系统集成项目管理工程师第十八章_项目风险管理

.,第十八章项目风险管理,信息集成项目管理工程师教程,.,项目风险,项目受众多因素的影响，任何活动都不可避免的存在不确定性，过程和结果经常出乎预料。,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4定性风险分析18.5定量风险分析18.6风险应对计划编制18.7风险监控,.,引言,Rothfeder1988:对600家成功的公司调查，35%的有项目失控的经历Jones1991:大型项目按时完成的概率几乎为0，被取消的概率与赌博一样TomGilb：如果你不主动地击败风险，他们就会主动击败你的,.,风险,风险是损失发生的不确定性；是对潜在的，未来可能发生损害的一种度量与有目的的活动有关；与将来的活动有关；,.,风险,风险是遭受损失的一种可能性。Webster风险是有害后果发生的可能性，是对潜在的、未来可能发生损害的一种预期损失。风险是一个统计概念，用于描述在给定的时间和空间中消极事件和状态影响人或者事件的可能性。R=f(P,C)R风险、P不利事件发生的概率、C不利事件发生的后果,.,项目风险,项目风险是一种不确定事件或状况，一旦发生，会对至少一个项目目标产生积极或消极影响。对项目目标的威胁；促进项目目标的机会；源于项目中不确定性因素,.,软件项目中的风险,不断变换的需求低劣的计划和估算不可信赖的承包人欠缺的管理经验人员问题技术失败政策的变化性能欠佳。,.,风险的属性,风险事件的随机性；风险的相对性；承受能力：收益的大小；投入的大小；项目活动主体的地位和拥有的资源；风险的可变性；性质变化；后果变化；新风险；,.,风险的分类,按后果划分纯粹风险不能带来机会，无获利可能；投机风险可能带来机会，获得利益，又隐含威胁、造成损失；例如采用新技术,.,风险的分类,按来源划分自然风险人为风险,.,风险的分类,按是否可管理划分可管理风险不可管理风险,.,风险的分类,按影响范围划分局部风险总体风险,.,风险的分类,按可预测性划分已知风险用户需求变更；可预测风险项目评审推迟；不可预测风险,.,风险成本,风险事件造成的损失或减少的收益以及为防止发生发生风险事件采取预防措施而支付的费用，都构成风险成本。有形成本直接损失；间接损失；无形成本机会减少；生产率降低；资源分配不当；预防与控制风险的费用保险；购买服务；设备维护；,.,风险成本的负担,个体负担社会负担,.,项目风险的三要素,风险是一个事件风险具有事件发生的概率风险事件造成的影响,.,风险图示,总体风险,.,风险事件,风险事件是指那些人们不愿意发生的或者没有规划的事件。它可能导致无法实现项目目标。例如：项目成本失控,.,风险因素,风险因素是指能够引起或者增加风险事件发生的机会或影响损失的严重程度的因素，是造成损失的内在或者间接的原因。例如：需求变化、设计错误、技术人员能力欠缺等。,.,风险因素、风险事件与风险的关系,风险因素,损失,风险事件,实际与预期差异,风险,.,风险类型,预测角度已知风险Knownknown可预测风险-Knownunknown不可预测风险-unknownunknown范围角度项目风险技术风险商业风险,.,项目风险,项目风险是指潜在的预算、进度、个人（包括人员和组织）、资源、用户和需求方面的问题。例如时间、资源分配不合理。项目的复杂性、规模的不确定性和结构的不确定性也是构成项目风险的因素,.,技术风险,技术风险是指潜在的设计、实现、接口、检验和维护方面的问题规格说明的多义性、技术上的不确定性、技术陈旧也是技术风险因素,.,商业风险,市场风险。开发的产品不是市场需要的策略风险。开发产品不符合公司软件产品策略管理风险。重点转移或人员变动失去上级部门支持预算风险。没有得到充足和预算和人员保证,.,风险的特征,风险是损失或损害风险是一种不确定性风险是针对未来的风险是客观存在的风险是相对性风险是预期和后果之间的差异，是实际后果偏离预期结果的可能性,.,风险管理,目的：识别出风险，然后采取措施使它们对项目的影响最小。增加积极事件的概率和影响，降低消极时间的概率和影响。风险管理是软件管理中新的领域，首次出现在Boethm关于风险管理的指南中。,.,风险管理,风险管理需要额外的成本只有风险管理的成本大大低于风险真正发生招致的损失情况下，风险管理才有意义。,.,风险管理是一个连续的过程,.,风险管理的层次,危机管理-救火模式：风险已经造成麻烦后才开始处理。风险缓解：事先制定好风险发生后的补救措施，但不制定任何防范措施。着力预防：将风险识别和风险预防作为软件项目一部分加以规划和执行。