风险管理指南

风险管理指南

1.目的 (2)

2.适用范围 (2)

3.术语 (2)

4.项目风险管理描述 (2)

4.1.风险分类 (2)

4.2.风险识别 (3)

4.3.风险分析 (4)

4.4.风险处理和减缓活动 (5)

5.风险监控 (6)

6.附录 (7)

6.1.项目风险分析列表 (7)

6.2.参考资料 (9)

7.修订记录 (10)

1.目的

描述项目进行过程中可能产生的风险的识别方法，制定预防风险的措施，及风险发生时的解决方法，供项目策划时根据具体项目的情况选择或裁剪使用。由此确定项目采用科学的风险识别方法，制定详细的预防措施和解决方法，以避免风险的发生，或者当风险发生时，将损失减小到最低程度。

2.适用范围

适用于公司的所有合同项目和产品项目, 风险管理贯穿于项目的整个生命周期。

3.术语

1)项目风险：指项目中不利事件发生的不确定性。

2)软件风险：指软件开发过程中及软件产品本身可能造成的伤害或损失。

3)风险管理：对项目风险进行识别、分析和处理的过程。

4.项目风险管理描述

为了管理项目可能存在的风险，在进行项目策划时，需要进行风险分析，并制订风险管理计划，该计划可作为项目计划的一部分。

风险管理应贯穿于项目工程的始终，它不是项目经理一人的任务，也不是一次性的任务，而是一个迭代的过程，任一项目成员都有责任进行风险管理。

制定风险管理计划包括：风险识别、风险分析、风险处理、风险跟踪。

4.1.风险分类

要进行风险管理，先明确项目风险怎么分类。

4.1.1.按内容分

范围风险：与范围变更有关的风险；

质量风险：影响按照要求的技术性能和质量水平完成任务；

进度风险：影响在预算的时间范围内完成任务；

成本风险：影响在预算的成本范围内完成任务；

技术风险：技术变化；

法律风险：许可权、专利、合同失效、诉讼、不可抗力；

外部可预测风险：市场风险（原材料可利用性、需求）、日常运作（维修需求）、环境影响、社会影响、货币变动、通货膨胀、税收；

外部不可预测风险：规章（不可预测的政府干预）、自然灾害；

内部非技术风险：战略风险（公司的经营战略发生了变化）、管理风险（公司管理人员是否成熟等）。

4.1.2.按可确定性分

已知风险：如当前测试环境不能满足用户真实使用环境的模拟。

可预知风险：如使用技术存在的缺陷。

不可预知风险：如外购进口设备运输途中可能出现的不能如期到达或损坏的风险。

4.2.风险识别

风险识别是管理风险的第一步，即识别整个项目过程中可能存在的风险。一般是根据项目的性质，从潜在的事件及其产生的后果和潜在的后果及其产生的原因来检查风险。收集、整理项目可能的风险并充分征求各方意见后形成项目的《风险和问题跟踪列表》。

