CMMI5文档之风险管理指南

风险管理指南

文档编号：FHI_CMMI_RSKM_GUI 文档信息：风险管理指南 文档名称：风险管理指南 文档类别：CMMI指南 密 级：内部秘密 版本信息：1.1 建立日期：2016-1-13

创 建 人：EPG 批 准 人：李庆林 批准日期：2016-2-25

存放位置：集成公司组织资产库/组织标准过程 编辑软件：Microsoft Office 2003 中文版

文档修订记录 版本编号或者更改记录编号 V1.0 V1.1 变化状态 C M 简要说明（变更内容和变更范围） 创建 文档编号去掉版本号 修改日期 2016-1-13 2016-4-17 变更人 批准日期 张荣辉 邓沛沛 2016-2-25 2016-4-17 批准人 李庆林 李庆林 *变化状态：C――创建，A——增加，M——修改，D——删除

1 目的

本指南对项目风险的来源、分类、参数、优先级和控制阈值的定义进行描述。目的是为了便于项目分管高层经理、项目经理、以及项目相关人员在进行风险识别、分类、计划、监控的交流时提供帮助和指导。

2 术语和定义

风险：是指某个事件出现非期望的负面后果的潜在可能性，是对有害结果的可能性和严重程度的度量。

持续风险管理：是指一种借助过程、方法和工具来管理项目中风险的工程实践。它提供了一种能对如下问题作出预测式决策的规范化环境：

 持续地评估可能导致错误的因素（风险）；  决定哪些风险有处理的重要性；  处理这些风险的实现策略。

SEI：（Software Engineering Institution），世界上著名的旨在改善软件工程管理实践的组织。

3 风险模型

风险管理是一个持续的、预见性的过程，它是项目管理的重要组成部分。SEI提出了持续风险管理模型CRM（Continuous Risk Management）。

SEI的风险管理原则是：不断地评估可能造成恶劣后果的因素；决定最迫切需要处理的风险；实现控制风险的策略；评测并确保风险策略实施的有效性。

CRM模型要求在项目生命期的所有阶段都关注风险识别和管理。它将风险管理划分为5个步骤：风险识别、分析、计划、跟踪、控制。下图所示的框架显示了应用CRM的基础活动及其之间的交互关系，强调了这是一个在项目开发过程中反复持续进行的活动序列。每个风险因素一般都需要按顺序经过这些活动。

上图中的箭头标识了信息的逻辑流，而沟通则是信息流的核心和手段。其中，风险识别依靠项目相关人员对项目的目标、特点、类型及以往项目经验对风险源的识别。风险分析侧重于理解每个已风险在项目中的发生几率和后果严重性，从而选出最严重的10大风险问题。

风险计划是将如下内容文档化：风险管理步骤的描述、负责人及其职责、行为执行和完结的时间，并且确定风险处理的优先级，制定整体的管理计划。风险跟踪是获取、整理并汇报10大风险问题当前的状态，其目的是收集精确的、及时的和相关的信息，并将它们表达成容易理解的方式提交给负责人。

风险控制是为了根据风险及其缓解计划进行及时而有效的决策，具体操作包括分析风险跟踪阶段产生的风险状态信息，明确地决定采取什么行动，并实现它们。而处于核心地位的沟通则强调其有效性和针对性，要注意将合适的信息传达给合适的组织层次以得到最有效的分析和管理，这些层次包括开发方和用户方双方的组织结构。

4 风险识别

风险识别是识别那些可能影响项目成本、进度、质量等方面的因素，对那些可能对项目目标造成不利影响的潜在的问题、危害、威胁、脆弱性等的识别是风险管理的基础。风险识别的方法一般包括：

 检查项目WBS的每个元素，以发现风险  运用风险分类学进行风险评估  向相应的领域的专家征求意见  评审类似的产品的风险管理工作  查找有关的经验教训文件或数据库  检查设计规范和协议需求

对于一个项目，应该检查成本、进度和性能等方面的风险，确定其对项目目标实现的影响程序。进

度风险可能包括与策划活动、关键事件和里程碑有关的风险；性能风险可能包括如需求、分析与设计、新技术的应用、物理规模、验证和确认有关的风险。

还有些风险不一定完全属于成本、进度或性能，例如：非本组织的管理或技术原因引起的风险、来自供货商方面的风险、技术周期时间不确定性、以及竞争引起的风险等。

另外，根据项目类型和所包含的任务范围不同，还要识别那些尽管本项目不必过问其是否发生，但可以需要缓解其影响的那些风险。例如：天气、影响持续运行的自然或人为灾害、政策变化、通信故障等。

