CMMI-风险管理(RSKM)

风险管理(Risk Management, RSKM)的目的在于在项目潜在的问题发生前对其进行识别,以便在整个产品或项目生命期中,计划并在需要时启动风险的处理行动,从而降低这些潜在问题对达成目标产生的不利影响。

一、概述

"风险管理"是一个持续的、前瞻性的过程,也是项目管理的重要组成部分。风险管理应能应对可能威胁关键目标达成的问题。持续的风险管理方法能有效地预测并缓解可能对项目产生重大影响的风险。有效的风险管理包括通过与相关干系人的协作与参与(在"项目计划"过程域中提及的干系人参与计划中描述),及早、积极地识别风险。 为建立一个自由、开放地揭示并讨论风险的环境,需要具备对相关干系人的强有力的领导能力。风险管理应考虑到内部与外部、技术与非技术、成本来源、进度、性能以及其它方面的风险。尽早、积极地发现风险是很重要的,因为在项目早期阶段采取变更与纠正措施,相对于在项目后期才采取措施,往往更加容易和经济,破坏性也更小。例如,与产品架构相关的决定,往往在充分理解相关的影响前,就已经做出了,因此必须要审慎考虑此类选择所蕴含的风险。行业标准有助于确定如何预防或缓解在某一特定行业中经常出现的特定风险。通过对这些行业最佳实践与经验教训的回顾,可以主动地管理与缓解某些特定的风险。

风险管理可以分为以下几部分:

• 定义风险管理策略

• 识别并分析风险

• 处理已经识别的风险,包括在必要时执行风险缓解计划

正如在"项目计划"和"项目监督与控制"过程域中已经介绍过的,组织最初可能会专注于识别风险,以在风险发生时及时察觉并作出反应。 "风险管理"过程域描述了这些特定实践的演进,从而系统地计划、预测与缓解风险,以主动减小其对项目的影响。虽然"风险管理"过程域主要强调的是项目风险管理,但这些概念同样适用于管理组织级的风险。在敏捷环境中,所使用的敏捷方法本身就已经包含了某些风险管理活动,例如,某些技术风险可以通过鼓励实验(早期"试错"[early"failure"] )或在常

规迭代之外的"穿刺检查(spike) "来处理。然而, "风险管理"过程域鼓励在技术与非技术领域都采用更为系统化的方法来管理风险。这样的方法可以集成到敏捷方法典型的迭代与会议节奏中,尤其是在迭代计划、任务估算与任务验收期间。(见第一部分中的"使用敏捷方法时对 CMMI 的解读" 。

二、特定目标与特定实践摘要

SG 1 准备风险管理

SP 1.1 确定风险来源与类别

SP 1.2 定义风险参数

SP 1.3 建立风险管理策略

SG 2 识别并分析风险

SP 2.1 识别风险

SP 2.2 评价、分类风险并划分风险优先级

SG 3 缓解风险

SP 3.1 制订风险缓解计划

SP 3.2 实施风险缓解计划

SG 1准备风险管理

风险管理的准备工作得以进行。

建立并维护风险识别、分析与缓解的策略,以进行风险管理的准备。该策略通常会在风险管理计划中得到文档化。风险管理策略说明了应用与控制风险管理计划的具体措施与管理方法。该策略通常会包含风险来源的识别、风险分类的方案以及用以有效处理风险的风险评价、界定与控制的参数。

SP 1.1确定风险来源与类别

确定风险来源与类别。

风险来源的识别奠定了基础,以系统地检查随时间变化的形势,从而揭示影响项目目标达成能力的情况。风险既来源于项目内部,也来源于项目外部。随着项目的进展,可以识别出风险的其它来源。建立风险的类别提供了一种机制,以收集与整理风险,对于那些会严重影响项目目标达成的风险,确保给予适当的监察与管理层关注。

工作产品实例

  1. 风险来源清单(外部与内部的)

  2. 风险类别清单

子实践

  1. 确定风险来源。

风险来源是项目与组织中导致风险的基本因素。项目有很多内部与外部的风险来源。风险来源识别了风险可能的起源。

典型的内部与外部风险来源有:

• 不确定的需求

• 无先例可循的工作(即无可用的估算)

• 不可行的设计

• 会影响方案选择与设计的、相互冲突的质量属性需求

• 不具备的技术

• 不切实际的进度估算或安排

• 不充足的人员和技能

• 成本或预算问题

• 不确定或不充分的分包商能力

• 不确定或不充分的供方能力

• 与实际或潜在的客户或其代表间不充分的沟通

• 运行连续性的中断

• 管理的约束(如保密、安全、环境)

这些风险来源中有许多种在未经充分计划之前就被接受了。对内部与外部风险来源的早期识别,有助于及早识别风险。从而,风险缓解计划也能够在项目中及早实施,以预防风险的发生或者减轻其发生时所造成的后果。

  1. 确定风险类别。

风险类别提供了一个用于收集与组织风险的"储物柜"。识别风险类别有助于未来对风险缓解计划中的各项活动进行整合。

在确定风险类别时,可考虑以下因素:

• 项目生命周期模型的阶段(如需求、设计、制造、测试与评价、交付、废弃处置)

