風險管理指南標準化管理處編碼[BBX968T-XBB8968-NNJ668-MM9N]風險管理指南1.目的描述項LI進行過程中可能產生的風險的識別方法，制定預防風險的措施，及風險發生時的解決方法，供項LI策劃時根據具體項LI的情況選擇或裁剪使用。山此確定項LI采用科學的風險識別方法，制定詳細的預防措施和解決方法，以避免風險的發生，或者當風險發生時，將損失減小到最低程度。適用范圍適用于公司的所有合同項U和產品項U,風險管理貫穿于項U的整個生命周期。術語1） 項tl風險：指項tl中不利事件發生的不確定性。2） 軟件風險：指軟件開發過程中及軟件產品本身可能造成的傷害或損失。3） 風險管理：對項□風險進行識別、分析和處理的過程。4）項目風險管理描述為了管理項LI可能存在的風險，在進行項LI策劃時，需要進行風險分析，并制訂風險管理計劃，該計劃可作為項目計劃的一部分。風險管理應貫穿于項目工程的始終，它不是項目經理一人的任務，也不是一次性的任務，而是一個迭代的過程，任一項目成員都有責任進行風險管理。制定風險管理計劃包括：風險識別、風險分析、風險處理、風險跟蹤。4.1.風險分類要進行風險管理，先明確項U風險怎么分類。4.1.1 按內容分范圉風險：與范圉變更有關的風險；質量風險：影響按照要求的技術性能和質量水平完成任務；進度風險：影響在預算的時間范圉內完成任務；成本風險：影響在預算的成本范圉內完成任務；技術風險：技術變化；法律風險：許可權、專利、合同失效、訴訟、不可抗力；外部可預測風險：市場風險（原材料可利用性、需求）、日常運作（維修需求）、環境影響、社會影響、貨幣變動、通貨膨脹、稅收；外部不可預測風險：規章（不可預測的政府干預）、自然災害；內部非技術風險：戰略風險（公司的經營戰略發生了變化）、管理風險（公司管理人員是否成熟等）。4.1.2 按可確定性分已知風險：如當前測試環境不能滿足用戶真實使用環境的模擬。可預知風險：如使用技術存在的缺陷。不可預知風險：如外購進口設備運輸途中可能出現的不能如期到達或損壞的風險。4.2.風險識別風險識別是管理風險的第一步，即識別整個項口過程中可能存在的風險。一般是根據項LI的性質，從潛在的事件及其產生的后果和潛在的后果及其產生的原因來檢查風險。收集、整理項口可能的風險并充分征求各方意見后形成項U的《風險和問題跟蹤列表》。【過程管理平臺中，填寫和維護“風險列表”。】4.2.1 要進行風險識別的階段在項□開始、每個階段一開始、主要范圍變更批準之前都要進行風險識別，實際上它在整個項LI生命周期內都是一個連續的過程。4.2.2 風險事件或風險來源要識別風險，就應該了解在項LI各個階段都有可能發生哪些風險。以軟件開發為例：初始階段這個階段包括立項和需求分析及《軟件需求規格說明書》的設計（大部分業務建模和需求、少部分分析設計）。可能的風險事件有：項目目標不清；項目范圍不明確（范圍太大太小都不可以）；用戶參與少或和用戶溝通少；對業務了解不夠；對需求了解不夠等。設計階段在這個階段進行總體設計和詳細設訃。可能的風險事件有：項U隊伍缺乏經驗，如缺乏有經驗的系統分析員；沒有變更控制計劃，以至于變更沒有依據，該變更的不變，不該變的也變，這樣得來的設計勢必會失敗或者偏離用戶需求；倉促訃劃，可能帶來進度方面的風險；漏項，由于設計人員的疏忽某個功能沒有考慮進去等。實施階段在這個階段進行大部分編碼和測試，可能有設計變更或補充設計。可能的風險事件有：開發環境沒有具備好；設計錯誤帶來的實施困難；程序員開發能力差，或程序員對開發工具不熟；項口范圍改變（突然要增加或修改一些功能，需要重新考慮設計）；項日進度改變（要求提前完成任務等）；人員離開，在一個項目內軟件開發工作有一定的連續性，需要移交和交接，有時人員離開對項□的影響會很大；開發團隊內部溝通不夠，導致程序員對系統設汁的理解上有偏差；沒有有效的備份方案；沒有切實可行的測試汁劃；測試人員經驗不足；沒有進行可行性研究等。收尾階段在這個階段進行安裝及維護（大部分部署）。可能的風險事件有：質量差；客戶不滿意；設備沒有按時到貨；資金不能回收；客戶返饋意見引起大的變更等。4.2.3 風險識別的方法不同項LI可能發生的風險事件不同，應該對具體項U識別出真正有可能發生在該項U的風險事件。風險識別的有效方法有很多，如：建立風險項LI檢查表：可以從以下兒方面來檢查，產品規模風險，業務影響風險，與客戶相關的風險，過程風險，技術風險，開發環境風險，與人員的模式和經驗有關的風險。建立因果分析圖。征求意見：就項LI可能存在的問題和不確定因素，征求項LI組成員的意見。參考以往項LI的風險情況。提問的方式：針對所識別的潛在風險，采用提問的方式確定是否應認定為風險。4.2.4 確定所識別的風險類型軟件項目一般有如下五類風險：規模風險：項U產品本身（大系統和小系統）或山項U團隊引起的風險；項U的風險是直接與產品的規模成正比的。風險因素有：估訃產品的規模的方法（代碼行，功能點，程序或文件的數目），產品規模估計的信任度，產品規模與以前產品規模平均值的偏差，產品的用戶數，復用的軟件有多少，產品的需求改變多少。需求風險：不確定的客戶需求引起的風險。很多項訂在確定需求時都面臨著一些不確定性。當在項LI早期的需求不確定性在項LI進展過程當中得不到解決時，就會對項□的成功造成很大威脅。與客戶相關的風險因素有：對產品缺少清晰的認識，對產品需求缺少認同，在做需求中客戶參與不夠，沒有優先需求，由于不確定的需要導致新的市場，不斷變化需求，缺少有效的需求變化管理過程，對需求的變化缺少相關分析。相關性風險：項I」的外部環境或因素的相關性產生的風險。我們經常不能很好地控制外部的相關性，因此緩解策略應該包括可能性訃劃，以便從第二資源或協同工作資源中取得必要的組成部分，并且覺察潛在的問題。與外部環境相關的因素有：客戶供應條LI或信息，內部或外部轉包商的關系，交互成員或交互團體依賴性，經驗豐富人員的可得性，項LI的復用性；管理風險：組織自身的管理水平、能力成熟度引發的風險。