IT軟件項目風險管理課件

IT軟體專案風險管理

11.1.1風險的基本概念狹義的風險：是指“可能失去的東西或者可能受到的傷害”，即在從事任何活動時可能面臨的損失。廣義的風險：是一種不確定性，使得在給定的情況和特定時間下，所從事活動的結(jié)果有很大的差異性，差異越大，風險也越大，所面臨的損失或收益都可能很大，即風險帶來的不都是損失，也可能存在機會。風險的本質(zhì)——不確定性和損失。什麼是風險?11.1.1風險的基本概念事件或者風險事件事件發(fā)生風險的原因風險的可變性風險具有下列基本因素：

11.1.2專案風險

專案的一次性特點，使得專案的不確定性比其他的一些活動更大，因此，專案風險的可預測性也就更差。在進行IT專案風險分析時，重要的是要量化不確定性因素的不確定性程度，量化每個風險的損失程度。風險分析實際上就是貫穿在專案開發(fā)過程中的一系列管理步驟，其中包括風險識別、風險估計、風險管理策略、風險解決和風險監(jiān)控等，這使得專案管理者能主動“攻擊”和“消除”風險。專案風險貫穿整個專案的生命週期，在專案的不同階段有不同的風險，並且風險會隨著專案的進展而變化，不確定性也會相應減少。11.1.3風險分類

技術風險：如果專案採用了複雜的或者高新的技術，或者採取了非常規(guī)的方法，就存在一些潛在的問題。另外，如果技術目標制定過高，技術標準發(fā)生變化等也可能造成技術的風險發(fā)生。管理風險：在IT專案中，進度計畫制定和資源配置不合理，計畫草率且品質(zhì)控制差，專案管理的基本原則使用不當?shù)?，都可能帶來管理的風險。組織風險：常見的是組織內(nèi)部對目標未達成一致，高層對專案不重視，資金不足，專案組織的人員結(jié)構(gòu)不合理或者與其他專案有資源衝突等，都是潛在的組織風險。外部風險：法律法規(guī)的變化，與專案相關各方的情況發(fā)生變化，這些事件和外部環(huán)境變化往往是不可控制的。但注意，一般將不可控制的“不可抗力”不作為風險，這些事件往往作為災難防禦。根據(jù)風險內(nèi)容將風險分為：

11.1.4風險成本定義：風險發(fā)生時，可能會給專案帶來損失或者損害，為防止風險的發(fā)生或者減少風險發(fā)生時造成的損失，必須採取一些預防措施，必須支付為此而產(chǎn)生的費用，這就是風險成本。分類：風險成本包括有形的成本、無形的成本以及為預防和控制風險的費用。預防：為了預防和控制風險的發(fā)生與損失，必須在專案的各個階段採取必要的措施。

11.1.5專案風險管理風險控制法，即主動採取措施避免風險，消滅風險，中和風險或者採用緊急方案降低風險。風險自留，當風險量不大時可以餘留風險。風險轉(zhuǎn)移。風險處理有3種方法：

11.1.5專案風險管理第一，專案規(guī)劃中必須包含如何進行風險管理。第二，專案預算中必須包含解決風險所需要的經(jīng)費。如果沒有經(jīng)費支持，就無法達到風險管理的目標。第三，評估風險時，風險的影響也應該納入專案規(guī)劃中。

風險管理的達成包含3個要素：

11.2風險管理組織

11.2.1風險管理組織的作用11.2.2專案風險管理組織的組成11.2.1風險管理組織的作用從廣義上講，IT軟體專案風險管理組織包括有關專案風險管理的組織結(jié)構(gòu)、組織活動以及兩者之間的相互關係的規(guī)章制度。

