风险管理(RSKM)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• • • • 风险规避:改变或降低需求,但仍符合使用者需要 风险控制:采取主动的步骤,以降低风险 风险移转:重新配置设计需求,以降低风险 风险监控:就指定的风险参数的变化,观察并定期重 新评估风险 • 风险接受:对风险有认知,但不采取任何动作
工作产品
1. 2. 3. 4.
每个已识别风险之处理方案的纪录 风险缓解计划 紧急应变计划 负责追踪及解决每个风险的人员清单
SG2 Risks are identified and analyzed to determine their relative importance.
识别风险并分析决定他们的相关重要 性。
分析风险需要从内外部来源识别风险,而 后评估每一风险,以决定可能性和发生结 果。风险分类提供处理风险所需的信息, 它是依据已建立的风险类别,以及风险管 理策略所发展的准则来进行评估。为了有 效率的处理和有效的应用风险管理资源, 可把相关风险组成不同的群组。
从SP1.1到SP1.3,要求逐步深化。SP1.1 只要求确定风险来源及分类。SP1.2就要求 定义清晰的风险属性,一般来说,风险会 有原因、后果、严重级别、发生机率、类 别等属性,每个企业可以根据自己需要定 义属性。SP1.3所谓的风险管理策略,指得 就是风险如何存储、记录、跟踪、采取什 么缓解措施等所有关于风险管理的组织级 别的要求。
目的
风险管理(Risk Management, RSKM)的 目的是在风险发生前,识别出潜在的问题, 以便在产品或项目的生命周期中规划风险 处理活动,并于必要时启动风险管理,如 此可将不利于完成目标的影响降低。
RSKM的3个SG
SG1主要就是讲述组织级的要求,而SG2、 SG3重点讲数, 评估已识别的风险
根据定义的风险参数,评估每个风险并指定数值, 数值可包括可能性、结果(严重性或冲击度)及阈 值。可整合这些指定的风险参数值以产生额外的 度量,例如:风险曝光程度可用来排列风险的优 先级,以便处理。 通常具有 3到 5个数值的等级,可用来评估可能 性和结果。例如:可能性可分类为微乎其微、不 太可能、可能、非常可能,或近乎确定。
• • • • • •
SP2.2 Evaluate and categorize each identified risk using the defined risk categories and parameters,and determine its relative priority.
根据已经定义好的风险分类及属性,评估 和分类每一个风险,并决定其优先级。
SP3.2 Monitor the status of each risk periodically and implement the risk mitigation plan as appropriate.
周期性地跟踪风险状态,在需要的时候实 施风险缓解计划。 典型的工作产品
• • • • • 1. 2. 3. 4. 5. 更新后的风险状况清单 更新后的风险可能性、结果及阈值的评估 更新后的风险处理方案清单 更新后的风险处理行动清单 风险缓解计划
• SG 1风险管理准备 • SG 2识别并分析风险 • SG 3降低风险
SG1 Preparation for risk management is conducted.
做好风险管理的准备
• SP 1.1 确定风险来源和类别 • SP 1.2 定义风险参数 • SP 1.3 建立风险管理策略
SP1.1 Determine risk sources and categories.
SP3.1 Develop a risk mitigation plan for the most important risks to the project,as defined by the risk management strategy
根据风险管理策略对项目最重要的风险制定风险 缓解计划。 风险缓解措施是指,降低风险发生机率及风险发 生时采取的减低影响的措施。 风险处理方案,通常包括下列各种备选方案:
子实践
1. 监控风险状态 2. 提供方法,以追踪未完成的风险处理行动项目, 一直到结案 3. 当监控的风险超过定义的阈值时,引用选定的 风险处理方案。 4. 针对每个风险处理活动,建立进度或某段期间 的绩效,包括起始日期和预计的完成日期。 5. 对每个计划提供持续性的资源承诺,以使风险 处理活动成功的执行。 6. 搜集风险处理活动的绩效度量。
确定风险的来源和分类。
识别风险来源提供一种基础,以系统化检 视随时间而改变的状况,发觉影响项目达 成目标的情况。风险来源来自项目的内部 及外部。在项目进行过程中,可能识别其 他的风险来源。建立风险类别提供一种机 制以搜集和组织风险,并对比较严重影响 项目目标的风险,保持适当的警觉和注意。
子实践--1. 确定风险来源.
