1、精選優質文檔-傾情為你奉上風險管理成熟度模型框架（編譯稿）1風險管理成熟度模型成熟度模型被很好地開發和接受，卡耐基梅隆大學的軟件工程研究院（SEI）開發了一個軟件組織能力成熟度模型（CMM）和一個系統工程組織能力成熟度模型（CMMI）。這些模型定義了增加能力和成熟度的五個等級，分別是起步（第一級）、可重復（第二級）、界定（第三級）、管理（第四級）和優化（第五級）。每一級被清晰地定義和描述，使得組織能夠在可接收范圍內自我評估。認識到自身的CMM等級，組織能夠清晰地設定改進目標，瞄準下一能力和成熟度等級。盡管SEI CMMI很好地建立，但其應用受限于總體的擴散能力。充分應用CMMI模型（包括一個風

2、險管理成熟度模型）需要巨量的資源和整個系統工程流程的一體化。本報告概述的RMMM特別地關注風險管理，并提供一個比正式的CMMI評估更容易實現的不太正式的方法，一個一般性的專注風險的成熟度模型。試圖為希望執行正式的風險流程或者改進其現有方法的組織提供幫助。它應該適用于任何行業、政府或商業部門的各種項目和組織。RMMM被設計為一種診斷工具而不是一個用于執行的常規模型。如果組織期望使用成熟度模型，作者建議或者使用EIA/IS-731.1或者使用CMMI-SE/SW于管理系統。RMMM包括估計成熟度的四個等級，與其他模型等級比較如下表所示：表一：成熟度模型等級比較等級RMMMCMMI SE/SWEIA

3、/IS-731.10Ad Hoc特定級Incomplete不完全的Initial起步1Initial起步級Performed運行Performed運行2Repeatable可重復級Managed管理Managed管理3Repeatable可重復級Defined界定Defined界定4Managed管理Managed quantitatively量化管理Measured計量5Managed管理Optimizing優化Optimizing優化RMMM提供了一個框架，允許組織以成熟度的四個標準等級為基準開展風險管理，并概述了過渡到下一等級的必要的活動。在此描述的風險管理成熟度模型（RMMM）為那些希

4、望發展或改善他們的風險管理方法、并為增進其風險成熟度開發行動計劃的組織提供了清晰的指引。概要描述了四個RMMM等級，隨后是對當前等級的診斷的指引，而且還討論了發展到下一成熟度等級的戰略。2風險管理成熟度模型框架組織風險管理流程的成熟度可被分組，從完全無正式流程到風險管理充分整合組織的所有方面。為了表達這一點，本報告中描述的風險管理成熟度模型（RMMM）提供了四個標準等級的風險成熟度（如圖一）。與所有模型一樣，預期某些組織可能不完全適合這一分類，但是，RMMM等級充分界定了適用于大部分組織的差異。一般認為，超過四個等級的分類在不對模型給出任何更加精確條件的情況下，將會增加歧義。RMMM等級描述如

5、下：2.1第一級：特定級（英雄崇拜）在特定級，組織不清楚風險管理的需要，而且沒有建構方法來應對不確定性，導致每一項目或運營出現一系列危機。如果存在風險管理，管理和工程過程也是重復的和反應性的，也很少或者從不試圖從過去的項目中學習，或為未來的不確定性做出準備。從不試圖定義項目風險，或者開發減輕風險或應變計劃。處理問題的正常方法是在問題發生之后應對而無前瞻性的思考。在危機之時，典型的應對方案是放棄計劃并從好的方面著想。項目成功依賴于有一個優異的管理者和一個成熟和有效率的團隊。有時候，在項目期間，有能力而且強勢的管理者能夠識別并根據減輕風險的原則行事；但當他們離開時，他們的影響也隨之而去。甚至，一個

6、強有力的工程過程不能克服風險管理實踐的缺失所帶來的不穩定性。盡管這一應對危機管理的混沌過程，第一級組織常常開發有效的產品，即使他們通常超過他們的原始預算和計劃，甚至不包含所要求的全部原始功能。第一級組織的成功依賴于組織中的人們的個人能力和英雄主義，除非新的項目被分配給同一個人，否則成功不可能再現。因此，在第一級，能力是個人特征而非組織特點。注意到，在這一成熟度模型中，最困難的一步是從第一級進入第二級。因為所有的管理程序和活動必須重新組合，也可能是由于缺乏對需要變革的理解。一個特定級的組織可能缺乏對存在問題的任何感覺或認識。在成熟度的更高級別，組織和項目管理對不確定性更加清晰，而且能夠采取任何必