從狹義上講，IT軟體專案風險管理組織就是實現(xiàn)專案管理目標的組織結(jié)構(gòu)。

IT軟體專案風險管理組織有廣義和狹義之分：11.2.2專案風險管理組織的組成

小型專案的團隊成員一般較少，風險管理組織應該採取直線型。

大中型專案的人財物及環(huán)境都更為複雜，所面臨的風險也比小型專案複雜得多。一般採用職能型風險管理組織。

目前直線+職能型風險管理組織這種組織機構(gòu)模式被廣泛採用。

表現(xiàn)形態(tài)上有直線型、職能型和直線+職能型等形式：11.3風險管理組織

11.3.1風險識別及其方法11.3.2風險條目檢查表11.3.3分解分析法11.3.4風險識別的注意事項

11.3.1風險識別及其方法頭腦風暴法。專案組成員、外聘專家、客戶等各方人員組成一個小組，根據(jù)經(jīng)驗列出所有可能的風險。專家訪談法。向該領域?qū)＜一蛘哂薪?jīng)驗的人員瞭解專案中可能會遇到哪些困難。歷史資料法。通過查閱類似專案的歷史資料瞭解可能出現(xiàn)的問題。檢查表法。將可能出現(xiàn)的問題列出清單，可以對照清單條目檢查潛在的風險。評估表。根據(jù)歷史經(jīng)驗進行總結(jié)，通過調(diào)查問卷的方式收集和判別專案的整體風險和風險的類型。分解分析法。將大系統(tǒng)分解成小系統(tǒng)，將複雜的事物分解成簡單的、易於認識的事物，從而識別風險及其潛在的損失。風險識別可以採用以下方法：

11.3.2風險條目檢查表1.產(chǎn)品規(guī)模風險2.需求風險3.相關性風險4.管理風險5.技術風險軟體專案一般有如下5類風險的條目檢查：11.3.3分解分析法將大系統(tǒng)分解成小系統(tǒng)，將複雜的事物分解成簡單的易於認識的事物，從而識別風險及其潛在損失。

測量錯誤不正確的藥物交付管理錯誤時間的交付交付系統(tǒng)失敗計算錯誤演算法錯誤交付時間錯誤計算錯誤信號錯誤運算規(guī)則錯誤演算法錯誤圖11.1交付系統(tǒng)故障樹傳感失敗運算規(guī)則錯誤11.3.4風險識別的注意事項現(xiàn)場觀察。風險管理者必須親臨現(xiàn)場，直接觀察現(xiàn)場的各種設施的使用和運行情況，以及環(huán)境條件情況。通過對現(xiàn)場的考察，風險管理者可以更多地發(fā)現(xiàn)和瞭解專案面臨的各種風險，有利於更好地運用上述方法對風險進行識別。與專案其他團隊密切聯(lián)繫和配合。風險管理者應該與本項目的其他團隊保持密切聯(lián)繫，及時交換意見，詳細瞭解各個團隊的活動情況。除了從其他團隊聽取口頭報告和閱讀書面報告外，還應與專案的負責人、專家和小組成員廣泛接觸，以便及時發(fā)現(xiàn)在這些團隊的各種活動中可能存在的潛在損失。做好資料保管工作。風險管理者應注意將從各方面收集到的資料進行分類，妥善保存，這有助於專案風險管理的決策與分析。應該注意以下一些事項：

11.4風

險

估

計

11.4.1風險估計概述11.4.2建立風險條目清單11.4.3風險評估11.4.4估計損失的大小11.4.5估計損失的概率

11.4.1風險估計概述定性評估。將發(fā)生概率和影響力分成3~5級，如VL、L、M、H、VH。通過相互比較確定每個風險事件的等級，然後通過分佈圖來識別風險。評分矩陣。將風險事件的發(fā)生概率和影響力用0~1之間的數(shù)字進行描述，然後找出那些“概率×影響力”乘積大的事件。在專案實際工作中，比較實用的兩種方法是：

11.4.2建立風險條目清單0可忽略的風險因素很高影

響

很低發(fā)1.0高管圖11.2風險和管理的考慮理的考慮生概率11.4.3風險評估定義風險的參照水準：估計進度延遲圖11.3風險參照水準臨界點專案終止估計成本超支

11.4.4估計損失的大小表11.1

風險評估表的例子風險ri損失概率li損失大小xi/周期望風險yi/周計畫過於樂觀50%52.5自動從主機更新數(shù)據(jù)的額外需求5%201.0由市場部門增加額外的功能35%82.8圖形子系統(tǒng)介面不穩(wěn)定25%41.0設計欠佳——需要重新設計15%152.25專案審批花費時間比預期的要長25%41.0設施未能及時到位10%20.2為管理層撰寫進程報告佔用開發(fā)人員的時間比預期的多10%10.1簽約商的圖形子系統(tǒng)推遲交付10%~20%40.4~0.8新的編程工具沒有節(jié)省預期時間30%51.5

