CMMI5文档之风险管理指南

风险管理指南

文档编号：FHI_CMMI_RSKM_GUI

文档信息：风险管理指南

文档名称：风险管理指南

文档类别：CMMI指南

密级：内部秘密

版本信息：1.1

建立日期：2016-1-13

创建人：EPG

批准人：李庆林

批准日期：2016-2-25

存放位置：集成公司组织资产库/组织标准过程

编辑软件：Microsoft Office 2003 中文版

*变化状态：C――创建，A——增加，M——修改，D——删除

1目的

本指南对项目风险的来源、分类、参数、优先级和控制阈值的定义进行描述。目的是为了便于项目分管高层经理、项目经理、以及项目相关人员在进行风险识别、分类、计划、监控的交流时提供帮助和指导。

2术语和定义

风险：是指某个事件出现非期望的负面后果的潜在可能性，是对有害结果的可能性和严重程度的度量。

持续风险管理：是指一种借助过程、方法和工具来管理项目中风险的工程实践。它提供了一种能对如下问题作出预测式决策的规范化环境：

持续地评估可能导致错误的因素（风险）；

决定哪些风险有处理的重要性；

处理这些风险的实现策略。

SEI：（Software Engineering Institution），世界上著名的旨在改善软件工程管理实践的组织。3风险模型

风险管理是一个持续的、预见性的过程，它是项目管理的重要组成部分。SEI提出了持续风险管理模型CRM（Continuous Risk Management）。

SEI的风险管理原则是：不断地评估可能造成恶劣后果的因素；决定最迫切需要处理的风险；实现控制风险的策略；评测并确保风险策略实施的有效性。

CRM模型要求在项目生命期的所有阶段都关注风险识别和管理。它将风险管理划分为5个步骤：风险识别、分析、计划、跟踪、控制。下图所示的框架显示了应用CRM的基础活动及其之间的交互关系，强调了这是一个在项目开发过程中反复持续进行的活动序列。每个风险因素一般都需要按顺序经过这些活动。

上图中的箭头标识了信息的逻辑流，而沟通则是信息流的核心和手段。其中，风险识别依靠项目相关人员对项目的目标、特点、类型及以往项目经验对风险源的识别。风险分析侧重于理解每个已风险在项目中的发生几率和后果严重性，从而选出最严重的10大风险问题。

风险计划是将如下内容文档化：风险管理步骤的描述、负责人及其职责、行为执行和完结的时间，并且确定风险处理的优先级，制定整体的管理计划。风险跟踪是获取、整理并汇报10大风险问题当前的状态，其目的是收集精确的、及时的和相关的信息，并将它们表达成容易理解的方式提交给负责人。

风险控制是为了根据风险及其缓解计划进行及时而有效的决策，具体操作包括分析风险跟踪阶段产生的风险状态信息，明确地决定采取什么行动，并实现它们。而处于核心地位的沟通则强调其有效性和针对性，要注意将合适的信息传达给合适的组织层次以得到最有效的分析和管理，这些层次包括开发方和用户方双方的组织结构。

4风险识别

风险识别是识别那些可能影响项目成本、进度、质量等方面的因素，对那些可能对项目目标造成不利影响的潜在的问题、危害、威胁、脆弱性等的识别是风险管理的基础。风险识别的方法一般包括： 检查项目WBS的每个元素，以发现风险

运用风险分类学进行风险评估

向相应的领域的专家征求意见

评审类似的产品的风险管理工作

查找有关的经验教训文件或数据库

检查设计规范和协议需求

对于一个项目，应该检查成本、进度和性能等方面的风险，确定其对项目目标实现的影响程序。进

度风险可能包括与策划活动、关键事件和里程碑有关的风险；性能风险可能包括如需求、分析与设计、新技术的应用、物理规模、验证和确认有关的风险。

还有些风险不一定完全属于成本、进度或性能，例如：非本组织的管理或技术原因引起的风险、来自供货商方面的风险、技术周期时间不确定性、以及竞争引起的风险等。

另外，根据项目类型和所包含的任务范围不同，还要识别那些尽管本项目不必过问其是否发生，但可以需要缓解其影响的那些风险。例如：天气、影响持续运行的自然或人为灾害、政策变化、通信故障等。

4.1.风险来源

了解风险来源，将为系统性地检查不断变化的情况打下基础，以便揭示那些将对项目实现其目标的能力造成不利影响的风险。

风险来源用于在项目或组织内确定风险的原因。对项目来讲有许多风险来源，包括内部和外部的。常见的内部和外部风险来源包括以下几个方面：

1.不确定的需求

2.无先例的工作量——无法达到的估算值

3.不可行的设计

4.不成熟的技术

5.不切实际的进度估算与安排

6.人手或技能不够

7.成本与资金的问题

8.不可靠的或不充分的分包商能力

9.不可靠的或不充分的供应商能力

10.与实际的或潜在的客户或他们的代理沟通不充分

11.业务持续运转的中止

12.客户配套环境问题

随着项目的推进，还可能发生新的风险来源。因此，早期识别内部和外部风险来源能够早期识别风险。风险缓解计划能在项目的早期实现，来排除风险的发生或降低风险发生的后果。

5风险分析

对风险进行分析就是对已识别的风险进行评价，确定其发生的可能性和后果。

5.1风险评估

风险评估的目的是通过确定风险的预期影响、可能性和时间框架，以便对风险有更好的理解。

5.2风险参数定义

风险参数用于提供公共的和一致的评价各种风险的准则。常用的评估风险的参数包括： 风险的可能性（风险发生的概率）

风险的后果（风险发生的影响和严重程度）

触发管理活动的阈值：即为了缓解风险所需要的行动周期

每个项目根据项目的特点，选择适合本项目使用的风险参数，主要是指定本项目使用的风险属性评价级别。如果项目需要特定的级别或者特定的具体参数，则需要特别说明和批准。