消灭根源：识别和消灭可能产生风险的根源。,.,风险管理,风险管理是指在项目中不断对风险进行识别、评估、制定策略、监控风险的过程。以便最大限度满足项目的目标。,.,风险管理的意义,有效地控制项目的成本、进度、产品需求可以阻止意外的发生，增加项目成功的可能性可以防止问题的出现，即使出现，也可以降低程度可以将精力更多地放到项目的及时提交上风险管理相当于一份项目保险，是一个保险投资,.,风险管理示例,一个计算机博览会，其关键目标是提供不间断的计算机服务，为达到此目的，一个明显的风险是电源故障。处理方法：部署一个UPS。,.,风险管理示例,识别风险：电源故障评价后果：博览会失败、客户流失风险管理计划：配置一套UPS,.,风险、高风险、冒险,风险范围的极限，计划过于紧张，就是冒险风险计划可以帮助说明项目困境避免冒险项目,.,软件风险,指软件开发过程中以及软件产品本身可能造成的伤害和损失。例如：软件质量下降、成本超支、项目进度推迟等。,.,风险管理推荐的措施,软件项目计划包括风险管理计划任选风险管理负责人使用TOP10风险清单，主要的风险管理工具为每项风险制订风险管理计划建立匿名风险汇报渠道,.,项目风险管理过程,风险管理计划的编制决定如何进行、规划和实施项目管理风险活动风险识别判断哪些风险会影响项目，以书面记录定性风险分析对风险概率和影响进行评估汇总、排序定量风险分析风险应对计划编制风险监控,.,项目风险管理与项目管理其他过程的关系,从成本、质量、时间目标看，风险管理与项目管理目标一致。与项目范围管理相辅相成。为项目计划制定提供依据。与成本管理相辅相成。贯穿项目实施过程。与人力资源管理相辅相成。,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监控,.,风险管理计划,风险管理计划编制过程描述如何为项目处理和执行风险管理活动。,.,风险管理计划编制的输入,1、事业环境因素2、组织过程资产3、项目管理计划4、项目章程5、项目范围说明书,.,风险管理计划编制的工具和技术,1、风险核对表法基于类似项目，一般按风险来源排列；2、风险管理表格3、风险数据库模式,.,风险管理计划编制的输出,1、风险管理计划描述在项目中如何组织和执行风险管理。方法论。定义实施风险管理的方法、工具等角色和职责。预算。分配资源、估算成本。制定时间表。风险类别。风险分解结构RBS风险概率和影响力定义。概率及影响矩阵。已修订的项目干系人对风险的容忍度。报告的格式。跟踪。,.,风险管理计划,风险管理计划描述的是整个项目生命期中，风险识别、风险分析、风险规划和风险控制是如何架构和执行的。,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监控,.,风险识别,确定风险的来源、风险产生的条件、描述其风险特征和确定何种风险可能会对项目产生影响，并将这些风险的特征形成文档的管理活动。风险识别是一个不断重复的过程。,.,标识风险,风险识别是试图通过系统化地确定对项目计划的威胁，识别已知和可预测的风险。一般性风险、特定风险内在风险、外在风险,.,风险事故,风险事故是造成损失的直接或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。直接原因-风险事故间接原因-风险因素,.,项目风险识别的特点,1全员性2系统性3动态性贯穿项目实施全过程4信息依赖性全面、及时、准确、动态的信息5综合性,.,风险识别的主要内容,1识别并确定项目潜在的风险；2识别引起风险的主要因素；3识别项目风险可能引起的后果；,.,风险识别的输入,1、事业环境因素2、组织过程资产3、项目范围说明书4、风险管理计划5、项目管理计划,.,风险识别的工具和技术,1、文件审查2、信息搜集技术德尔菲方法（专家调查法）头脑风暴法情景分析法（电影剧本）SWOT分析面谈法3、检查表（checklist）4、假设分析5、图解技术,.,风险条目检查表,检查表法是利用检查表作为风险识别的工具检查表法是根据风险要素建立软件项目的风险条目列表列表中列出所有与风险因素有关的提问可以使管理者集中识别常见的类型中的已知和可预测的风险研究表明：IT项目常常存在一些共同的风险源,.,检查表风险识别类型域,产品规模商业影响项目需求客户特性过程定义开发技术开发环境人员数目及经验,.,产品规模风险检查表,是否以LOC或FP估算产品的规模？对于估算出产品规模的信任程度如何？是否以程序、文件或事务处理的数目来估算产品规模？产品规模与以前产品规模偏差值多少？产品使用的数据库大小如何？