7、要的減輕或者臨時行動。這一清晰度使得管理能夠在某些事情走入歧途之前采取行動，或者在某些事情走入歧途時有合適的應對計劃。成熟度級別的差異也可描述為精確地識別和前瞻性地應對不確定性的能力。當組織提升成熟度級別水平時，風險識別變得更加準確，而且必須的減輕/臨時行動變得更加清楚。2.2第二級：起步（試用）在起步級，組織試驗應用風險管理，通常通過在特定的項目中少量被任命個人實施。在這一級別，組織是非正式的或者適當地構建風險管理過程。在某些級別，盡管組織意識到管理項目風險的潛在收益，卻沒有有效地執行組織范圍的可執行流程。某些項目，包括任命人員，從過去的錯誤中吸取經驗教訓，然而，不存在可執行的方法以提供學會

8、所有組織項目的課程。風險管理在這一點上可被描述為組織共同經驗的結晶的開端。組織意識到能夠從過去的錯誤中吸取經驗教訓，但知識仍然不是成型的，也沒有任何結構以保證其一以貫之地應用于組織的全過程。2.3第三級：可重復（計劃工作，按計劃工作）在可替代級，組織在常規業務流程中執行風險管理，而且全部在大多數項目中執行風險管理。一般性的風險政策和流程已經是成型和范圍廣泛的，而且組織的各個層級都清楚其益處，盡管他們不可能始終如一地在所有的案例中實現。計劃和管理新項目是基于同類項目的經驗。風險管理能力由于在項目上的基本的風險管理訓練而增強。通過已經被定義、文件化、實踐、培訓、測量、強制實施和改進的流程，項目執行

9、風險管理。所有的項目有一個指定的風險經理。對于小項目，項目經理和風險經理的角色可能由同一個人擔任，但對于較大的項目風險經理與項目經理是完全分開的。在第三級的項目做出基于對以前的項目和對當前項目已識別的風險的評價結果的可行的項目承諾。項目風險經理跟蹤成本、日程安排、功能性和質量，以及被識別的滿足承諾過程中的出現問題。項目風險經理與其客戶和分包商（如果有）一起建立一個有效的顧客供應商關系。在第三級組織中，風險管理流程在不同的項目之間可能會有區別。對實現第三級的組織的要求是存在組織層面的政策，以指導項目建立適當的管理流程。具有第三級風險管理能力的組織可被概括為訓練有素的，因為項目的計劃和跟蹤是穩定的

10、，而且早期的成功經驗可被重復。項目的風險管理流程受項目管理系統、基于前期項目的績效的可行計劃的控制。2.4第四級：管理（衡量工作，使衡量產生效果）在管理級別，組織已經建立了風險意識（而不是風險規避）文化，要求對組織各個方面風險進行管理的前置方法。風險信息不斷被發現、積極用于改進組織流程以及增加項目和運營成功的可能性。標準的風險管理流程用書面文件表述并用于整個組織。在第三級確定的流程被應用（在合適時候被修改）以幫助組織的項目和運營管理者以及技術團隊更有效地履行職務。組織內的一組員工被任命承擔風險管理職責，這一正式任命提供了一個在項目溝通渠道或運營管理結構之外的組織管理的非正式溝通渠道。一個組織范

11、圍的培訓計劃被執行以確保團隊和管理者具有履行它們指定的角色所需的知識和技能。項目適應組織的標準風險管理流程和工具，已開發利用它們自己定義的說明項目的獨有的個性的流程，這些流程是用于履行項目活動。一個定義的風險管理流程包括一系列連貫的、整合的、清晰可辨的風險辨識、評估、處理和監控工具和流程。一個清晰的流程可被描述為包括確定的準則、輸入、履行工作的標準和程序、核查機制、輸出以及執行準則。因為風險管理過程被很好地定義，管理部門能較好地觀察項目或有運營的風險及其潛在影響。第四級組織的風險管理流程能力可總結為標準和持續，因為活動是穩定的、可重復的。在建立的產品線內，成本、日程表、功能性和質量風險是清晰的

