ch08-风险管理

风险条目检查表

7．人员数目及经验风险 是否有最优秀的人员可用？ 人员在技术上是否配套？ 是否有足够的人员可用？ 开发人员是否能够自始至终地参加整个项目的工作？ 项目中是否有一些人员只能部分时间工作？ 开发人员对自己的工作是否有正确的期望？ 开发人员是否接受过必要的培训？ 开发人员的流动是否仍然保证工作的连续性？
风险条目检查表

6．开发环境风险 是否有可用的软件项目管理工具？ 是否有可用的软件过程管理工具？ 是否有可用的分析设计工具？ 分析和设计工具是否适用？ 是否有可用的软件测试工具？ 是否有可用的软件配臵管理工具？ 环境是否利用了数据库或数据仓库？ 工具的联机帮助及文档是否适当？
风险概率及后果估计-矩阵图
I P R
Low
Mediu High m
High L
Mediu L m Low L
H
H M
H
H M
风险评估的方法-定量风险评估

决策树分析 量化风险条目检查表 。。。。。。
决策树分析


提供项目所有可供选择的行动方案，行动方案 之间的关系，行动方案的后果以及发生的概率 提供选择一个最佳的方案的依据
课堂练习课堂练习
.025*10=2.5
0.5*(-1.5)=-0.75
0.25*(-3)=－0.75
GameA:EMV=1
0.25*(10-2)Leabharlann Baidu2元
0.5*（-2）=-1
0.25*（-2）=-0.5
GameB:EMV=0.5
量化检查表


如何定量化的评估风险的影响是一个难题 简单评分方法 将可能性和影响分为高中低级别 将可能性和影响给出1到10之间的分值（较 好） 风险暴露量RE (Risk exposure) = 可能性 × 影响
3
需求和计划
采用新技术可可能 导致进度的延期
50%
30%
15%
1．培训开发人员 2．找专家作指导 3．采取边开发边学习 的方法，要求他们必须 在规定的时间内掌握技 术
。。。
4--控制风险－项目跟踪控制



实施和跟踪风险管理计划，保证风险计划的执 行，评估削减风险的有效性。 针对一个预测的风险事实上是否发生了，确保 针对某个风险而制定的风险消除步骤正在合理 使用 监视剩余的风险和识别新的风险， 收集可用于将来的风险分析信息
并非R6的重 要性就是R5 的两倍
R2不一定 比R5更重 要
量化检查表
排序 输入 风险事件 可能性 影响 风险量化 值 35% 采取的措施 1 系统设计评 审 没有足够的时间进 行产品测试 70% 50%
2
WBS
对需求的开发式系 统标准没有合适的 测试案例
20%
80%
16%
3
需求和计划
采用新技术可可能 导致进度的延期
风险管理应对计划
排序 输入 风险事件 可能性 影响 风险值 采取的措施 1 系统设计评 审 没有足够的时间进 行产品测试 70% 50% 35% 1．采取加班的方法 2．修改计划去掉一些 任务 3．与客户商量延长一 些时间
2
WBS
对需求的开发式系 统标准没有合适的 测试案例
20%
80%
16%
找专业的测试公司完成 测试工作

R=F(P,I)
风险评估的方法-定性风险评估

定性评估风险概率及后果
风险概率


风险概率值： >没有可能（0） <确定（1） 风险概率度量： 高、中、低 极高、高、中、低、极低 不可能，不一定，可能和极可能 等等
风险后果（影响）


风险后果 风险影响项目目标的严重程度 从无影响到无穷大 风险后果度量 高、中、低 极高、高、中、低、极低 灾难，严重，轻微，可忽略 等等

2．需求风险 对产品缺少清晰的认识。 对产品需求缺少认同。 在做需求时客户参与不够。 没有优先需求。 由于不确定的需要导致新的市场。 不断变化需求。 缺少有效的需求变化管理过程。 对需求的变化缺少相关分析。
风险条目检查表