應定義項U追蹤過程并且明晰項LI角色和責任，以能處理這些風險因素：計劃和任務定義不夠充分，實際項口狀態，項LI所有者和決策者分不清，不切實際的承諾，員工之間的沖突。技術風險：山人員的技術水平和經驗、使用的工具和技術的成熟度等引發的風險。在早期，識別風險從而采取合適的預防措施是解決風險領域問題的關鍵，比如：培訓、雇傭顧問以及為項口團隊招聘合適的人才等。主要有下面這些風險因素：缺乏培訓，對方法、工具和技術理解的不夠，應用領域的經驗不夠，新的技術和開發方法，不能正確工作的方法。4.3.風險分析風險分析是對識別出來的風險事件做風險影響分析，確定避免或減輕風險的策略及措施以達到降低風險，保證項LI順利進行的L1的。對確定的風險事件還要進行描述，如：可能性、可能后果范圍、預計發生時間、發生頻率等。4.3.1 和風險相關的因素和風險相關的主要四個因素：風險事件，破壞或影響項LI的事件風險概率（%）,事件發生的可能性風險得失量（金額），說明可能造成的損失風險影響（周），等于風險概率X風險得失量周。4.3.2 風險分析步驟風險分析要確定每個風險對項LI的影響大小，一般是對已經識別出來的項LI風險進行量化估計。通過對風險及風險的相互作用的估算來評價項LI可能結果的范圍，從成本、進度及性能三個方面對風險進行評價。評價風險影響：指一旦風險發生可能對項LI造成的影響大小。如果損失的大小不容易直接估計，可以將損失分解為更小部分再評估它們。風險影響可用相對數值表示，建議將損失大小折算成對計劃影響的時間表示。估計風險概率：它是風險發生可能性的口分比表示，是一種主觀判斷。計算風險值和和風險等級：它是評估風險的重要參數。“風險值”二“風險概率”X“風險影響”。如：某一風險概率是25%,—旦發生會導致項tl計劃延長4周，因而，風險值=25%X4周二1周。風險等級（分為1級、2級、3級）。確定風險優先級。哪些風險事件或來源可以避免，哪些可以忽略不考慮（包括可以承受），哪些要采取應對措施。4.3.3.4.3.3.風險分析方法確定型風險的分析方法：盈虧平衡分析（計算和分析產量、成本和盈利這三者之間的關系）；敬感性分析（考察與軟件項目有關的一個或多個主要因素發生變化時對該項LI投資價值指標的影響程度）；概率分析（運用概率論及數理統計方法，來預測和研究各種不確定因素對軟件項H投資價值指標影響的一種定量分析）。不確定型風險的分析方法：有小中取大原則、大中取小原則、遺憾原則、最大數學期望原則、最大可能原則。隨機型風險的分析方法：最大可能原則、最大數學期望原則、最大效用數學期望原則、貝葉斯后驗概率法等。4.3.4 建立風險跟蹤列表當風險分析完成后，將風險名稱、風險的分類、風險值、風險等級和排出的風險優先級記錄到《風險和問題跟蹤列表》中的“風險跟蹤列表”部分。【在過程管理平臺中，填寫和維護“風險列表”。】一旦完成了《風險和問題跟蹤列表》，就可以根據概率及影響來進行綜合考慮，風險影響和出現概率從風險管理的角度來看，它們各自起著不同的作用。一個具有高影響但低概率的風險因素不應當占用太多的風險管理時間，但具有中到高概率、高影響的風險和具有高概率及低影響的風險，就應該進行風險處理。4.4.風險處理和減緩活動當完成了風險分析后，就已經確定了項LI中存在的風險以及它們發生的可能性和對項LI的風險沖擊，并可排出風險的優先級。就可以根據風險性質和項LI對風險的承受能力制定相應的預防措施和解決方法的計劃，即風險處理和減緩。對每個高優先級風險，項LI組都要制定出處理和減緩風險的活動計劃。4?4?1 風險規避的策略一旦監視到風險，就應采取合理措施進行風險規避，可以從改變風險性質、改變風險發生的概率、改變風險的影響大小等多方面著手。風險規避的策略一般有：避免：通過分析找出來發生風險事件的原因，消除這些原因來避免一些特定的風險事件發生。如避免客戶不滿意，可采用這些措施，客戶參與業務建模階段，需求階段要多和客戶溝通，了解客戶真正的需求，LI標系統的模型或DEMO系統要向客戶演示，并得到反饋意見，如果反饋的意見和DEMO系統出入比較大時，一定要將修改后的DEMO系統在次向客戶演示，直到雙方都達成共識為止，要有雙方認可的驗收方案和驗收標準，做好變更控制和配置管理。減緩：通過降低風險事件發生的概率或得失量來減輕對項U的影響。如經過風險識別發現，項LI組的程序員對所需開發技術不熟。可以采用熟悉的技術來減緩項在成本或進度方面的影響。也可以事先進行培訓來減緩對項LI的影響接受：接收風險造成的后果。如自然災害造成的風險，在一個大的軟件項tl中，為了避免自然災害造成的后果，考慮異地備份中心。轉移：使用合作伙伴、項U外包、保險與擔保等手段來轉移風險的方法，以減輕風險對項LI帶來的影響。回避：當項LI風險潛在威脅的可能性極大，并會帶來嚴重的后果，無法轉移乂不能承受時，通過改變項LI來規避風險。通常會通過修改項口LI標、項LI范圍、項U結構等方式來回避風險的威脅。后備措施：主要體現在后備費用、預留進度時間、后備技術力量三個方面，這些后備措施在項LHI?劃中就應預留，保證在項LI實施過程中，能充分調用后備力量解決問題。4.2 制定風險規避計劃針對需要采取規避策略的風險事件，要制定規避計劃，一旦發生風險事件，就實施規避計劃。比如：在一個軟件開發項□中，某開發人員有可能離職，離職后會對項口造成一定的影響，則應該對這個風險事件開發應對計劃，過程可以參照如下：1） 進行調研，確定流動原因。2） 在項LI開始前，把緩解這些流動原因的工作列入風險管理計劃。3） 項目開始時，做好計劃一旦人員離開時便可執行，以確保人員離開后項日仍能繼續進行。4） 制定文檔標準，并建立一種機制，保證文檔及時產生。5） 對所有工作進行細微詳審，使更多人能夠按計劃進度完成自己的工作。6） 對每個關鍵性技術人員培養后備人員。在考慮風險成本之后，決定是否采用上述策略。