12、、受控的，而且風險降低狀況可追蹤。這一流程能力是基于對一個確定的風險管理流程中的活動、職責以及責任的一般性的、組織范圍的理解。開發最佳風險管理實踐的變革是貫穿于組織之中的識別和轉移。在第四級組織中的風險管理團隊不斷地分析過去項目的結果以測定準確的風險識別與實際的影響和原因。他們傳播來自于組織的經驗和教訓。3確定組織成熟度等級每一風險管理成熟度模型（RMMM）等級的簡要描述可表明，組織可根據風險流程的相對成熟度確定其位置。但是，對于風險管理流程成熟度的目標和持續評估，還需要更加詳細的判斷工具。表二介紹了特定組織在每一RMMM等級的基本特性，它通過文化、流程、經歷和實際應用等四個方面來說明。這一突

13、破使得組織能夠以清晰的標準自我比較，這一標準被許多專業的風險管理組織所接受，并用以評估其現行的發現成熟度等級。我們承認，某些組織可能橫跨相繼的RMMM等級之間的邊界，但等級之間的間隔就是如此，在更多的案例中應該有清楚的區分，而且已經證明更多的組織被確定在單一等級是可行的。成熟度等級表中提及的特性范圍在確定組織的成熟度等級類別時被執行。明確的特性的執行范圍被評估：l 對執行作出承諾（政策與領導力）l 執行的能力（資源與培訓）l 執行活動（計劃與程序）l 衡量與分析（評估與狀態）l 執行結果的評價（監督與質量保證）表二：風險管理成熟度等級 

14、;第一級：特定級（Ad Hoc）第二級：起步級（Initial）第三級：可重復級（Repeatable）第四級：管理級（Managed）定義未認識到不確定性（風險）管理的需求；未構建處理不確定性的方法；重復和反應性的管理流程；很少甚至從不試圖從過去的項目中吸取知識，或者為未來的項目做準備。試著通過少數的個體來實施風險管理；沒有在適當指出構建方法體系；意識到管理風險的潛在收益，但未有效地實行。不確定性管理成為所有組織流程的一部分；風險管理在大部分或所有項目中實行；規范化一般風險流程；了解所有組織等級的益處，盡管不一定穩定地實現。具有在組織各個方面的風險管理的前置方法的風險意識文化；積極運用風險信

15、息改進組織流程并獲得競爭優勢。文化沒有風險意識；沒有高層翁管理人員參與；抵制/不愿意變革；甚至在項目失敗的形勢下仍然趨于繼續現有流程；獵殺信使。風險流程可能被認為是具有或有收益的額外費用；高層管理者鼓勵但不要求運用風險管理；風險管理僅僅用在經過選擇的項目上。 公認的風險管理政策；認識到并期望風險管理的利益；高層管理者要求風險報告；為風險管理提供專用的資源； “壞消息”風險信息被接受。自上而下的致力于風險管理，包括領導層；高層管理人員在決策過程中采用風險信息；鼓勵和獎賞前置的風險管理；組織哲學接受人會犯錯誤的觀點。流程沒有正式的流程；沒有風險管理計劃或成型的流程存在；從不或者

16、偶爾嘗試使用風險管理準則；僅僅在顧客要求時嘗試應用風險管理流程。 沒有一般性的正式流程，盡管可能使用某些具體的正式方法；流程的效果嚴重依賴于項目風險小組的技能和外部支持的有效性；全部風險管理員工都在項目之中。 一般性流程應用在大多數項目中；正式的流程成為質量體系的一部分；所有層面都主動配置和管理風險預算；對外部支持有有限的需要；風險度量被匯集；關鍵供應商參與風險管理流程；從非正式溝通渠道到組織管理。基于風險的組織流程；風險管理文化貫穿整個組織；定期的流程評估與精煉；例行的風險度量被用于改善的持續反饋；關鍵的供應商和客戶參與到風險管理流程；從直接的正式溝通渠道到組織管理。經驗

17、不了解風險原理或語言；不了解或沒有實現風險程序的經驗。 僅限于可能有很少甚至沒有正式培訓的個人。內部的專門知識要點，在基本的風險管理技能方面的正式培訓；開發和運用具體的流程和工具。所有員工運用基本的風險技能的風險意識和能力；從經驗中吸取經驗是流程的組成部分；定期培訓員工以增強技能。應用沒有建構的應用；沒有專門配置的資源；沒有在使用中的風險管理工具；沒有執行風險分析。不穩定地資源應用；僅僅使用定性風險分析。常規、持續應用到所有項目；專門配置的項目資源；整套的工具和方法；同時使用定性和定量風險分析方法。風險思想適用于所有活動；基于風險的報告和決策；藝術級的工具和方法；定性和定量風險分析方

