1、軟件項目風險管理(Project Risk Management)1 .風險管理引言2 .風險管理概述3 .項目風險的管理規劃4 .項目風險識別5 .項目風險分析6 .項目風險應對7 .項目風險監控引言假如你是一個項目的負責人，有幸要在 40天內為布朗先生建 造一座堅固實用美觀的別墅。你會發現哪些風險？第一組A、40天是40個工作日嗎？還是包括節假日的 40天？我如 何保證按時完成？B、布朗先生的要求堅固實用，堅固要達到抗震幾級？使用期 限是多長？實用更麻煩，布朗先生覺得應該如何布局，這個房子才 更實用？布朗先生要求的美觀如何達到？C、我需要多少資金預算？如何讓這些資金到位？什么時候到 位？如

2、何花才能避免超出預算？D、項目完工之后的質量驗收標準是什么？在項目過程中我應 該如何保證這個質量目標？第二組A、別墅的建筑用地在哪里？地況如何？周圍環境如何？是否 有設計難度？設計方案是否合理？能否達到質量要求？B、項目施工的工序是否正確？項目計劃是否合理？C、建筑團隊的人員是否充足？我是否需要一個優秀的設計師 和一些有經驗的建筑工人？D、團隊成員是否都能忠于工作？我應該如何進行有效的管理 并激勵他們才能保證項目按時按質的完成？E、我是否要花些心思了解布朗先生，包括他的背景，另外布朗 先生有沒有幕后老板，是否還有其他人會影響布朗先生的觀點？我 們之間是否會有誤會產生？我應該如何溝通？F、我的材

3、料供應商是否可靠？他能否及時將質量合格的原材料 供應給我?第三組A、我們的施工期是什么季節，是否我去看看這些年在這段期 間的天氣狀況如何？如果遇到雨雪等天氣災害我怎樣應對？B、我的建筑安全措施如何？安全教育是否到位？工人保險狀 況如何？假如出現工傷或者事故如何應對？C、另外，如果這塊地施工期間，挖出了古墓等情況，停工期 間時間和預算是否夠用？D、布朗先生是否像表面這樣有錢？（他的資信情況如何？） 他是否能在合適的時候付我款項？我是否要實現一些階段性付款方 案，我是否要保證金？E、建造這個房屋我是否取得了一些前期施工證明？建筑主管單 位是否不會找我麻煩？F、建造這個房子是否有限高？是否會有損于周

4、圍其他人的利 益，采光、施工噪音、垃圾污染等等？周圍人的情況如何？他們要 找我麻煩怎么辦？假如，您寫出了第一組答案中的100% ,那么您可以進入項目管理領域了，假如，您同時又寫出了第二組答案中的80%以上，那么您有項目管理的潛質，假如您更在以上基礎上同時第三組答案中也寫出了60%以上,那么您已經具備項目管理的一些經驗了，當然這些朋友還需更多實 踐經驗的磨練。如果沒達到，也不必灰心，這門課程無疑會適合您。風險管理概述什么是風險？（ Risk Definition）PMP對風險的定義：風險是指與項目相關的若干不確定性事件或條件，一旦發生， 將會對項目目標的實現產生正面或負面的影響。CMMI :CM

5、MI 3級管理域：風險管理域（RSKM ）風險管理的目的是在風險發生前，界定出潛在的問題，以便在 產品或項目的生命周期中規劃風險處理活動，并于必要時啟動之， 從而將不利于完成目標的影響降低。風險的基本因素風險信號（征兆）：指在風險發生之前的提示信號。發生概率：風險發生的幾率。風險影響：風險發生后對項目產生的影響。風險級別：根據風險發生的概率以及風險影響程度將風險劃分 為高、中、低不同的等級。應對措施：風險發生前，為了避免、降低、緩解、轉移、接受 風險所采取的措施風險特點風險存在的客觀性和普遍性風險的多變性風險的時間性風險發生具有偶然性和必然性從風險內容上劃分風險類型1、范圍風險：與范圍變更有關

6、的風險，例如用戶的需求變化 等。2、進度風險：導致項目工期拖延的風險。該風險主要取決于技 術因素、計劃合理性、資源充分性、項目人員經驗等幾個方面。3、成本風險：導致項目費用（其中包括人工成本）超支的風 險。4、質量風險：影響質量達到技術性能和質量水平要求的風險5、技術風險：是指由于與項目研制相關的技術因素的變化而給項目建設帶來的風險，包括潛在的設計、實現、接口、驗證和維 護、技術的不確定性、老”技術與 新”技術等方面的問題。6、管理風險：是指由于項目建設的管理職能與管理對象（如管 理組織、領導素質、管理計劃）等因素的狀況及其可能的變化，給 項目建設帶來的風險。7、商業風險：是指開發了一個沒有人