4.4.3.風險管理4.4.3.報告無論項LI進展的情況如何，都必須將風險管理的計劃、行動、結果記錄到《風險和問題跟蹤列表》，在過程管理平臺中填寫和維護“風險列表”。風險管理的持續性要求《風險和問題跟蹤列表》的連貫性和不間斷性，因此，該報表為項LI的實施、控制、管理、決策提供信息基礎。對于項LI采用的特殊的風險管理問題和措施，可在項LI/開發訃劃的風險管理部分說明，參見《項11/開發策劃書》，也可以形成單獨的風險管理計劃文檔。風險監控制定了風險防范訃劃后，風險并非不存在，在項LI推進過程中還可能會增大或者衰退。因此，在項LI執行過程中，需要時刻監督風險的發展與變化情況，并確定隨著某些風險的消失而帶來的新的風險。風險監控包括兩個層面的工作：其一是跟蹤已識別風險的發展變化情況，包括在整個項LI周期內，風險產生的條件和導致的后果變化，衡量風險減緩訃劃需求。其二是根據風險的變化情況及時調整風險應對計劃，并對已發生的風險及其產生的遺留風險和新增風險及時識別、分析，并采取適當的應對措施。對于已發生過和已解決的風險也應及時在《風險和問題跟蹤列表》進行記錄，在過程管理平臺中填寫和維護“風險列表”。風險貫穿于項口的整個生命周期中，因而風險管理是個持續的過程，建立良好的風險管理機制以及基于風險的決策機制是項U成功的重要保證。風險管理是項U管理流程與規范中的重要組成部分，制定風險管理規則、明確風險管理崗位與職責是做好風險管理的基本保障。6.附錄6.1.項目風險分析列表風險分類潛在風險因素規避措施建議商業風險合同類型風險合同的約束風險合同中與第三方的合作風險主承包商風險子承包商風險相關承包商風險協作管理方風險賣方因素風險