什么是RSKM?
风险管理是一个持续的、前瞻的过程,此 过程是管理的重要部分。风险管理应该强 调可能会危害到重要目标的议题。持续的 风险管理方法可以有效预测并降低对项目 有重大影响的风险。 风险管理可以区分成三部分:定义风险管 理策略、识别及分析风险,以及处理已识 别的风险,包括必要时,执行风险缓解计 划。
子实践2.确定风险类别
风险类别表达“贮存仓”的概念,用来搜集和组 织风险。识别风险类别的原因之一是它可协助未 来整合风险缓解计划的各项活动。 决定风险类别时,可考虑下列因素:
• 项目生命周期模式的各阶段(如:需求、设计、制造、
测试与评估、交付、汰除) • 使用的过程类型 • 使用的产品类型 • 计划管理的风险(如:合约风险、预算/成本风险、进度 风险、资源风险、绩效风险、支持能力的风险)
风险管理 (Risk Management)
我知道我知道什么 我知道我不知道什么 我不知道我不知道什么
风险?问题?缺陷?
风险:就是可能发生的问题,它是还没有发生的, 我们需要采取措施去规避,去降低它发生的可能 性的,当风险发生了,也就是风险变成问题了, 这个时候要降低风险带来的影响。 问题:就是确确实实存在的问题,是已发生已发 现的,需要去处理的。问题的范围包含缺陷,但 一般我们会这样定义问题,问题指项目过程中发 现的除了缺陷以外的问题,如文档评审发现的问 题、同行评审发现的问题、计划中存在的问题等 等。 缺陷:一般就是指通过测试软件或者用户使用软 件发现的问题。
子实践 1. 定义一致性的准则,以评 估及量化风险的可能性及严重程度。
透过使用一致性的准则(例如:可能性和严 重程度的范围),可共同了解不同风险之冲 击,使能适度的检查,并保证获得管理者 注意。在管理不同的风险方面(例如:人员 安全相对于环境污染),保证最终结果的一 致性是重要的(例如:环境污染的高风险和 人员安全的高风险一样重要)。
子实践 3.定义某风险类别阈值的范围
并未限制风险以量或质的方式评估。范围 的定义 (或范围的条件),可用来限定风险 管理投入程度,以避免资源过度消耗。范 围的订定,可排除某个类别的风险来源, 亦可排除任何发生小于某个频率的情况
SP1.3 Establish and maintain the strategy to used for risk management.
SP1.2 Define the parameters use to analyze and categorize risks,and the parameters used to control the risk management effort.
定义风险的属性,这些属性是用来分析风 险、分类风险以及用来进行风险管理的。 用来评估、分类和排序风险的参数,包括 下列各项: • 风险可能性(即风险发生的机率) • 风险结果(即风险发生的影响和严重性) • 引发管理活动的阈值
子实践
1. 决定风险的等级及阈值,以定义风险在 什么情况下是变成无法接受,并启动风险 缓解计划或紧急应变计划。 2. 识别负责处理每个风险的个人或团队。 3. 决定实施每个风险之风险缓解计划的成 本效益比。 4. 发展项目整体的风险缓解计划,以协调 个别的风险缓解计划和紧急应变计划。 5. 针对选取的关键风险,研订当其发生时 的紧急应变计划。
子实践2. 依照定义的风险类别,将 风险分类并分组
将风险归类到已定义的风险类别,可提供 一个根据风险的来源、分类表或项目组件, 检查风险的方法。相关或相同的风险可归 成一类,以便有效处理,并记录相关风险 之间的因果关系。
子实践3.排列降低风险的优先级
依据指定的风险参数,决定每个风险相对 的优先级,应使用清楚的准则来决定风险 的优先级。排定优先级的目的是为了确定 降低风险的资源能用在最有效的范围,使 其对项目有最大的正面影响。
风险来源是项目或组织内造成风险的基本 因素,项目有许多内部及外部的风险来源。 风险来源是识别风险发生的共同来源,典 型的内部及外部风险来源包括下列各项:
• • • • 不确定的需求 无前例的工作量─无法取得预估值 不可行的设计 不存在的技术
子实践1 .确定风险来源.