7、真正需要的產品或系統 （市場風險）；或開發的產品不符合公司的整體商業策略（策略風 險）；或構成了一個銷售部不知道如何去出售的產品（銷售風險） 等。8、法律風險：例如許可權、專利、合同失效、訴訟、不可抗力 等9、社會環境風險：是指由于國際、國內的政治、經濟技術的波 動（如政策變化等），或者由于自然界產生的災害（如地震、洪水 等）而可能給項目帶來的風險。從預測的角度劃分風險類型1 .已知風險（knowns）:是通過仔細評估項目計劃、開發項目 的經濟和技術環境以及其他可靠的信息來源之后可以發現的那些風 險。例如，不現實的交付時間；沒有需求或軟件范圍文檔；惡劣的 開發環境等。2 .可預測的風險（kno

8、wn-unknowns ）:可預見、可計劃、可 管理。又稱已知-未知風險，是指能夠從過去項目的經驗中推測出來 的風險。例如，人員變動；與客戶之間無法溝通等。以及市場風險 （原材料可利用性、需求）、日常運作（維修需求）、環境影響、社會 影響、貨幣變動、通貨膨脹、稅收3,不可預測的風險（unknown-unknowns） :不可預見、不可 計劃、不可管理，需要應急措施。又稱未知-未知風險，是指可能， 但很難事先識別出來的風險。例如規章（不可預測的政府干預）、自 然災害風險成本風險的有形成本包括風險發生時造成的直接損失和間接損失。直接損失是指人員、經費、設備等的直接流失；間接費用是指直接損失以外的人

9、財、物、知識等損失。風險的無形成本是指由于風險所具有的不確定性而使項目在風 險發生前和發生后所付出的代價。風險的發生減少了項目成功的機會；風險阻礙了生產率的提高和新技術的應用；風險會造成資源分配的不當，使人們將更多的資源投入到風險 較小的行業或者項目中。什么是風險管理？（ Risk Management風險管理指對項目的風險進行識別、分析和控制的系統性過 程。項目管理者通過系統化的風險識別、分析和應對項目風險，最 大化正面影響，最小化負面影響。風險管理的意義1 .增加項目成功的機率，使項目達到預期的結果。2 .從項目進度、質量和成本目標看，項目管理與風險管理的目 標是一致的。通過風險管理以減少

10、風險對項目進度、質量、成本的 影響，最終實現項目目標。3 .從計劃職能看，項目計劃考慮的是未來，而未來存在不確定 因素，風險管理的職能之一是減少項目整個過程中的不確定性，有 利于計劃的準確性。4 .從項目實施過程看，不少風險是在項目實施過程中由潛在變 成現實的，風險管理就是在風險分析的基礎上擬定具體措施來消 除、緩和及轉移風險，并避免產生新的風險，因此有利于項目的實 施PMP風險管理過程包括：1 .風險管理計劃2 .風險識別3 .風險定性分析4 .風險定量分析5 .風險應對計劃6 .風險監控CMMI 風險管理域內容特定目標1:風險管理標準（對應風險計劃）執行方法1.1 :決定風險來源和類別執行

11、方法1.2 :定義風險參數執行方法1.3 :建立風險管理策略特定目標2:界定并分析風險（對應風險識別和分析）執行方法2.1 :界定風險執行方法2.2 :評估、分類及排序風險特定目標3:降低風險（對應風險應對和監控）執行方法3.1 :開發風險降低計劃執行方法3.2 :執行風險降低計劃風險管理流程風險管理規劃風險管理規劃(Risk Management Planning)是在項目正式啟動前或啟動初期對項目的一個縱觀全局的對于 風險的考慮、分析、計劃，也是項目風險控制中最關鍵的內容。目的是確定風險管理方法和風險管理的各項活動。輸出：風險管理計劃風險管理規劃流程分析項目風險識別風險識別過程(Ident

12、ify Risks )風險識別過程是將不確定性事項轉變為明確的風險陳述。風險三要素判斷：不確定性、未發生、對目標的達成有影響。可能的參與人員：項目組成員、機構項目管理或專門的風險管 理人員、技術專家、客戶、最終用戶、項目組外有經驗的項目經 理、其他干系人等。是一個在整個項目過程中多次反復的過程。風險管理計劃風險類別風臉知識庫識別風險I標識風險I評審風險風險識別技術一、信息收集法頭腦風暴法(Brain Storm )通過一種思維高度活躍，打破常規的思維方式而產生大量創造性 設想的方法。該方法最常用，當所有項目組成員或人數眾多的成員 參與項目風險識別時使用。Delphi 法征得專家的意見之后，進行

