CMMI5文档之风险管理指南

1、风险管理指南文档编号：FHI_CMMI_RSKM_GUI文档信息：风险管理指南文档名称：风险管理指南文档类别：CMMI 指南密 级： 内部秘密版本信息：1.1建立日期：2016-1-13创建人：EPG批准人：李庆林批准日期：2016-2-25存放位置：集成公司组织资产库/组织标准过程编辑软件：Microsoft Office 2003 中文版文档修订记录版本编号或者 更改记录编勺变化状态简要说明（变更内容和 变更范围）修改日期变更人批准日期批准人V1.0C创建2016-1-13张荣辉2016-2-25李庆林V1.1M文档编号去掉版本号2016-4-17邓沛沛2016-4-17李庆林*变化状态：

2、C创建， A增加，M修改，D一删除1 目的本指南对项目风险的来源、分类、参数、优先级和控制阈值的定义进行描述。目的是为了便于项目分管高层经理、项目经理、以及项目相关人员在进行风险识别、分类、计划、监控的交流时提供帮助和指导。2 术语和定义风险： 是指某个事件出现非期望的负面后果的潜在可能性，是对有害结果的可能性和严重程度的度量。持续风险管理：是指一种借助过程、方法和工具来管理项目中风险的工程实践。它提供了一种能对如下问题作出预测式决策的规范化环境：持续地评估可能导致错误的因素(风险)；决定哪些风险有处理的重要性；处理这些风险的实现策略。SEI： ( Software Engineering I

3、nstitution ) ，世界上著名的旨在改善软件工程管理实践的组织。3 风险模型风险管理是一个持续的、预见性的过程，它是项目管理的重要组成部分。SEI 提出了持续风险管理模型CRM( Continuous Risk Management ) 。SEI 的风险管理原则是：不断地评估可能造成恶劣后果的因素；决定最迫切需要处理的风险；实现控制风险的策略；评测并确保风险策略实施的有效性。CRM莫型要求在项目生命期的所有阶段都关注风险识别和管理。它将风险管理划分为5个步骤：风险识别、分析、计划、跟踪、控制。下图所示的框架显示了应用CRM勺基础活动及其之间的交互关系，强调了这是一个在项目开发过程中反复

4、持续进行的活动序列。每个风险因素一般都需要按顺序经过这些 活动。上图中的箭头标识了信息的逻辑流，而沟通则是信息流的核心和手段。其中，风险识别依靠项目相关人员对项目的目标、 特点、类型及以往项目经验对风险源的识别。风险分析侧重于理解每个已风险在项目中的发生几率和后果严重性，从而选出最严重的10大风险问题。风险计划是将如下内容文档化：风险管理步骤的描述、负责人及其职责、行为执行和完结的时间，并且确定风险处理的优先级，制定整体的管理计划。风险跟踪是获取、整理并汇报10大风险问题当前的状态，其目的是收集精确的、及时的和相关的信息，并将它们表达成容易理解的方式提交给负责人。风险控制是为了根据风险及其缓解

5、计划进行及时而有效的决策，具体操作包括分析风险跟踪阶段产生的风险状态信息，明确地决定采取什么行动，并实现它们。而处于核心地位的沟通则强调其有效性和 针对性，要注意将合适的信息传达给合适的组织层次以得到最有效的分析和管理，这些层次包括开发方和用户方双方的组织结构。4 风险识别风险识别是识别那些可能影响项目成本、进度、质量等方面的因素， 对那些可能对项目目标造成不利影响的潜在的问题、危害、威胁、脆弱性等的识别是风险管理的基础。风险识别的方法一般包括：检查项目WBS的每个元素，以发现风险运用风险分类学进行风险评估向相应的领域的专家征求意见评审类似的产品的风险管理工作查找有关的经验教训文件或数据库检查