3．商业影响风险检查表 本产品对公司的收入有何影响？ 本产品是否值得公司高管层的重视？ 交付期限的合理性如何？ 本产品是否与用户的需要相符合？ 本产品必须能与之互操作的其他产品/系统的数 目？ 最终用户的水平如何？ 延迟交付所造成的成本消耗是多少？ 产品缺陷所造成的成本消耗是多少？
风险条目检查表

4．管理风险 计划和任务定义不够充分。 实际项目状态。 项目所有者和决策者分不清。 不切实际的承诺。 员工之间的冲突。
风险条目检查表

5．技术风险 缺乏培训。 对方法、工具和新的技术理解的不够。 应用领域的经验不够。 待开发的软件是否需要与开发商提供未经证实的软 件产品接口。 产品的需求是否要求采用特殊的功能、用户界面？ 需求中的是否有过分的对产品的性能的约束。 客户能确定所要求的功能是否可行吗？

损失预防 损失抑制
-自留风险

由项目组织自己承担风险事故所致损失的措施。 自留风险的类型 主动自留风险和被动自留风险 全部自留风险和部分自留风险
实例

人员的频繁流动是一项风险，基于过去的历史 和管理经验，频繁流动可能性的估计值为70%， 开发时间增加15%，总成本增加12%，为了缓解 这一风险，项目经理是采取的策略：
风险评估

基于给分的方法计算风险暴露量存在一些问题
可能性 1 3 5 10 4 1 影响 8 7 7 3 5 10 风险暴露量 8 21 35 30 20 10
风险 R1 在编码期间变更需求规格说明 R2 规格说明比期望花了更多的时间 R3 重要员工生病影响了关键路径上的活动 R4 重要员工生病影响了非关键路径上的活动 R5 模块编码花了比期望更多的时间 R6 模块测试证明设计有错误或存在不足
-回避风险

注意事项 对风险有足够的认识 当其他风险策略不理想的时候，可以考虑 可能产生另外的风险 不是所有的情况都适用的
-转移风险

转移风险是为了避免承担风险损失，有意识将 损失或与损失有关的财务后果转嫁出去的方法: 例如 分包 开脱责任合同 保险 。。。
-损失控制
第八讲 风险管理
如果你不主动进攻风险，风险将 会主动进攻你！——Tom Glib
引言-软件项目中的风险



不断变换的需求 低劣的计划和估算 不可信赖的承包人 欠缺的管理经验 人员问题 技术失败 政策的变化 性能欠佳。。。
主要内容

什么是风险 风险管理过程 风险管理计划 评估进度计划的风险
2--风险评估

确定 风险发生概率的估计和评价， 项目风险后果严重程度的估计和评价， 项目风险影响范围的分析和评价， 以及对于项目风险发生时间的估计和评价。
风险评估

分析 风险发生的概率，确定发生的可能性（P） 风险后果，发生后对项目目标的影响（I） 风险值，风险的严重程度
风险管理的四个过程
风险识别
风险评估
风险规划 风险控制
1--风险识别


风险识别是试图通过系统化地确定对项目计划 的威胁，识别已知和可预测的风险。 主要工作内容包括如下几个方面： 1．识别并确定项目有哪些潜在的风险 2．识别引起这些风险的主要影响因素 3．识别项目风险可能引起的后果
风险识别
实例-采取的策略




与现有人员讨论人员流动的原因 项目启动时，做好会出现人员流动的准备，采 取一些技术以确保人员的一旦离开后，项目仍 然能继续 建立良好的项目组织和通信渠道，以使大家能 够了解每个有关的开发活动的信息 指定文档标准并建立相应的机制，以保证文档 能够及时建立 对所有工作组织细致的评审，使大多数人能够 按计划进度完成自己的工作
成功：P=70%
低性能：P=70%, outcome=- 100,000 EMV=95,000*70%=66500 EMV=-100,000* 70%=-70000
实施后：EMV=6,500
失败：P=30%, outcome= -200,000 EMV=-200,000*30%=-60000
不实施
EMV=0
50%
30%
15%
。。。
3--风险规划

针对风险分析的结果，为提高实现项目目标的 机会，降低风险的负面影响而制定风险应对策 略和应对措施的过程，即制定一定的行动和策 略来对付、减少、以至于消灭风险事件
风险规划的主要策略