13、整理、歸納、統計，再反饋給各專 家，再次征求意見，再集中，再反饋，直至得到穩定的意見。該方 法用戶專家對項目風險進行識別時使用。面談法與有經驗的項目經理、行業專家以及相關方代表進行面談，通 過他們的經驗為項目風險識別提供幫助。SWOT 法將與項目相關的各種主要優勢因素(Strengths )、弱點因素(Weaknesses )、機會因素(Opportun田es )、威脅因素(Threaths ),通過調查羅列出來，并按照矩陣形式排列出來，運 用系統分析方法，將這些因素加以分析，得出相應的結論。通常用 于項目風險管理小組對風險的識別。道斯矩陣內部因素優勢外 部因素 機會優勢與機會相匹屈 劣勢與機

14、會相匹現SOwo威脅優勢與威脅相匹我劣勢與威脅相匹配3STH二、圖表分析法因果圖(魚刺圖/石川圖)。用于對影響結果的全部因素進行分析。適用于各種角色的人對 項目風險進行識別。項目流程圖。通過尋找項目各組成部分之間的相互聯系和依賴關系，發現其 中的風險。適合項目風險管理小組使用。相關圖。通過變量與結果之間的關系來確定影響結果的因素，從而識別 其中的風險。適合項目風險小組使用。三、風險條目檢查表法。檢查表中已經根據軟件項目的特點列出了潛在的風險，由適用 人員逐項評估。使用于項目經理和項目風險管理小組對項目進行風 險識別。四、假設條件分析法。對于項目計劃制定過程中設定的主要假設條件進行評估，從中 尋

15、找出存在的風險因素。適用于項目經理和項目風險管理小組對風 險進行識別。風險識別的輸出項目風險列表，并納入組織的 項目風險知識庫Top10 風險在項目管理實踐過程中，項目管理人員需要根據項目進程，根 據風險發生概率及風險影響程度優先級和影響因素等對風險進行優 先級排列，并對排名前十位的風險進行重點跟蹤和管理。同品及訶通“方Tnpldkl哈列未ID風履類理同曲描逑風睡信號發生舊車風瞌那響起避措施建任人1234風險分析風險分析(Risk Analysis )的過程及目的是對所有識別出來的 風險進行估評，按照發生的可能性和后果的嚴重性排序，以確定項 目組需要重點關注的風險，為后面的風險應對方案作準備。

16、定性分析定量分析定性分析定義風險的定性分析是通過比較各個風險項目在發生概率和影響后 果方面的相對位置，進而確定哪些是關鍵風險，并作為下一步關注 的對象。目的判斷已識別的風險的重要程度以作為進一步風險管理活動的依結果對已識別的風險的評分列表，并按照其重要程度的分值進行排 序依據通常只能靠經驗和專家意見方法主觀打分法。由項目風險管理小組對已識別出的風險的發生概 率、后果影響兩個方面進行打分。風險發生后果等級項目目標非常恨0.05K0J中0.2高Q.4非常高0,8轉用增加不用顯*10%增加10心0%增加20%時間進度延期不沮顯延期Y5%延期510%延期1020%延期）20%工作范圍輕微變化，只 需通

17、知少量，不重要 的變化重要變化項目干系人不 可接受導致部分咳白 計劃不兵用質量輕微降低,只 需通知僅對要求很高的質量要求存空問題質量降低，需 用戶批準項目干系人不可接受導致部分項目 計劃不可用風險發生概率等級等級 (OLO)發生概率等級說明0.10%-10%及不可能發生0.311 %-30%發生的可能性很小0.531%-70%有可能發生0.771%-90%發生的可能性很多0.990%-100%極有可能發生T風險評分=P*I （取值范圍：0-1.00 ）C0-1.0)0. 050. 10. 20. 40.80.90.050. 090. 180. 360. 720.70.040. 070. 140

18、.280. 560. 50,030.050. 100. 200.400. 30.020,030. 060, 120.240+ 10.010.010. 020. 040.08密度風險中度風險低度風障概率孌I就近;定量分析定義通過一些數學方法對特定類型風險的發生概率，發生后果進行 分析，以獲得一些與此類風險相關的指標值。此類方法一般用于成 本和進度類的風險分析。目的確定能達到項目目標的可能性。（目標包括進度、費用、質量 等）。量化的評估項目各風險，確定需預留的風險準備金和時間預留 量。量化評估風險影響，判斷最應關注的項目風險。確定關于費用、時間和工作范圍的現實的，可達到的目標(1)風險的參照水準分