政治因素風險目標、范圍不明確，不知項目何時終結規范銷售、釆用標準合同、工作任務書模板。簽訂補充協議、說明、備忘錄客戶方風險客戶的技術素養不足客戶的承諾風險客戶內部對需求理解不一致客戶的需求不明確對客戶需求變化缺少控制機制客戶需求頻繁變更客戶需求發工屯大變化無法與客戶就交付形式、交付時間和交付內容達成共識客戶對軟件產品不認可，不在交付清單和試運行報告上簽字客戶不驗收或拖延驗收客戶期望與產品功能差距太大，客戶反映強烈高級工程師介入售前，提供業務咨詢、實施策略、方案

設計等支持，盡量不開空頭支票。變通解決、說服客戶、降低客戶需求。客戶對實施人員、最后應用效果不滿意、發生投訴的情況。實行工程師認證上崗制度，提高實施工程師的素質和工作能力；對項口實施質量管理，由高級工程師對方案進行審核；及時更換實施工程師、由高級工程師對方案進行優化調整人力資源風險人員時間和精力不能滿足人員的質量意識不強人員的協作意識不強人員的溝通意識不強人員的積極性不夠人員沒有接受過必要的培訓人員不穩定，發生變動在項LI組成立時要求所有項U組成員保持固定；健全項

口組成員的激勵措施。發生人員變動前及早安排其它人員接替工作，離開時辦理工作交接。人員數量緊張軟硬件資源和環境風險缺少必要的軟件硬件設備不具備測試所需的資源要求和安排不能滿足測試環境準備不充分關鍵汁算機資源（指對計算機內存和硬盤空間這些資源可能超過U前可能提供的數量這種風險）進度風險項目時間緊張來自項目進度監控的風險軟件產品生命周期各個階段發生進度延遲項LI汁劃任務不明確，進度安排和資源配置不合理計劃沒有得到切實執行，實施進度延期，不能如期完成階段工作制定計劃時盡量考慮全面，留有余地；取得客戶高層的

支持和推動，克服障礙；及時調整下步計劃，并將計劃調整原因形成備忘錄，提交客戶確認。如涉及到工作量的增加，考慮是否追加實施費用。成本風險項目費用是否超過預算是否有足夠的資金可用技術風險系統所釆用的軟件技術風險系統所釆用新技術系統所采用的技術是否成熟項目經理、項目人員技術能力不足專利風險軟件需求階段過程風險需求的范圍界定需求的穩定性（能否獲得客戶對需求文檔的承諾，以保證客戶不隨便變更需求）需求的完整性

需求的清晰性（需求是否含糊不清）需求的合理性需求的可行性需求的可描述性（文檔能否正確、完備地表達用戶需求）需求開發人員對項U所涉及的具體業務以及對用戶需求的理解沒有正確理解客戶需求沒有合適的需求分析方法和建模工具需求的變更實施范圉在工作任務書中明確定義；需求調研結果進行確認；需求、實施范圍的調整必須執行項LI變動控制程序、考慮是否追加實施費用、簽訂補充協議軟件設計階段過程設計的功能性設計的難度設計的接口

風險設計的性能設計的易測性設計的硬件約束設計的可實現性編碼及單元測試的可行性設計方案是否能滿足客戶需求設汁的變更軟件的易用性軟件的可擴展性軟件編碼階段過程風險源代碼書寫的規范性源代碼的可讀性單元測試覆蓋率代碼管理風險軟件測試階段過程集成測試的環境風險測試范圍不合理，無法明確定義