产品用户有多少？产品需求改变多少？交付前多少？交付后多少？,.,SEI风险识别检查表,.,ProductEngineering,RequirementsStabilityCompletenessClarityValidityFeasibilityPrecedentScaleDesignFunctionalityDifficultyInterfacesPerformanceTestabilityHardwareConstraintsNonDevelopmentalsoftware,CodeandUnittestFeasibilityTestingCoding/ImplementationIntegrationandTestEnvironmentProductSystemEngineeringSpecialtiesMaintainabilityReliabilitySafetySecurityHumanFactorsSpecification,.,DevelopmentEnvironment,ManagementProcessPlanningProjectOrganizationManagementExperienceProgramInterfacesManagementMethodsMonitoringPersonnelManagementQualityAssuranceConfigurationManagement,DevelopmentprocessFormalitySuitabilityProcessControlFamiliarityProductcontrolDevelopmentSystemCapacitySuitabilityUsabilityFamiliarityReliabilitySystemSupportDeliverability,WorkEnvironmentQualityAttitudeCooperationCommunicationMorale,.,ProgramConstraints,ResourcesScheduleStaffBudgetFacilitiesContractTypeofContractRestrictionDependence,ProgramInterfacesCustomerAssociateContractorsSubcontractorsPrimeContractorCorporateManagementVendorsPolitics,.,风险识别的结果,.,SWOT分析法,环境分析法Strength-Weakness-Opportunity-Threat1列出项目的优势/劣势，可能的机会与威胁；2内部优势与外部机会组合，形成SO策略3内部劣势与外部机会结合，形成WO策略4内部优势与外部威胁组合，形成ST策略5内部劣势与外部威胁结合，形成WT策略,.,软件项目中常见的风险,1缺乏经过技术培训的人力2需求变更太多3需求不明确4人员流失5外部强加给项目的决策6没有满足绩效要求7进度不切实际8运用新技术9业务知识不够10效率低下,.,风险识别的输出,1、风险记录已识别的风险列表；风险征兆或警告信号；潜在的风险应对方法列表；风险的根本原因；更新的风险分类；2、项目管理计划（更新）,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监控18.8主要风险追踪,.,风险定性分析,通过对已识别的风险发生的概率以及影响综合程度确定其优先级，以便进一步采取措施。如定量分析、应对计划。组织可通过关注高优先级风险来有效改善项目绩效。,.,风险定性分析的输入,1、组织过程资产2、项目范围说明书3、风险管理计划4、风险登记册5、工作绩效信息,.,风险定性分析的工具和技术,1、风险概率和影响评估描述风险发生的可能性；风险发生时对项目目标的影响；2、概率/影响风险评估矩阵风险值概率影响3、风险数据质量评估4、风险分类5、风险紧迫性评估,.,风险概率,风险概率值：没有可能（0）确定（1）风险概率度量：高、中、低极高、中、低、极低不可能，不一定，可能和极可能等等,.,风险后果（影响）,风险后果风险影响项目目标的严重程度从无影响到无穷大风险后果度量高、中、低极高、中、低、极低灾难，严重，轻微，可忽略等等,.,风险概率及后果估计-矩阵图,.,风险评估指数矩阵实例,.,风险定性分析的输出,1、风险记录（更新）按优先级排列；按种类分组；需近期响应的风险列表；需进一步分析和应对的风险；低优先级风险的监视表；风险定性分析的趋势；,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监控18.8主要风险追踪,.,定量风险分析,指对定性分析过程中作为对项目需求存在潜在重大影响而排序在先的风险进行分析。