18、法重點用于有效的、可靠的歷史數據資源；專門配制的組織資源。4成熟度級別之間的進步4.1一級到二級：特定級到起步一級成熟度的組織在其開始執行有效的風險管理時面臨大量的問題：l 最初，對于正式的風險管理流程、程序和技術沒有清晰的了解，甚至不知道風險管理的語言和術語。l 不清楚從正式的風險管理中能夠獲得收益的概念，而且執行這一流程的成本通常不被考慮。l 在執行風險管理的過程衡中，或者當試圖考慮組織規劃和業務流程的風險管理能力時，沒有內部的專家和經驗。l 至少，某些組織的項目和業務流程在任一給定的時間內處于危機之中，導致缺乏時間、能力或者資源來致力于建立和遵循一

19、個新的流程。l 組織的較高級別管理不可能被推進風險管理的任何人，無論內部還是外部，接受，由于他們不了解顧客，并缺乏任何記錄或者判斷預期收益的衡量標準。l 它們也可能認為組織的流程和項目常常受到不確定性的影響的結果可能被看作不足或技能缺乏的學費。l 組織文化可能不對質量承擔責任而且可能缺乏職業行為的觀念。為了從特定級到初級，需要進行如下活動：l 清晰地定義風險管理執行的目標，以使風險管理過程能夠適當地設計與確定范圍。l 從經過確認的、在協助組織執行風險管理提供幫助方面有良好記錄的外部專家處獲得建議和指導。這些外部專家經過仔細的挑選，而且組織應該關

20、注被鼓勵采用一般性而不與其特定要求相匹配的解決方案。l 定義一個特定的人力團隊，以具有初步的工具、仔細選擇和建立工作組雛形。l 確保對小組充分的培訓和支持，包括所有必要的風險技巧和技能，以保證他們能夠擔當智能顧客。l 開始風險意識的簡要介紹以推廣風險管理愿景及其來自于對一線員工的自身管理的整合項目組織的潛在利益。這些風險意識簡介應當包括項目顧客和執行這一活動時可能遇到的分包商管理。l 確保公司的支持，包括資深管理發起人的任命，以推動執行過程。l 任命經仔細選擇的風險管理的領導者以最大化盡早成功的機會。l 宣傳和表彰成功事跡，尋求發展風

21、險過程中的動力，并激勵其他項目和個人在他們的領域內致力于風險管理，當他們清晰地看到收益時。l 制定識別風險管理的有效執行突然不能實現的長期計劃。權衡執行項目的得失，并確保開始之前必要資源的承諾。l 從一開始就建立對過程關鍵點的有效控制，以使得改進能夠在關鍵時點被監控和評價，將監控和評價結果匯集并進行適當的度量。l 考慮繪制具有關鍵輸入和輸出的模板的風險流程圖。l 識別和應用諸如風險信息數據庫等適當的項目風險管理工具。4.2二級到三級：起步到可重復二級成熟度的組織有許多個人（也許僅有一人）能有效地計劃和應用風險管理流程和技巧。在該級，風險管理被看作一種在必

22、要之處進行的額外的活動。因此，無論任何被各種項目采用的風險流程不可能被持續和廣泛地使用。任何風險管理流程的應用都被限定在少數主要或重大項目。這就提出了許多達到第三級成熟度、正常化貫穿于整個組織的風險管理流程的應用需要克服的障礙。這里，應該注意到，某些組織選擇留在二級成熟度水平，僅僅由經選擇的項目上的內部團隊擔任風險管理職責。這種方式也不存在任何錯誤。如果收益相對于成本和付出的努力是值得，過渡到第三級成熟度水平才進行。第二級成熟度的組織試圖進步到第三級時所面臨的一些問題如下：l 缺乏組織范圍的正式風險流程導致他們的應用和結果中的矛盾。l 對少數內部職員的技能的依賴可能限制風險

23、流程的整體效果，以及應用風險管理的現有項目和第一次嘗試執行這一流程的項目之間的負面影響。l 對執行風險管理缺乏支持可能導致理想破滅和低士氣。l 單個熱衷者對風險管理的有限推動可能逐漸消弱風險流程的可信度。l 風險流程的不完全或不穩定的應用不太可能產生充分說明管理風險得收益的有用的度量。因此，不存在可審計的風險管理能夠實現的歷史記錄，導致缺乏可靠性和更加正式地采用風險管理的意愿。l 風險評估工具和風險信息數據庫的極少使用。l 缺乏基準流程以核對相對于行業標準的流程能力。這些問題可以用一些方法來說明以使得組織能夠進步到第三級成熟度。上述從第一級到第

