前言风险管理(Risk Management,RiskM )的目的是在风险造成危害之前识别它们,有计划地消除或减弱风险。
风险管理过程域是SPP模型的重要组成部分。 本规范阐述了风险管理的规程,该规程的“目标”、“角色和职责”、“启动标准”、“输入”、“主要步骤”、“输出”、“完成标准”和“衡量标准”均有定义。
本规范适用于国内IT企业的软件开发项目。 建议用户根据业务目标、研发实力等情况,适当修改本规范,推广使用。
所有可能危害7.1介绍项目的因素都称为风险。 被描述为风险的事件最终可能发生,也可能不发生。 人们对风险的态度有两种。 一种是被动的态度,可以和“灭火模式”相媲美。 另一种是自主态度,可以与“防火模式”进行比较。 风险管理是一种“防火模式”,旨在“防止风险造成的真正危害”。
为了便于定量管理,为风险定义了三个参数。
风险的严重性:指风险对项目的危害程度。
风险的可能性:指风险发生的概率。
风险系数:风险的严重性与风险可能性的乘积。
参数
等级
值
描述
风险
严重性
很贵
5
例如,进度延误超过30%,费用超支超过30%。
比较贵
4
例如,进度落后20%~30%,或者费用超支20%~30%。
中等的
3
例如,进度延迟低于20%,或费用超支低于20%。
比较低
2
例如,进度延迟低于10%,或费用超支低于10%。
很低
1
例如,进度延迟低于5%,或费用超支低于5%。
表7-1风险严重程度
参数
r: #383838;">等级
很高
5
风险发生的几率为1.0 ~.8
比较高
4
风险发生的几率为0.8 ~.6
中等
3
风险发生的几率为0.6 ~.4
比较低
2
风险发生的几率为0.4 ~.2
很低
1
风险发生的几率为0.2 ~.0
表7-2 风险可能性等级
风险可能性
很高
比较高
中等
比较低
很低
风险
严重性
很高
5
比较高
8
4
中等
9
6
3
比较低
8
6
4
2
很低
5
4
3
2
1
本表灰色部分的风险系数值为10~25,应当优先处理。
表7-3 风险系数等级
风险严重性的等级划分如表7-1所示,风险可能性的等级划分如表7-2所示,风险系数的等级划分如表3所示。
风险管理有4个主要活动:
◆风险识别:根据风险检查表,识别出本项目的风险。
◆风险分析:估计风险严重性、风险可能性、风险系数。
◆风险减缓:对于风险系数超过“容许值”的每一个风险,都应当采取减缓措施。
◆风险跟踪:跟踪风险减缓过程,记录风险的状态。
图7-1 风险管理示意图
在项目的生命周期内,上述4个活动将被循环执行,如图7-1所示。直到项目的所有风险都被识别与解决为止。
常用的风险检查表见 [SPP-TEMP-RISKM-CHECKLIST],使用者应根据实际情况进行适当的删减或补充。风险管理过程域产生的主要文档是《风险管理报告》,模板见 [SPP-TEMP-RISKM-REPORT]。
7.2 风险管理规程7.2.1 目的在项目的生命周期内,循环执行风险识别、风险分析、风险减缓和风险跟踪,直到项目的所有风险都被识别与解决为止。
7.2.2 角色与职责项目经理负责风险管理。
项目成员协助项目经理处理风险。
7.2.3 启动准则《项目计划》已经制定,项目研发已经开始。
7.2.4 输入《项目计划》
项目监控过程产生的文档如《项目监控数据表》、《项目偏差控制报告》和《项目进展报告》等
7.2.5 主要步骤[Step1] 风险识别项目经理根据“风险检查表”[SPP-TEMP-RISKM-CHECKLIST],定期(例如每周一次)识别本项目的风险。
[Step2] 风险分析项目经理评估每个风险的严重性、可能性和风险系数,并按照风险系数
对于风险系数超过“容许值”(建议为10)的每一个风险,项目经理应当给出风险减缓措施,并指定责任人。风险系数越高,
项目经理跟踪风险减缓过程,直到风险已经解决为止。如果风险的性质发生变化,应当及时更新风险减缓措施
7.2.6 输出《风险管理报告》
7.2.7 结束准则所有风险都已经解决,相关信息已经记录到《风险管理报告》之中。
7.2.8 度量项目经理统计工作量。
7.3 实施建议对风险管理过程域产生的所有有价值的文档进行配置管理。
项目经理根据本项目的特征,确定风险识别的频度(通常为每周一次),适当修改“风险检查表”[SPP-TEMP-RISKM-CHECKLIST]。
选用合适的软件工具,尽量减少风险管理过程域的工作量。
项目监控和风险管理均由项目经理负责,建议同步执行。