4.1. 风险来源

了解风险来源，将为系统性地检查不断变化的情况打下基础，以便揭示那些将对项目实现其目标的能力造成不利影响的风险。

风险来源用于在项目或组织内确定风险的原因。对项目来讲有许多风险来源，包括内部和外部的。常见的内部和外部风险来源包括以下几个方面：

1. 不确定的需求

2. 无先例的工作量——无法达到的估算值 3. 不可行的设计 4. 不成熟的技术

5. 不切实际的进度估算与安排 6. 人手或技能不够 7. 成本与资金的问题

8. 不可靠的或不充分的分包商能力 9. 不可靠的或不充分的供应商能力

10. 与实际的或潜在的客户或他们的代理沟通不充分 11. 业务持续运转的中止 12. 客户配套环境问题

随着项目的推进，还可能发生新的风险来源。因此，早期识别内部和外部风险来源能够早期识别风险。风险缓解计划能在项目的早期实现，来排除风险的发生或降低风险发生的后果。

5 风险分析

对风险进行分析就是对已识别的风险进行评价，确定其发生的可能性和后果。

5.1 风险评估

风险评估的目的是通过确定风险的预期影响、可能性和时间框架，以便对风险有更好的理解。

5.2 风险参数定义

风险参数用于提供公共的和一致的评价各种风险的准则。常用的评估风险的参数包括：

 风险的可能性（风险发生的概率）  风险的后果（风险发生的影响和严重程度）

 触发管理活动的阈值：即为了缓解风险所需要的行动周期

每个项目根据项目的特点，选择适合本项目使用的风险参数，主要是指定本项目使用的风险属性评价级别。如果项目需要特定的级别或者特定的具体参数，则需要特别说明和批准。

1、风险影响严重程度 影响程度 高 影响 导致产品或项目失败或造成严重危害。例如：  进度拖延>15%  费用超支>20%  最终用户无法使用  人员流失严重 中 对产品或项目造成一些麻烦。例如：  进度拖延10%--15%  费用超支10%--20%  用变通办法对付质量问题  士气低落 低

2、风险发生概率 可能性百分比（p） P≥75% 75%>p≥25% 25%>p

3、风险发生时间 准则 近期 中期 远期 发生时间 本阶段发生 下阶段发生 下阶段后发生 解决时间 本阶段准备 本阶段准备 本阶段或下阶段准备

量化值 6 4 2 发生可能性 高 中 低 描述 很可能 可能 不太可能 量化值 3 2 1 对产品或项目影响不大 3 6 量化值 9 5.3 风险分类

风险分类实质上是提供一种机制，便于收集和归纳各种风险，以及确保这些风险得到适当的推敲和引起管理者的关注，即这些风险是否将对项目目标的实现产生更严重的后果。

风险类别是对收集到的风险进行分门别类。标识风险类别有助于在风险缓解计划中整合将来的缓解活动。在确定风险类别时主要应考虑以下因素：

 项目生命周期的阶段，如：需求、设计、实现、测试、交付、部署、维护等。  所使用的过程类型

 所使用的产品或产品构件类型

 计划管理风险，如合同、预算/成本、进度、资源、性能、可支持性风险等

风险的类别分为以下几大类：软件工程、开发环境、资源、管理等，具体的风险类别参见“附录：风险分类表”。

5.4 风险优先级定义

划分风险的优先级是为了表明每个风险的相对重要性，进而用以确定要求相应的管理者在何时予以关注，把资源用于缓解对项目影响最大的风险。

使用诸如可能性（概率）和后果（影响）之类参数对风险加以量化。一般是采用这些参数的等级划分值的组合来确定风险处理的总的优先顺序，即根据风险级数来定义（风险的级数=风险的严重程度*出现的概率*风险的发生时间）。具体定义如下：