• • • • • • 不实际的进度估计值或配置 不充分的人员配置和技能 成本或资金议题 不确定或不充分的分包商能力 不确定或不充分的供货商能力 与实际或潜在客户,或与业务代表的不充分 沟通 • 营运连续性的中断
SP2.1 Identify and document the risks
识别和记录风险。 风险识别应是有组织及透彻的方法,以找 出在达成目标的过程中可能发生或实际的 风险。 识别风险的方法有很多,典型的识别方法 如下:
检查项目分解结构的每个组件以找出风险。 使用风险分类表来评估风险。 访谈主题事务专家。 由类似产品的比较来审查风险管理投入。 检查学习心得文件或数据库。 检查设计规格和协议书需求。
SG3 Risks are handled and mitigated,where appropriate,to reduce adverse impacts on achieving objectives.
风险被管理并且缓解,以减少对项目管理目标的 影响 处理风险的步骤,包括制定风险处理方案、监控 风险,以及超过所定义的阈值时,执行风险处理 活动。对于选定的风险,应制定和执行风险缓解 计划,以主动减少风险发生的潜在冲击。除试图 降低风险,亦应包括紧急应变计划(contingency plan),以处理可能发生的风险冲击。在风险管理 策略中,定义启动风险处理活动的风险参数。
建立和维护用于风险管理的策略。 周详的风险管理策略说明的事项如下:
• 风险管理投入的范围 • 使用于风险识别、风险分析、风险缓解、风险监控及沟通 的方法及工具 • 项目特定的风险来源 • 如何组织、分类、比较及整合风险 • 对已识别风险采取行动的参数,包括可能性、结果及阈值 • 风险缓解所使用的技术,例如:原型制作、试行、模拟、 备选方案设计或渐进式发展 • 定义风险度量,以监控风险状况 • 风险监控或再评估的时间间隔
子实践 2.定义每个风险类别的阈值
对每一风险类别,可建立阈值以决定风险的可接 受性或不可接受性、风险的优先级,或引发管理 行动。
阈值的范例,举例如下:
• 项目阈值可建立为:当产品成本超过目标成本百分之 10, 或当成本绩效指标(CPI)降到 0.95以下时,可与高级管理 层共同处理。 • 进度阈值可建立为:当进度绩效指标(SPI)降到 0.95以下 时,可与高级管理层共同处理。 • 绩效阈值可建立为:当关键项目(如处理器使用率或平均 反应时间)超过预期设计的百分之 125以上,可与高级管 理层共同处理。
工作产品
1. 2. 3. 4.
每个已识别风险之处理方案的纪录 风险缓解计划 紧急应变计划 负责追踪及解决每个风险的人员清单
SG2 Risks are identified and analyzed to determine their relative importance.
识别风险并分析决定他们的相关重要 性。
分析风险需要从内外部来源识别风险,而 后评估每一风险,以决定可能性和发生结 果。风险分类提供处理风险所需的信息, 它是依据已建立的风险类别,以及风险管 理策略所发展的准则来进行评估。为了有 效率的处理和有效的应用风险管理资源, 可把相关风险组成不同的群组。
从SP1.1到SP1.3,要求逐步深化。SP1.1 只要求确定风险来源及分类。SP1.2就要求 定义清晰的风险属性,一般来说,风险会 有原因、后果、严重级别、发生机率、类 别等属性,每个企业可以根据自己需要定 义属性。SP1.3所谓的风险管理策略,指得 就是风险如何存储、记录、跟踪、采取什 么缓解措施等所有关于风险管理的组织级 别的要求。
目的
风险管理(Risk Management, RSKM)的 目的是在风险发生前,识别出潜在的问题, 以便在产品或项目的生命周期中规划风险 处理活动,并于必要时启动风险管理,如 此可将不利于完成目标的影响降低。
RSKM的3个SG
SG1主要就是讲述组织级的要求,而SG2、 SG3重点讲数, 评估已识别的风险
根据定义的风险参数,评估每个风险并指定数值, 数值可包括可能性、结果(严重性或冲击度)及阈 值。可整合这些指定的风险参数值以产生额外的 度量,例如:风险曝光程度可用来排列风险的优 先级,以便处理。 通常具有 3到 5个数值的等级,可用来评估可能 性和结果。例如:可能性可分类为微乎其微、不 太可能、可能、非常可能,或近乎确定。
• • • • • •
SP2.2 Evaluate and categorize each identified risk using the defined risk categories and parameters,and determine its relative priority.
