRisks 缓解风险 目的是必要时处理和缓解风险 以减少对目标实现的负面影响 SP3 1DevelopRiskMitigationPlans 开发风险缓解计划 目的是按照风险管理策略 开发重要风险的风险缓解计划 SP3 2ImplementRiskMitigationPlans 实施风险缓解计划 目的是定期监督每个风险的状态 必要时实施风险缓解计划 第九章风险管理 风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪 风险管理目的 1 规范公司风险管理过程 有效地进行项目风险的识别 制定管理策略并进行跟踪控制工作 确保项目顺利完成 2 主要内容包括 风险识别及分析 制定风险应对策略 风险跟踪及控制 作为项目计划的一部分或者单独编写风险管理计划 并经评审和控制 要提高风险管理能力 首先就应从决策层开始 高度重视风险意识的培养 注重风险价值观的建设 特别要注意以下几点 主动进行风险管理 明确风险责任 不因风险而责难普通员工 与相关人员交流风险 使风险应对责任人了解风险 从意外结果中吸取教训 风险管理能力的提高 公司 部门一级的年度计划 必需包含风险管理计划 每个项目的开发计划必需包括风险管理计划 在制定年度计划或项目开发计划的同时 必需进行风险识别 风险分析以及风险策划 针对首要风险明确风险责任 确定风险应对策略 制定风险应对行动计划 公司和部门均应建立风险跟踪制度 跟踪风险和风险管理计划 定期 或事件驱动 验证风险管理活动相对于风险管理计划的符合性 在每周或每月的例会上应报告风险 在每月或每季的里程碑会议上应评审风险 每个项目组 每个部门以至全公司 应重视经验积累和共享 建立并维护风险数据库 各级管理者不得以风险识别的结果评价员工个人的表现 风险管理方针 公司级 每个项目指定一个风险管理人员 一般为项目经理 并制定风险管理计划 可以为项目开发计划的一部分 项目风险管理人员职责在风险管理计划中被明确分配 在整个生命周期中按计划执行风险管理活动 建立相应的配置管理库存储相关的风险记录 QA经理 项目经理 质量保证工程师定期审计风险管理活动 风险管理方针 项目级 第九章风险管理 风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪 风险管理三阶段 在项目风险管理流程中 主要分为 1 识别及分析风险 得到主要的风险列表 2 制定风险管理策略 形成风险管理计划 3 对风险进行跟踪控制 并在此过程中再识别分析可能出现的新风险 风险管理活动流程图 识别风险 在项目开发过程中 一般可以从下面几个方面进行识别 项目组在项目经理指导下展开风险研讨 必要时吸纳项目相关人员 包括市场人员 参加 对项目开发计划的工作分解结构 WBS 中所有工作要素中可能存在的风险进行识别 对风险的识别可以参照机构提供的风险数据库 对库中罗列的风险项 逐一研讨其在本项目中显含或隐含的可能性 对项目风险的识别 还可以参考其他项目或当前项目的早期阶段中识别出来的或发生过的风险 项目经理负责将识别出来的风险项记录在项目计划的风险估计的风险清单中 需求不明确 或需求分析缺陷 致使最终产品不符合 客户或市场 需要 导致项目目标偏离或在中途作重大变动 延误产品发布时间 对项目工作量估计不足 造成工作不能按计划执行 甚至放弃计划性 客户要求急 开发时间短 加班加点 放松了对过程的控制 导致缺陷不能及时发现 产品性能未达到要求 给后面的产品实施和维护工作带来了较大的压力 测试手段和时间不足 不能充分覆盖所有需求项 导致交付的产品有较多缺陷不能发现 常见风险类型 软件开发项目中风险分类表 分析风险 项目经理负责组织项目组成员对识别的风险项进行分析 评价风险发生的概率和影响度 必要时 可以邀请相关同行参与风险分析活动 项目经理组织项目组成员 结合项目管理经验和当前项目实际情况 确定各个风险项的影响估算情况 风险影响是反映风险严重性的一个重要指标 可以按这样的公式计算 风险影响 风险发生概率 影响度 风险发生概率 P 是指风险发生的可能性 其量化评价方法可按下表描述打分 影响度 C 是指当风险说明中所预料的结果发生时可能会对项目产生的影响 一旦风险发生而造成的损失 包括成本 进度等多种损失 其量化评价方法可按下表描述进行打分 根据以上两个指标的打分情况 我们就可以按下表计算出风险影响量化的值 从而可以对风险进行优先级排序 其中表内的阴影部分表示风险影响比较大 应优先关注或处理 软件项目常见前5项风险 制定风险应对策略 接纳风险 Acceptance 可以承担风险后果 并为项目计划留出必要的风险储备 回避风险 Avoidance 不参加某些项目的投标 放弃某些项目 放弃项目的某些功能 放弃 项目的 某些目标 等等 防范风险 Protection 采取适当措施 减小风险发生可能性和 或风险后果 缓减风险 Reduction 在接纳风险或防范风险的应对策略下 及时采取适当措施 减缓风险发生 防止风险进一步恶化 化解风险 减小风险后果 等等 风险研究 Reserch 收集更多的信息 进一步研究后再定 风险储备 Reserves 为项目进度 成本等留有充分的余地 风险转移 Transfer 例如 外包 外购等 实际选用何种策略 应视具体情况而定 常用的取舍准则 包括 风险赔率 分散风险 即不要把全部鸡蛋放在同一个篮子里 意指项目不应过多地依赖于一个供应商 一个客户 一种方法 一个工具以及一个人 等等 制定风险应对策略 续 确定各个风险的责任人 确定风险处理方式 规避 制定风险规避策略时 项目经理要向总工程师或研发部经理报告 并获得批准 如有必要 还需通知客户以达成一致 转移 制定风险转移策略时 项目经理要向总工程师或研发部经理报告 并获得批准 如有必要 还需通知客户以达成一致 对某些高优先级的风险不能进行规避和转移 必须承认风险发生的可能性时 可采取接受风险策略来处理风险 减缓 降低 减缓措施主要用在风险发生时 建议制定及时的 正面主动的 具体的应急方案解决问题 以便减少它对项目的影响 制定风险管理计划 纳入项目开发计划或单列 进行评审 制定风险应对策略 步骤 第九章风险管理 风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪 风险跟踪目的 风险跟踪的目的包括 监视风险情景的事件和条件 跟踪风险转化指标及时提供预警报告 为触发机制提供通知及时启动风险行动计划 收集风险应对活动的结果 定期报告风险度量 提供风险状态的可视性 在开发过程中 风险跟踪是一个日常性的工作 一般采用定期或事件驱动的方式来进行 项目组内所有组员均应当关注项目中的风险 质量保证工程师协助项目经理按照项目开发计划 定期或事件驱动地以询问责任人的方式 对风险清单中每个风险项进行跟踪 在风险管理表中记录跟踪状态 项目经理须定期对 已识别 状态的风险重新进行评估 以确定其概率 影响度和优先级是否发生了变化 必要时需对首要风险管理表进行及时的变更 项目经理在项目执行的各个阶段 需要再次对风险进行识别 确定新风险项的概率 影响度 优先级并制定应对策略 必要时对风险管理计划和风险列表及检查表进行及时的变更 以确保风险管理的动态性和完整性 项目经理对照计划定期通报风险的情况 在定期的会议上通告相关人员目前的主要风险以及它们的状态 与计划进行对照回顾风险状态 加强项目组内部交流