6、设计规范和协议需求对于一个项目，应该检查成本、进度和性能等方面的风险，确定其对项目目标实现的影响程序。度风险可能包括与策划活动、关键事件和里程碑有关的风险；性能风险可能包括如需求、分析与设计、新技术的应用、物理规模、验证和确认有关的风险。还有些风险不一定完全属于成本、进度或性能，例如：非本组织的管理或技术原因引起的风险、来自供货商方面的风险、技术周期时间不确定性、以及竞争引起的风险等。另外， 根据项目类型和所包含的任务范围不同，还要识别那些尽管本项目不必过问其是否发生，但可以需要缓解其影响的那些风险。例如：天气、影响持续运行的自然或人为灾害、政策变化、通信故障等。4.1. 风 险来源了解风险来

7、源，将为系统性地检查不断变化的情况打下基础，以便揭示那些将对项目实现其目标的能力造成不利影响的风险。风险来源用于在项目或组织内确定风险的原因。对项目来讲有许多风险来源，包括内部和外部的。常见的内部和外部风险来源包括以下几个方面：1. 不确定的需求2. 无先例的工作量无法达到的估算值3. 不可行的设计4. 不成熟的技术5. 不切实际的进度估算与安排6. 人手或技能不够7. 成本与资金的问题8. 不可靠的或不充分的分包商能力9. 不可靠的或不充分的供应商能力10. 与实际的或潜在的客户或他们的代理沟通不充分11. 业务持续运转的中止12. 客户配套环境问题随着项目的推进，还可能发生新的风险来源。因

8、此， 早期识别内部和外部风险来源能够早期识别风险。风险缓解计划能在项目的早期实现，来排除风险的发生或降低风险发生的后果。5 风险分析对风险进行分析就是对已识别的风险进行评价，确定其发生的可能性和后果。5.1. 风险评估风险评估的目的是通过确定风险的预期影响、可能性和时间框架，以便对风险有更好的理解。5.2. 风险参数定义风险参数用于提供公共的和一致的评价各种风险的准则。常用的评估风险的参数包括:风险的可能性（风险发生的概率）风险的后果（风险发生的影响和严重程度）触发管理活动的阈值：即为了缓解风险所需要的行动周期每个项目根据项目的特点， 选择适合本项目使用的风险参数，主要是指定本项目使用的风险属

9、性评价级别。如果项目需要特定的级别或者特定的具体参数，则需要特别说明和批准。1、风险影响严重程度影响程度影响量化值高导致产品或项目失败或造成严重危害。例如：进度拖延15%费用超支20%最终用户无法使用人员流失严重9中对产品或项目造成一些麻烦。例如：进度拖延10%-15%费用超支10%-20%用变通办法对付质量问题士气低落6低对广品或项目影胴/、大32、风险发生概率可能性百分比（p）发生可能性描述量化值P> 75%高很可能375%>户 25%中可能225%>p低不太可能13、风险发生时间准则发生时间解决时间量化值近期本阶段发生本阶段准备6中期下阶段发生本阶段准备4远期下阶段后发

10、生本阶段或卜阶段准备25.3. 风险分类风险分类实质上是提供一种机制，便于收集和归纳各种风险，以及确保这些风险得到适当的推敲和引起管理者的关注，即这些风险是否将对项目目标的实现产生更严重的后果。风险类别是对收集到的风险进行分门别类。标识风险类别有助于在风险缓解计划中整合将来的缓解活动。在确定风险类别时主要应考虑以下因素：项目生命周期的阶段，如：需求、设计、实现、测试、交付、部署、维护等。所使用的过程类型所使用的产品或产品构件类型计划管理风险，如合同、预算 /成本、进度、资源、性能、可支持性风险等风险的类别分为以下几大类：软件工程、开发环境、资源、管理等，具体的风险类别参见“附录：风险分类表”。

11、5.4. 风险优先级定义划分风险的优先级是为了表明每个风险的相对重要性，进而用以确定要求相应的管理者在何时予以关注，把资源用于缓解对项目影响最大的风险。使用诸如可能性（概率）和后果（影响）之类参数对风险加以量化。一般是采用这些参数的等级划分值的组合来确定风险处理的总的优先顺序，即根据风险级数来定义（风险的级数=风险的严重程度*出现的概率*风险的发生时间）。具体定义如下：优先级风险级数划分行动措施高>72具体行动措施需高层经埋批准中4872具体行动措施由PM批准低<48可以不制定行动措施6 风险计划风险计划是为了缓解已识别的前N项风险制定的行动计划。它的作用是决定风险发生时应该采取哪