是对风险事件的影响进行分析，并就风险分配一个数值。定量风险分析是在不确定情况下进行决策的一种量化方法。该过程采用蒙特卡罗模拟与决策树分析等技术。,.,定量风险分析的输入,1、组织过程资产2、项目范围说明书3、风险管理计划4、风险登记册5、项目管理计划*项目进度管理计划*项目费用管理计划,.,定量风险分析的工具和技术,1、数据收集和表示技术访谈；概率分布；专家判断；2、定量风险分析和模型技术灵敏度分析；期望货币价值分析（EMV）；决策树分析；PERT方法；蒙特卡洛分析；建模和仿真；,.,访谈,访谈技术可以量化对项目目标造成影响的风险概率和后果确定概率分布模型领域专家访谈，信息采集乐观值、悲观值、最可能值方差、标准差,.,盈亏平衡分析,确定项目的盈亏平衡点。盈亏平衡点越低，项目盈利机会越大，亏损的风险越小。,.,期望货币价值expectedmonetaryvalueEMV,是一种不确定条件下的分析方法。它首先分析和估计风险事件发生的概率和风险事件可能产生的收益/损失，然后将二者相乘，得出风险的期望值。独立统计概念。一个事件的发生和另一个事件的发生不存在任何联系，如果一组互斥的可能事件是相互独立的，那么它们的概率和为1。,.,决策树分析,决策树分析是一种图表分析方法提供项目所有可供选择的行动方案，行动方案之间的关系，行动方案的后果以及发生的概率提供选择一个最佳的方案的依据,.,决策树分析与EMV(ExpectedMonetaryValue),损益期望值是决策树的一种计算值。根据风险发生的概率计算出一种期望的损益。机会的期望货币值表示为正数，风险的期望货币值表示为负数。,.,决策树分析例子风险值？,EMV=0,失败：P=30%,outcome=-200,000,成功：P=70%,高性能：P=30%,outcome=550,000EMV=550,000*30%=165000,低性能：P=70%,outcome=-100,000EMV=-100,000*70%=-70000,EMV=95,000*70%=66500,实施后：EMV=6,500,不实施,EMV=-200,000*30%=-60000,.,决策树分析例子,.,量化检查表,量化通过检查表识别的风险的发生概率和影响程度确定风险(危害)值,.,量化检查表,.,风险评估,评估风险发生的概率：可以项目组人员分别评估，然后取平均值评估风险发生的影响：评估每个风险因素确定影响类别求得平均的风险因素影响类别的整体影响值,.,SEI风险分析图,.,SEI风险分析结果,30%:ProductEngineering33%:DevelopmentEnvironment37%:ProgramConstraints,.,ProductEngineering,Requirements：53%Design：27%IntegrationandTest：14%EngineeringSpecialties：6%CodeandUnittest：2%,.,Requirements,Completeness：36%Stability：21%Feasibility：14%Validity：10%Precedent：8%Scale：7%Clarity：4%,.,其它量化检查表法,TheStandishGroup开发一个基于潜在风险分析的IT项目成功可能性的分数表McFarlan开发一个问答表帮助评估风险,.,InformationTechnologySuccessPotentialScoringSheet,.,McFarlansRiskQuestionnaire,.,灵敏度(敏感性)分析,该分析是在所有其他不确定性要素保持其基准值的前提下，考察每个项目要素的不确定性对项目目标的影响的程度。有助于确定哪种风险最有可能对项目产生影响。常用的显示方式是龙卷风图。,.,建模与仿真,项目模拟用一个模型，将详细规定的各项不确定性换算为它们对整个项目层次上的目标所产生的潜在影响；项目模拟一般采用蒙特卡罗技术；对于费用风险分析，模拟可用传统的项目工作分解结构或费用分解结构作为模型；对于进度风险分析，可用紧前关系绘图法（PDM）进度；,.,定量风险分析的输出,1、风险记录（更新）项目可能性分析；实现成本和进度目标的可能性；已量化风险的优先级列表；定量风险分析结果中的趋势；,.,风险评估的结果,风险表：项目风险的来源，类型项目风险发生的可能时间、范围项目风险事件带来的损失项目风险可能影响的范围项目风险的排名,.,风险评估结果实例,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监控18.8主要风险追踪,.,风险应对,通过开发备用的方法、制定某些措施以提高项目成功的机会，同时降低失败的威胁。