24、二級的過渡的行動是不合適的，除此之外，應該考慮下列方法：l 加強和鞏固對嘗試執行風險管理流程的個人和團隊的公司支持。來自資深管理人員的明確的贊賞對于給予必須的可信度是必要的。l 提供正式的風險培訓以發展內部專家和流程知識。l 在必須增強和支持現有的內部技能時，使用外部專家。外部專家的使用在拓展現有的風險管理流程在組織的新領域的應用是有用的。新領域的大部分可能超出了你的內部員工的知識范圍。外部顧問也可用來應用風險管理流程到新的、困難的領域。l 給風險管理流程分配足夠的資源，如任命或補充足夠的員工、提供風險管理培訓的預算、風險評估工具和風險管理活動所要求的其

25、他資源。l 選擇關鍵項目以證明在組織業務的全部領域實施風險管理的收益。l 持續宣傳和表彰成功事跡，當收益變得清晰時，激勵風險管理在其他領域的更廣泛的應用。l 為內部員工提供機會參加持續的風險管理培訓課程、會議、研討班及專題討論會等。l 規范化選擇的風險管理流程，清晰地定義風險管理的范圍和目標，以及達成一致的程序和適當選擇的工具。l 開發和傳播組織關于風險管理運用的政策。l 堅決要求項目經理把風險管理作為其項目和業務流程的日常管理的一部分，包括風險報告作為管理評估的重要組成部分。l 開始匯集基于組織內部風險管理實際經驗的風險流

26、程的度量；包括一般風險的辨識、有效應對、風險成本的降低等，生成詳細的清單以便于風險識別和評估流程。4.3三級到四級：可重復到管理第三級成熟度對于大多數組織大概已經足夠了，這里，風險流程對于組織來說是完整的，而且一貫地、常規地應用到大部分或全部項目之中。然而，設計這一模型的專業組織的一致意見是風險管理成熟度模型（RMMM）需要定義一個超越第三級的級別。在這一級別，識別、評估和管理不確定性成為第二特性，并成為組織的所有活動和業務流程的一部分。在第四級，組織能夠系統地運用風險流程來解釋具有潛在的正面影響的不確定性（也就是機會或者風險的有利一面）。在許多方面，第三級到第四級的改變預期幾乎與第一級到第二

27、級的過渡一樣困難，因為第三級成熟度的組織可能很容易地認為已經充分地執行了風險管理而且不需要進一步改變。如果組織希望實現第四級，可能會遇到下列問題：l 動力的損失，可能導致要求的應用標準的不執行，以及必然產生的風險管理支持的質量的損失。這將降低風險管理流程的可靠性，并使之看起來像已經過時的臨時管理措施。l 組織可能為更新風險管理流程以考慮業務過程中所需要的變革，或者市場領域的其他發展。這可能導致風險流程成為過時的并且于組織的業務越來越不相干。l 對風險管理流程持續投資的缺乏可能導致降低關聯或能力，像工具已經過時、技能被替代、員工的技能沒有維護等。l 內部專

28、家的開發可能導致風險管理被看作有一種由專家執行的專業訓練，在組織和項目中的其他人的承諾和所有權隨之減少。下列活動有助于進化到第四級成熟度（非特定）：l 確保有效的從經驗中學習，開始有規律的風險管理流程評估和流程的價值工程，以保證其維持充分的有效性。l 修訂和強化必要的風險管理流程，包括新工具、新方法以及員工培訓等的投資。l 調研超越已經涵蓋應用領域的風險管理流程的新應用。探尋修改和應用風險管理到組織的每一個活動。l 運用每一個可能發展風險管理文化的措施，激勵所有的員工思考風險、了解不確定性并運用風險技術來評估和管理潛在死亡威脅和機會。在組織文化中構建風險思維。了解關于風險的態度的可能范圍。l 保證風險成為所有決策的常規準則。l 識別和計量風險疲勞的發生率。風險疲勞包括員工對流程的興趣的喪失，或者動力的潛在喪失。定期更新流程、表彰成功事跡、宣傳改進度量以及獎勵有效的風險管理。l 執行風險管理培訓以保證技能維持普遍水平。l 考慮使用外部專家以拓寬風險管理在組織的新興領域