回避风险 转移风险 损失控制 自留风险
-回避风险


回避风险是对所有可能发生的风险尽可能的规 避，采取主动放弃或者拒绝使用导致风险的方 案 例如放弃采用新技术
决策树分析例子
课堂练习



利用决策树风险分析技术来分析如下两种情况 的，以便决定你会选择哪种方案：（要求画出 决策树） 方案１：随机投掷硬币两次，如果两次投掷的 结果都是硬币正面朝上，你将获得１０元；投 掷的结果背面每朝上一次你需要付出１.５元。 方案２：随机投掷硬币两次，你需要付出２元； 如果两次投掷的结果都是硬币正面朝上，你将 获得１０元。
决策树分析与EMV ( Expected Monetary Value)


损益期望值是决策树的一种计算值 根据风险发生的概率计算出一种期望的损益 例如： 某行动方案成功的概率是50%，收益是10 EMV=10*50%=5
决策树分析例子—风险值？
高性能：P=30%, outcome=550,000 EMV=550,000* 30%=165000
输入 标识风险
按照一定的 标准对风险 分类排序
风险表
评审风险
方法及工具

德尔菲方法 头脑风暴法 风险条目检查表 。。。
风险条目检查表


检查表法是利用检查表作为风险识别的工具 检查表法是根据风险要素建立软件项目的风险 条目列表 可以使管理者集中识别常见的类型中的已知和 可预测的风险 有研究表明：IT项目常常存在一些共同的风险 源
什么是风险


狭义的风险：是指“可能失去的东西或者可能 受到的伤害”，即在从事任何活动时可能面临 的损失。 广义的风险：是一种不确定性，使得在给定的 情况和特定时间下，所从事活动的结果有很大 的差异性，差异越大，风险也越大，所面临的 损失或收益都可能很大，即风险带来的不都是 损失，也可能存在机会。

风险条目检查表

1．产品规模风险 估算产品的规模的方法（LOC或代码行，FP或 功能点，程序或文件的数目）。 对于估算出的产品规模估算的信任度如何？ 产品规模与以前产品规模平均值的偏差是多少？ 产品创建或使用的数据库大小如何？ 复用的软件有多少？ 产品的需求改变多少？
风险条目检查表

可预测风险


不可预测风险

风险类型

范围角度

技术风险

技术风险是指由于与项目研制相关的技术因素的变化而给 项目建设带来的风险，包括潜在的设计、实现、接口、验 证和维护、规格说明的二义性、技术的不确定性、“老” 技术与“新”技术等方面的问题。

费用风险

是指由于项目任务要求不明确，或受技术和进度等因素的 影响而可能给项目费用带来超支的可能性。
风险的基本性质


风险的客观性 风险的不确定性 风险的不利性 风险的可变性 风险的相对性 风险同利益的对称性
风险图示
项目风险
风险类型

预测角度 已知风险

是通过仔细评估项目计划、开发项目的经济和技 术环境以及其他可靠的信息来源之后可以发现的 那些风险。例如，不现实的交付时间；没有需求 或软件范围文档；恶劣的开发环境等。 是指能够从过去项目的经验中推测出来的风险。 例如，人员变动；与客户之间无法沟通等。 是指可能，但很难事先识别出来的风险
是指由于种种不确定性因素的存在而导致项目完工期拖延 的风险。该风险主要取决于技术因素、计划合理性、资源 充分性、项目人员经验等几个方面。

进度风险

风险类型



管理风险 是指由于项目建设的管理职能与管理对象（如管理 组织、领导素质、管理计划）等因素的状况及其可 能的变化，给项目建设带来的风险. 商业风险 是指开发了一个没有人真正需要的产品或系统（市 场风险）；或开发的产品不符合公司的整体商业策 略（策略风险）；或构成了一个销售部不知道如何 去出售的产品（销售风险）等。 社会环境风险 是指由于国际、国内的政治、经济技术的波动（如 政策变化等），或者由于自然界产生的灾害（如地 震、洪水等）而可能给项目带来的风险