12、些措施。计划的内容一般包括：分配职责、确定方法、定义范围和活动。选择处理风险的方法一般采取以下几种：1 .风险避免：改变或降低用户需要。2 .风险控制：采取适当的行动来一步步减小风险。3 .风险转移：将需求重新分配给级别更低的风险。4 .风险监控：观察和定期地重新评估风险，看风险的参数是否有改变，以便在影响、发生概率和时间，以及其它方面出现重要变更时提出早期预警。5 . 风险接受：承认风险的存在，但不做任何风险管理工作。当出现风险时将其做为问题处理， 不再花费额外的资源来管理风险。对于高级别的风险，要选择多种处理方法，并根据发生的可能性和后果影响，必要时制定相应的应急计划。7 风险跟踪风险跟踪

13、影指由负责缓解计划和观察风险的人来获取、编写和报告有关的风险数据。风险跟踪主要包括以下几方面的工作：1. 获取数据：收集有关正在缓解和观察的风险的数据。2. 整理数据：按照相关的缓解计划，对有关的数据进行分析、组合、计算和组织，以跟踪这一风险。3. 报告风险：将风险和缓解计划的状态信息与决策制定者和项目成员进行交流。风险阈值是指当某风险达到某一程度时给出警告，需要执行一个缓解计划以优先解决某个问题，或请求立即注意某个风险。它帮助项目经理识别需要重点关注的风险的范围。根据项目特点，项目经理可以从下面任选控制阈值：1. 对项目风险级数排序在前5 项风险实施密切跟踪，并制定相应的缓解及应急计划。2.

14、 对项目优先级高的、涉及到项目进度和质量的风险实施密切跟踪，并制定相应的缓解计划。8 风险控制风险控制是指风险负责人以跟踪报告中提供的数据为基础，做出有关风险的决定。其目的是标识风险状态中的显著变化，评估缓解计划的有效性，使决策者准确地决定最佳的行动路线。风险控制时一般分为以下几个步骤执行：1. 分析风险：要使用跟踪数据来分析风险的趋势、偏差和异常情况等。2. 进行决策：其目的是保证继续有效地管理项目风险。决策的结果一般有以下几种：重新计划：当出现阈值超出了设定的限制、当前计划不起作用、发生了意外事件使用趋势向相反方面发展时都应该重新制定计划。关闭风险：当出现风险发生的概率已经降低到或风险的影

15、响已经减小到一个特定值以下、风险已经变成了问题并且对这个问题正在进行跟踪时，可以关闭该风险。启用风险应急计划：当出现已经超出触发条件或需要采取有关的行动时则启用风险应急计划。继续跟踪和控制当前计划：通过分析跟踪数据，发现一切都是按计划在进行，项目人 员决定继续像以前一样中跟踪风险。并保证将其文档化，以便作为历史3. 采取行动：是执行那些关于风险和缓解计划中所作的决定，记录和将来参考之用。9 交流交流的目的是使有关人员都了解项目的风险、计划、行动、担心、变化、预测和进展，从而确保风险信息的可视性、有关人员理解风险及其缓解计划、并将适当的注意力集中在疑问和担心上。10附录：风险分类表A.软件工程B.开发环境C.管理1.需求1.开发过程1.资源a.稳定性a.适用性a.进度b.完整性b.合适性b.人员c.清晰度c.过程控制c.预算/成本d.后效性d.熟悉程度d.设施e.可测试性e.产品控制f.接口g.规模2.设计2.开发环境2.合同a.功能实现a.合适性a.合同类型b.技术难度b.可用性b.约束条件c.接口实现c.熟悉程度c.依赖性d.性能实现d.可靠性d.付款条件e.可集成性e.性能e.验收条件f.可测试性f.系统支持g.环境约束3.实现3.管理过