19、析法對絕大多數軟件項目來講風險因素 一一成本、性能、支持和進 度就是典型的風險參照系。1、根據項目承受能力定義成本、性能、支持、進度的水平參照 值。2、找出每組風險與水平參照值的關系。3、估計一組臨界點以定義項目的終止區域。4、估計風險組合將如何影響風險水平參照值(2) PERT估計法此方法可以應用于風險發生概率和風險的后果的定量分析。通過面談對象的樂觀估計、最可能估計、悲觀估計，利用三點法得出風險項的加權平均值。 _ ? .IPERT加權平均=加觀估計+4乂最可能估計+悲觀估計6(3 )模擬技術通過選定的數學模型，將某一不確定性的因素在一定的概率分 布下的變化狀態轉化為整個項目結果的分布情況

20、。蒙特卡羅模擬(Monte Carlo )。蒙特卡羅分析通過多次模 擬一個模型的結果，從而提供計算結果的統計分布。率 6 5 4 3 2 10 概 o o o o o O(4)決策樹分析決策樹分析法是指借助樹形分析圖，根據各種類型的風險出現的概率及預期損益，計算與比較各方案的損益期望值，從而抉擇最 優方案的方法。成功斯技本產品技術方案潰擇失敗失敗6g 萬9幡 5M方成熱的老技術風險分析結果項目關鍵風險清單1風險類別概率影晌排序用戶變更需求范圍風險80%51規模估算可能非常低范圍風險60%52人員流動管理風附60%43最費用戶抵制該訃劃商業風陵50%44交時期限將被案8進度風險50%35用戶數量

21、大大超出計劃范圍風險30%46技術以不到預期的效果技術風險30%擊7缺少對工具的培訓1開發環境風險40%18人員缺乏經臉管理風險10%9風險應對風險應對(Risk response )是指通過應對計劃的活動，對已 經分析出的項目關鍵風險制定相應的應對措施，以確保相應的關鍵 風險可以被避免、消除、轉移以及風險發生后能夠正確應對，減少 負面影響。風險應對計劃的執行情況直接決定了風險對項目目標的 影響情況。制定措施和方法以增加對項目有利的機會，減少風險對項目的 威脅。不僅包括措施制定，也包括責任人的安排所制定的應對計劃應與風險的嚴重程度相適應，經濟有效、及 時、現實、可操作、一致同意并責任落實。通過

22、涉及多個方案的選擇，而且可能涉及主應對方案和備份方 案的安排。風險應對方法風險規避：是指當項目風險潛在威脅的可能性極大，并會帶來 嚴重的后果，無法轉移又不能承受時，通過改變項目的計劃、過 程、組織、資源等互動來規避風險。規避策略：改變項目計劃以消滅風險或保護項目目標免受影響。雖不可能 消滅所有的風險，但對具體風險來說是可以避免的。某些風險可以通過需求再確認、獲取更詳細信息、增強溝通、 增派專家等方法得以避免。示例：縮小項目工作范圍以避免高風險任務活動采用更成熟的技術方案而非先進但尚不成熟的方案避免跟不熟悉的服務提供商簽約風險轉移：通過將風險向第三方或者相關方轉移風險。通常要為第三方付 費作為承

23、擔風險的報酬。示例：通過尋找合作伙伴或模塊外包降低進度或者范圍風險。通過測試外包降低產品質量風險。通過集成其他廠商的中間件以降低技術風險。風險減輕：對于無法消除和轉移的風險，通過增加資源或增加其他輔助手 段來降低風險發生概率和風險后果。示例：采用功能相差不多的較簡單的流程冗余設計降低需求變更產生的影響增加資源和時間進行更系統化的更徹底的測試風險接受：對于無法規避和轉移的風險必須制定相應的項目應急計劃，確 保在風險發生之后有明確的行動而不是被動地去應對，以降低風險 帶來的不良影響。積極的接受。制定應急計劃并在風險發生時執行，應急計劃可 以大大減少處理問題的費用。消極的接受。默默地承受對于高風險的

24、事件可制定 退卻計劃”：風險準備金、備用方 案、改變工作范圍等。示例：機房著火，服務器癱瘓的風險。應提前制定應急方案，提供風 險準備金，備用服務器，數據備份，風險責任人等。需求變更風險。當無法避免的需求變更發生時，按照規定需求 變更流程進行需求變更，減少需求變更的影響。風險應對結果風險應對計劃已識別風險描述、風險原因及影響風險對應的責任人及其責任風險應對具體策略及其具體措施應對措施執行后仍可能遺留的風險及其程度風險應對的費用和時間預算應急計劃和退卻計劃風險監控風險監控(Risk Control)在整個項目過程中監督已識別風險和殘留風險、識別可能出現 的新風險、執行風險應對計劃、評估計劃執行的有效性。項目風險監控活動應判斷以下情況1,風險應對措施是否按計劃實施2,風險應對措施是否有效，是否需要制定新的措施3 .項目假定條件是否仍然成立4 .風險的狀態是否發生了改變5 .是否出現了風險信號6 .是否遵從了正確的項目章程7 .是否有未識別的風險