包括确认与指派风险应对负责人，对已得到认可并有资金支持的风险应对措施担负起责任。风险应对措施必须适合风险的重要性水平，能经济有效的迎接挑战，必须在项目背景下及时和现实可行。,.,风险应对,针对风险分析的结果，为提高实现项目目标的机会，降低风险的负面影响而制定风险应对策略和应对措施的过程，即制定一定的行动和策略来对付、减少、以至于消灭风险事件,.,降低风险的主要策略,回避风险转移风险损失控制自留风险,.,-回避风险,回避风险是对所有可能发生的风险尽可能的规避，采取主动放弃或者拒绝使用导致风险的方案。指改变项目计划，以排除风险或条件，或者保护项目目标，使其不受影响，或对受到威胁的一些目标放松要求。例如变更项目管理计划、放弃采用新技术，从而消除风险或风险产生的条件。,.,-回避风险,注意事项对风险有足够的认识。当其他风险策略不理想的时候，可以考虑。不是所有的情况都适用的。可能产生另外的风险。,.,-转移风险,转移风险是为了避免承担风险损失，有意识将损失或与损失有关的财务后果转嫁出去的方法:控制型非保险转移出售分包开脱责任合同财务型非保险转移免责约定保证条款保险,.,-损失控制（减轻）,指设法把不利的风险事件的概率或者后果降低到一个可接受的值。损失预防：指损失发生前为了消除或减少可能引起风险的各种因素而采取的各种具体措施。损失抑制：指风险发生时或风险发生后为了缩小损失幅度所采用的各种措施。,.,-自留风险（接受）,由项目组织自己承担风险事故所致损失的措施。自留风险的类型主动自留风险和被动自留风险最常见的主动接受风险方式是制定应急储备金；被动的接受风险不要求采取任何行动，将其留给项目团队，待风险发生时相机处理；全部自留风险和部分自留风险,.,风险应对计划的输入,1、风险管理计划2、风险记录,.,风险应对计划的工具和技术,1、消极风险或威胁的应对策略2、积极风险或机会的应对策略3、威胁或机会的应对策略4、应急应对策略,.,负面风险应对策略,避免转移减轻,.,正向风险的应对策略,开拓分享强大,.,风险应对计划的输出,1、风险记录（更新）2、项目管理计划（更新）3、与风险相关的合同协议,.,风险记录,已识别的风险及其描述；风险责任人及其职责；定量定性风险分析的结果；一致认同的应对策略；执行策略的具体活动；风险发生的预警信号；风险应对所需的预算和时间；时间和成本应急储备；启动应急计划的触发条件；,.,风险应对的一些术语,应急预案备用计划应急补助储备技术,.,风险管理应对计划,.,实例,人员的频繁流动是一项风险，基于过去的历史和管理经验，频繁流动可能性的估计值为0.7，开发时间增加15%，总成本增加12%，为了缓解这一风险，项目经理是采取的策略：,.,实例-采取的策略,与现有人员讨论人员流动的原因项目开始，把缓解这些原因的工作列入管理计划项目启动时，做好会出现人员流动的准备，采取一些技术以确保人员的一旦离开后，项目仍然能继续建立良好的项目组织和通信渠道，以使大家能够了解每个有关的开发活动的信息指定文档标准并建立相应的机制，以保证文档能够及时建立对所有工作组织细致的评审，使大多数人能够按计划进度完成自己的工作对每个关键性的技术人员，要培养其工作的后备人员,.,风险策略说明,大型项目3040个风险，每个风险有3-7步骤，风险管理本身就是一个项目.80/20规律（Pareto规则）：所有项目风险的80%能够通过20%的已经识别的风险说明,.,软件项目常见风险应对,需求不明确(1)让用户参与开发(2)开发用户界面原型(3)需求讨论会议(4)强化需求分析与评审,.,软件项目常见风险应对,项目缺少可见性(1)迭代开发(2)技术评审(3)持续集成新技术引入(1)T形软件开发(2)充分论证(3)同行经验,.,软件项目常见风险应对,技术兼容性风险(1)设计先行(2)售前产品测试性能问题(1)性能规划(2)性能测试(3)充足的调试时间,.,软件项目常见风险应对,仓促上线(1)应急预案(2)分步切换(3)交叉培训可用性问题(1)了解用户(2)参与型设计(3)竞争性分析(4)一致性,.,本章要点,18.1风险和项目风险管理18.2风险管理计划编制18.3风险识别18.4风险定性分析18.5定量风险分析18.6风险应对计划编制18.7风险监