根据已经定义好的风险分类及属性,评估 和分类每一个风险,并决定其优先级。
SP3.2 Monitor the status of each risk periodically and implement the risk mitigation plan as appropriate.
周期性地跟踪风险状态,在需要的时候实 施风险缓解计划。 典型的工作产品
• • • • • 1. 2. 3. 4. 5. 更新后的风险状况清单 更新后的风险可能性、结果及阈值的评估 更新后的风险处理方案清单 更新后的风险处理行动清单 风险缓解计划
• SG 1风险管理准备 • SG 2识别并分析风险 • SG 3降低风险
SG1 Preparation for risk management is conducted.
做好风险管理的准备
• SP 1.1 确定风险来源和类别 • SP 1.2 定义风险参数 • SP 1.3 建立风险管理策略
SP1.1 Determine risk sources and categories.
SP3.1 Develop a risk mitigation plan for the most important risks to the project,as defined by the risk management strategy
根据风险管理策略对项目最重要的风险制定风险 缓解计划。 风险缓解措施是指,降低风险发生机率及风险发 生时采取的减低影响的措施。 风险处理方案,通常包括下列各种备选方案:
子实践
1. 监控风险状态 2. 提供方法,以追踪未完成的风险处理行动项目, 一直到结案 3. 当监控的风险超过定义的阈值时,引用选定的 风险处理方案。 4. 针对每个风险处理活动,建立进度或某段期间 的绩效,包括起始日期和预计的完成日期。 5. 对每个计划提供持续性的资源承诺,以使风险 处理活动成功的执行。 6. 搜集风险处理活动的绩效度量。
确定风险的来源和分类。
识别风险来源提供一种基础,以系统化检 视随时间而改变的状况,发觉影响项目达 成目标的情况。风险来源来自项目的内部 及外部。在项目进行过程中,可能识别其 他的风险来源。建立风险类别提供一种机 制以搜集和组织风险,并对比较严重影响 项目目标的风险,保持适当的警觉和注意。
子实践--1. 确定风险来源.
什么是RSKM?
风险管理是一个持续的、前瞻的过程,此 过程是管理的重要部分。风险管理应该强 调可能会危害到重要目标的议题。持续的 风险管理方法可以有效预测并降低对项目 有重大影响的风险。 风险管理可以区分成三部分:定义风险管 理策略、识别及分析风险,以及处理已识 别的风险,包括必要时,执行风险缓解计 划。
子实践2.确定风险类别
风险类别表达“贮存仓”的概念,用来搜集和组 织风险。识别风险类别的原因之一是它可协助未 来整合风险缓解计划的各项活动。 决定风险类别时,可考虑下列因素:
• 项目生命周期模式的各阶段(如:需求、设计、制造、
测试与评估、交付、汰除) • 使用的过程类型 • 使用的产品类型 • 计划管理的风险(如:合约风险、预算/成本风险、进度 风险、资源风险、绩效风险、支持能力的风险)
风险管理 (Risk Management)
我知道我知道什么 我知道我不知道什么 我不知道我不知道什么
风险?问题?缺陷?
风险:就是可能发生的问题,它是还没有发生的, 我们需要采取措施去规避,去降低它发生的可能 性的,当风险发生了,也就是风险变成问题了, 这个时候要降低风险带来的影响。 问题:就是确确实实存在的问题,是已发生已发 现的,需要去处理的。问题的范围包含缺陷,但 一般我们会这样定义问题,问题指项目过程中发 现的除了缺陷以外的问题,如文档评审发现的问 题、同行评审发现的问题、计划中存在的问题等 等。 缺陷:一般就是指通过测试软件或者用户使用软 件发现的问题。
子实践 1. 定义一致性的准则,以评 估及量化风险的可能性及严重程度。
透过使用一致性的准则(例如:可能性和严 重程度的范围),可共同了解不同风险之冲 击,使能适度的检查,并保证获得管理者 注意。在管理不同的风险方面(例如:人员 安全相对于环境污染),保证最终结果的一 致性是重要的(例如:环境污染的高风险和 人员安全的高风险一样重要)。
子实践 3.定义某风险类别阈值的范围
并未限制风险以量或质的方式评估。范围 的定义 (或范围的条件),可用来限定风险 管理投入程度,以避免资源过度消耗。范 围的订定,可排除某个类别的风险来源, 亦可排除任何发生小于某个频率的情况
SP1.3 Establish and maintain the strategy to used for risk management.