11.4.5估計損失的概率由最熟悉系統(tǒng)的人評估每個風險的發(fā)生概率，然後保留一份風險評估審核檔。使用Delphi法或者少數(shù)服從多數(shù)法。使用Delphi法時，必須要求每個人對每個風險進行獨立的評估，然後討論(口頭或者書面的形式)每個評估的合理性，特別是最高和最低的那個。經(jīng)過多輪的討論，直到達成共識。使用“可能性標準”。首先讓每個人用表示可能性的詞語來選擇風險的級別，如“非?？赡堋薄ⅰ昂芸赡堋?、“可能”、“或許”、“不太可能”、“不可能”和“根本不可能”，然後把可能性的評估轉(zhuǎn)換為量化的評估。提高主觀評估的準確度方法有：

11.5風

險評

價

11.5.1專案風險評價的依據(jù)11.5.2風險評價的主要活動

11.5.1專案風險評價的依據(jù)風險描述風險概率和風險影響成本、進度及性能

主要依據(jù)3個因素：

11.5.2風險評價的主要活動確定專案評價基準。根據(jù)專案的目標確定單個風險和整體風險的評價基礎。確定整體風險水準。瞭解各單個風險之間的內(nèi)在聯(lián)繫、相互影響和轉(zhuǎn)化條件。比較風險水準和評價基準。比較單個風險專案水準和單個評價基準與整體風險水準和整體評價基準，確定風險是可以接受、不可以接受還是根本就不可行。進行專案風險評價的主要活動有：

11.6風險管理策略

11.6.1風險管理策略的基本概念11.6.2風險管理策略的措施11.6.1風險管理策略的基本概念在專案開發(fā)中規(guī)劃風險管理，儘量避免風險。指定風險管理者，監(jiān)控風險因素。建立風險條目清單及風險管理計畫。建立風險回饋機制和管道。風險管理策略：就是在風險分析活動中，輔助專案組處理專案風險的策略。一個較好風險管理策略應滿足以下要求：

11.6.2風險管理策略的措施規(guī)避。通過變更專案計畫，消除風險或者風險的觸發(fā)條件，使目標免受風險事件發(fā)生的影響。這是一種事前的風險應對策略。例如，採用更加熟悉的工作方法，澄清不明確的需求，增加資源和時間，減少專案的工作範圍，儘量避免與不熟悉的分包商簽約等。轉(zhuǎn)移。這種策略不消除風險，而是將專案風險的結(jié)果連同應對的權力轉(zhuǎn)移給第三方(第三方應該知道這是風險並具有承受能力)。這也是一種事前的應對策略，例如，簽訂不同種類的合同，或者簽定補償性合同等。弱化。將風險事件的概率或者結(jié)果降低到一個可以接受的程度，當然降低風險發(fā)生的概率更為有效。例如，選擇更簡單的流程，進行更多的實驗，建造原型系統(tǒng)，增加備份設計等。接受。指不改變專案計畫或者沒有合適的策略能有效地在事前應對風險，而考慮風險發(fā)生後如何應對的問題。例如，制定應急計畫，進行應急儲備和監(jiān)控，然後，等待風險事件發(fā)生時再隨機應變。應對風險的程式和方法主要有以下4種：

11.7風險駕馭和監(jiān)控11.7.1風險的駕馭與監(jiān)控原理11.7.2風險駕馭和監(jiān)控方法

11.7.1風險的駕馭與監(jiān)控原理風險分析數(shù)據(jù)[r1,l1,x1,y1]風險駕馭活動l風險的駕馭與監(jiān)控計畫風險的駕馭與監(jiān)控風險k風險l風險n風險分析數(shù)據(jù)[rk

,lk

,

xk,yk]風險駕馭活動k風險分析數(shù)據(jù)[rn

,ln

,xn

,

yn]風險駕馭活動n圖