优先级 高 中 低

风险级数划分 ≥72 48－72 ≤48 行动措施 具体行动措施需高层经理批准 具体行动措施由PM批准 可以不制定行动措施 6 风险计划

风险计划是为了缓解已识别的前N项风险制定的行动计划。它的作用是决定风险发生时应该采取哪些措施。计划的内容一般包括：分配职责、确定方法、定义范围和活动。

选择处理风险的方法一般采取以下几种： 1. 风险避免：改变或降低用户需要。

2. 风险控制：采取适当的行动来一步步减小风险。 3. 风险转移：将需求重新分配给级别更低的风险。

4. 风险监控：观察和定期地重新评估风险，看风险的参数是否有改变，以便在影响、发生概率

和时间，以及其它方面出现重要变更时提出早期预警。

5. 风险接受：承认风险的存在，但不做任何风险管理工作。当出现风险时将其做为问题处理，

不再花费额外的资源来管理风险。

对于高级别的风险，要选择多种处理方法，并根据发生的可能性和后果影响，必要时制定相应的应急计划。

7 风险跟踪

风险跟踪影指由负责缓解计划和观察风险的人来获取、编写和报告有关的风险数据。 风险跟踪主要包括以下几方面的工作：

1. 获取数据：收集有关正在缓解和观察的风险的数据。

2. 整理数据：按照相关的缓解计划，对有关的数据进行分析、组合、计算和组织，以跟踪这一风

险。

3. 报告风险：将风险和缓解计划的状态信息与决策制定者和项目成员进行交流。

风险阈值是指当某风险达到某一程度时给出警告，需要执行一个缓解计划以优先解决某个问题，或请求立即注意某个风险。它帮助项目经理识别需要重点关注的风险的范围。

根据项目特点，项目经理可以从下面任选控制阈值：

1. 对项目风险级数排序在前5项风险实施密切跟踪，并制定相应的缓解及应急计划。 2. 对项目优先级高的、涉及到项目进度和质量的风险实施密切跟踪，并制定相应的缓解计划。

8 风险控制

风险控制是指风险负责人以跟踪报告中提供的数据为基础，做出有关风险的决定。其目的是标识风险状态中的显著变化，评估缓解计划的有效性，使决策者准确地决定最佳的行动路线。

风险控制时一般分为以下几个步骤执行：

1. 分析风险：要使用跟踪数据来分析风险的趋势、偏差和异常情况等。

2. 进行决策：其目的是保证继续有效地管理项目风险。决策的结果一般有以下几种：

 重新计划：当出现阈值超出了设定的限制、当前计划不起作用、发生了意外事件使用

趋势向相反方面发展时都应该重新制定计划。

 关闭风险：当出现风险发生的概率已经降低到或风险的影响已经减小到一个特定值以

下、风险已经变成了问题并且对这个问题正在进行跟踪时，可以关闭该风险。  启用风险应急计划：当出现已经超出触发条件或需要采取有关的行动时则启用风险应

急计划。

 继续跟踪和控制当前计划：通过分析跟踪数据，发现一切都是按计划在进行，项目人

员决定继续像以前一样中跟踪风险。

3. 采取行动：是执行那些关于风险和缓解计划中所作的决定，并保证将其文档化，以便作为历史

记录和将来参考之用。

9 交流

交流的目的是使有关人员都了解项目的风险、计划、行动、担心、变化、预测和进展，从而确保风险信息的可视性、有关人员理解风险及其缓解计划、并将适当的注意力集中在疑问和担心上。

10 附录：风险分类表

A. 软件工程 1. 需求 a. 稳定性 b. 完整性 c. 清晰度 d. 有效性 e. 可测试性 f. 接口 g. 规模 2. 设计 a. 功能实现 b. 技术难度 c. 接口实现 d. 性能实现 e. 可集成性 f. 可测试性 g. 环境约束 3. 实现 a. 可实现性 b. 单元测试 c. 工具成熟性 d. 可维护性 e. 复用性 4.测试 a. 测试环境 b. 测试工具 c. 测试数据 d. 系统接口 f. 缺陷可跟踪性 5．部署 a. 运行环境 b. 可操作性 c. 可配置性 d. 外部配合性 e. 安全/保密性 6．维护 a. 可维护性 b. 可升级性

B. 开发环境 1. 开发过程 a. 适用性 b. 合适性 c. 过程控制 d. 熟悉程度 e. 产品控制 2. 开发环境 a. 合适性 b. 可用性 c. 熟悉程度 d. 可靠性 e. 性能 f. 系统支持 3. 管理过程 a. 计划 b. 组织 c. 经验 4. 管理方法 a. 可监控性 b. 人员管理 c. 质量保证 d. 配置管理 e. 可交流性 f. 其他管理 5. 工作环境 a. 适用性 b. 通信条件 c. 交流 d. 士气 e. 其它保障 C. 管理 1. 资源 a. 进度 b. 人员 c. 预算/成本 d. 设施 2. 合同 a. 合同类型 b. 约束条件 c. 依赖性 d. 付款条件 e. 验收条件 3. 项目接口 a. 客户 b. 合作承包商 c. 子承包商 d. 主承包商 e. 全体管理人员 f. 卖主