SP1.2 Define the parameters use to analyze and categorize risks,and the parameters used to control the risk management effort.
定义风险的属性,这些属性是用来分析风 险、分类风险以及用来进行风险管理的。 用来评估、分类和排序风险的参数,包括 下列各项: • 风险可能性(即风险发生的机率) • 风险结果(即风险发生的影响和严重性) • 引发管理活动的阈值
子实践
1. 决定风险的等级及阈值,以定义风险在 什么情况下是变成无法接受,并启动风险 缓解计划或紧急应变计划。 2. 识别负责处理每个风险的个人或团队。 3. 决定实施每个风险之风险缓解计划的成 本效益比。 4. 发展项目整体的风险缓解计划,以协调 个别的风险缓解计划和紧急应变计划。 5. 针对选取的关键风险,研订当其发生时 的紧急应变计划。
子实践2. 依照定义的风险类别,将 风险分类并分组
将风险归类到已定义的风险类别,可提供 一个根据风险的来源、分类表或项目组件, 检查风险的方法。相关或相同的风险可归 成一类,以便有效处理,并记录相关风险 之间的因果关系。
子实践3.排列降低风险的优先级
依据指定的风险参数,决定每个风险相对 的优先级,应使用清楚的准则来决定风险 的优先级。排定优先级的目的是为了确定 降低风险的资源能用在最有效的范围,使 其对项目有最大的正面影响。
风险来源是项目或组织内造成风险的基本 因素,项目有许多内部及外部的风险来源。 风险来源是识别风险发生的共同来源,典 型的内部及外部风险来源包括下列各项:
• • • • 不确定的需求 无前例的工作量─无法取得预估值 不可行的设计 不存在的技术
子实践1 .确定风险来源.
• • • • • • 不实际的进度估计值或配置 不充分的人员配置和技能 成本或资金议题 不确定或不充分的分包商能力 不确定或不充分的供货商能力 与实际或潜在客户,或与业务代表的不充分 沟通 • 营运连续性的中断
SP2.1 Identify and document the risks
识别和记录风险。 风险识别应是有组织及透彻的方法,以找 出在达成目标的过程中可能发生或实际的 风险。 识别风险的方法有很多,典型的识别方法 如下:
检查项目分解结构的每个组件以找出风险。 使用风险分类表来评估风险。 访谈主题事务专家。 由类似产品的比较来审查风险管理投入。 检查学习心得文件或数据库。 检查设计规格和协议书需求。
SG3 Risks are handled and mitigated,where appropriate,to reduce adverse impacts on achieving objectives.
风险被管理并且缓解,以减少对项目管理目标的 影响 处理风险的步骤,包括制定风险处理方案、监控 风险,以及超过所定义的阈值时,执行风险处理 活动。对于选定的风险,应制定和执行风险缓解 计划,以主动减少风险发生的潜在冲击。除试图 降低风险,亦应包括紧急应变计划(contingency plan),以处理可能发生的风险冲击。在风险管理 策略中,定义启动风险处理活动的风险参数。
建立和维护用于风险管理的策略。 周详的风险管理策略说明的事项如下:
• 风险管理投入的范围 • 使用于风险识别、风险分析、风险缓解、风险监控及沟通 的方法及工具 • 项目特定的风险来源 • 如何组织、分类、比较及整合风险 • 对已识别风险采取行动的参数,包括可能性、结果及阈值 • 风险缓解所使用的技术,例如:原型制作、试行、模拟、 备选方案设计或渐进式发展 • 定义风险度量,以监控风险状况 • 风险监控或再评估的时间间隔
子实践 2.定义每个风险类别的阈值
对每一风险类别,可建立阈值以决定风险的可接 受性或不可接受性、风险的优先级,或引发管理 行动。
阈值的范例,举例如下:
• 项目阈值可建立为:当产品成本超过目标成本百分之 10, 或当成本绩效指标(CPI)降到 0.95以下时,可与高级管理 层共同处理。 • 进度阈值可建立为:当进度绩效指标(SPI)降到 0.95以下 时,可与高级管理层共同处理。 • 绩效阈值可建立为:当关键项目(如处理器使用率或平均 反应时间)超过预期设计的百分之 125以上,可与高级管 理层共同处理。