【过程管理平台中，填写和维护“风险列表”。】

4.2.1.要进行风险识别的阶段

在项目开始、每个阶段一开始、主要范围变更批准之前都要进行风险识别，实际上它在整个项目生命周期内都是一个连续的过程。

4.2.2.风险事件或风险来源

要识别风险，就应该了解在项目各个阶段都有可能发生哪些风险。以软件开发为例：

●初始阶段

这个阶段包括立项和需求分析及《软件需求规格说明书》的设计（大部分业务建模和需求、少部分分析设计）。可能的风险事件有：项目目标不清；项目范围不明确（范围太大太小

都不可以）；用户参与少或和用户沟通少；对业务了解不够；对需求了解不够等。

●设计阶段

在这个阶段进行总体设计和详细设计。可能的风险事件有：项目队伍缺乏经验，如缺乏有

经验的系统分析员；没有变更控制计划，以至于变更没有依据，该变更的不变，不该变的

也变，这样得来的设计势必会失败或者偏离用户需求；仓促计划，可能带来进度方面的风

险；漏项，由于设计人员的疏忽某个功能没有考虑进去等。

●实施阶段

在这个阶段进行大部分编码和测试，可能有设计变更或补充设计。可能的风险事件有：开

发环境没有具备好；设计错误带来的实施困难；程序员开发能力差，或程序员对开发工具

不熟；项目范围改变（突然要增加或修改一些功能，需要重新考虑设计）；项目进度改变

（要求提前完成任务等）；人员离开，在一个项目内软件开发工作有一定的连续性，需要

移交和交接，有时人员离开对项目的影响会很大；开发团队内部沟通不够，导致程序员对

系统设计的理解上有偏差；没有有效的备份方案；没有切实可行的测试计划；测试人员经

验不足；没有进行可行性研究等。

●收尾阶段

在这个阶段进行安装及维护（大部分部署）。可能的风险事件有：质量差；客户不满意；

设备没有按时到货；资金不能回收；客户返馈意见引起大的变更等。

4.2.3.风险识别的方法

不同项目可能发生的风险事件不同，应该对具体项目识别出真正有可能发生在该项目的风险事件。风险识别的有效方法有很多，如：

●建立风险项目检查表：可以从以下几方面来检查，产品规模风险，业务影响风险，与客户

相关的风险，过程风险，技术风险，开发环境风险，与人员的模式和经验有关的风险。

●建立因果分析图。

●征求意见：就项目可能存在的问题和不确定因素，征求项目组成员的意见。

●参考以往项目的风险情况。

●提问的方式：针对所识别的潜在风险，采用提问的方式确定是否应认定为风险。

4.2.4.确定所识别的风险类型

软件项目一般有如下五类风险：

●规模风险：项目产品本身（大系统和小系统）或由项目团队引起的风险；项目的风险是直

接与产品的规模成正比的。风险因素有：估计产品的规模的方法（代码行，功能点，程序或文件的数目），产品规模估计的信任度，产品规模与以前产品规模平均值的偏差，产品的用户数，复用的软件有多少，产品的需求改变多少。

●需求风险：不确定的客户需求引起的风险。很多项目在确定需求时都面临着一些不确定性。

当在项目早期的需求不确定性在项目进展过程当中得不到解决时，就会对项目的成功造成很大威胁。与客户相关的风险因素有：对产品缺少清晰的认识，对产品需求缺少认同，在做需求中客户参与不够，没有优先需求，由于不确定的需要导致新的市场，不断变化需求，缺少有效的需求变化管理过程，对需求的变化缺少相关分析。

●相关性风险：项目的外部环境或因素的相关性产生的风险。我们经常不能很好地控制外部

的相关性，因此缓解策略应该包括可能性计划，以便从第二资源或协同工作资源中取得必要的组成部分，并且觉察潜在的问题。与外部环境相关的因素有：客户供应条目或信息，内部或外部转包商的关系，交互成员或交互团体依赖性，经验丰富人员的可得性，项目的复用性；

●管理风险：组织自身的管理水平、能力成熟度引发的风险。应定义项目追踪过程并且明晰

项目角色和责任，以能处理这些风险因素：计划和任务定义不够充分，实际项目状态，项目所有者和决策者分不清，不切实际的承诺，员工之间的冲突。

●技术风险：由人员的技术水平和经验、使用的工具和技术的成熟度等引发的风险。在早期，

识别风险从而采取合适的预防措施是解决风险领域问题的关键，比如：培训、雇佣顾问以及为项目团队招聘合适的人才等。主要有下面这些风险因素：缺乏培训，对方法、工具和技术理解的不够，应用领域的经验不够，新的技术和开发方法，不能正确工作的方法。

4.3.风险分析

风险分析是对识别出来的风险事件做风险影响分析，确定避免或减轻风险的策略及措施以达到降低风险，保证项目顺利进行的目的。对确定的风险事件还要进行描述，如：可能性、可能后果范围、预计发生时间、发生频率等。

4.3.1.和风险相关的因素

和风险相关的主要四个因素：

●风险事件，破坏或影响项目的事件

●风险概率（%），事件发生的可能性

●风险得失量（金额），说明可能造成的损失

●风险影响（周），等于风险概率×风险得失量周。

4.3.2.风险分析步骤

风险分析要确定每个风险对项目的影响大小，一般是对已经识别出来的项目风险进行量化估计。

通过对风险及风险的相互作用的估算来评价项目可能结果的范围，从成本、进度及性能三个方面对风险进行评价。