• 所使用的过程类型

• 所使用的产品类型

• 项目管理风险(如合同风险、预算风险、进度风险、资源风险)

• 技术性能风险(如与质量属性相关的风险、可支持性风险)风险分类可用于为风险来源与类别的确定提供一个框架

SP 1.2定义风险参数

定义用于对风险进行分析、分类以及用于控制风险管理工作的参数。

用于风险评价、分类与优先级划分的参数有:

• 风险的可能性(即风险发生的概率)

• 风险的后果(即风险发生时产生的影响及其严重性)

• 触发管理活动的阈值

风险参数用于提供公共的、一致的评价准则,以比较需要管理的各项风险。如果没有这些参数,就很难衡量风险导致的负面变化的严重性,也难以为风险缓解计划中的各项措施排定优先级。项目的形势会随时间发生变化,因此项目应记录这些用于风险分析与分类的参数,使其在整个项目生命期内都能提供参考作用。在变更发生时当情况发生变化时,可以方便地利用这些参数对风险进行重新分类与分析。项目可以使用诸如失效模式与影响分析(failure mode and effects analysis,FMEA)等技术,来考察产品或选定的产品开发过程中的潜在失效风险。此类技术有助于规范风险参数的使用。

工作产品实例

  1. 风险评价、分类与优先级划分准则

  2. 风险管理要求(如控制与审批级别、重新评估的时间间隔)

子实践

  1. 定义一致的准则,以评价与量化风险的可能性、严重性水平。

一致使用的准则(如可能性与严重程度的界定),使得对于不同的风险的影响,能够达成共同的理解,并得到适当级别的监察以及有保障的管理层关注。在管理不同的风险时(如人身安全风险与环境污染风险),保证最终结果的一致性是很重要的。(例如,严重的环境污染与严重的人身安全风险同样重要)。为比较不同风险提供公共基础的方法之一,就是赋予这些风险相应的经济价值(例如通过一个风险货币化的过程)。

  1. 定义每个风险类别的阈值。

可以对每个风险类别定义阈值,以决定该风险是否可以接受、风险的优先级或者启动管理措施的触发条件。

阈值的实例有:

• 项目阈值可以设置为:当产品成本超出目标成本 10%或者成本绩效指数(cost performance index, CPI)低于 0.95 时,需要高层管理人员的参与。

• 进度阈值可以设置为:当进度绩效指数( schedule performanceindex, SPI)低于 0.95 时,需要高层管理人员的参与。

• 性能阈值可以设置为:当规定的关键指标(如处理器利用率、平均响应时间)超过预期设计值的 125%时,需要高层管理人员的参与。

  1. 定义阈值在某风险类别内外的适用范围。

对于哪些风险能采用定性分析,哪些能采用定量分析并无多少限制。范围边界值的界定(或者边界条件)有助于确定风险管理工作的范围和避免资源的过度浪费。设定范围边界值时,可以将某类风险来源排除在外,也可以将发生频率低于一定程度的情况排除在外

SP 1.3建立风险管理策略

建立并维护用于风险管理的策略。

一个全面的风险管理策略应说明以下内容:

• 风险管理工作的范围

• 用于风险识别、风险分析、风险缓解、风险监督与沟通的方法与工具

• 项目特定的风险来源

• 如何组织、分类、比较与整合风险

• 用于对所识别的风险采取措施的参数,包括可能性、后果及阈值

• 所使用的风险缓解手段,如原型法、试用、模拟、备选方案设计或渐

进式开发

• 用于监督风险状态的风险度量项定义

• 风险监督或重评估的时间间隔

风险管理策略应遵循共同成功愿景的指导,该愿景通过交付的产品、成本以及任务的适用性,描述了预期的未来项目结果。风险管理策略通常会在组织或项目的风险管理计划中得到文档化。应与相关干系人共同评审该策略,以增进对该策略的承诺与理解。应在项目初期就制订风险管理策略,从而主动地识别和管理相关风险。对于关键风险的尽早识别与评估,能使项目规划风险的应对方法,并基于关键的风险调整项目资源的定义与分配。

工作产品实例

  1. 项目风险管理策略

SG 2识别并分析风险

风险得到识别与分析,以决定其相对重要性。

风险等级会影响到为应对该风险所投入的资源,以及提请管理者适当关注该风险的时机。

风险分析,需要从已定义的内、外部风险来源中识别出风险,并对每个已识别的风险进行评价以确定其可能性与后果。基于按照风险管理策略建立的风险类别与准则进行的评价,风险分类能够提供应对风险所需的信息。对相关的风险进行分组,能够实现风险应对的高效和风险管理资源的有效利用。

SP 2.1识别风险

识别风险并将其文档化。

项目中潜在的问题、危险、威胁及漏洞会对项目成果或计划产生负面影响,对它们的识别是充分、成功地管理风险的基础。在适当地分析和管理风险前,应以易于理解的方式来识别与描述风险。并简单明了地将风险文档化,包括风险发生的背景、条件以及风险导致的后果。风险识别应该是一个有组织的、全面的方法,以找出目标达成过程中可能发生的或现实存在的风险。为有效起见,风险识别不应试图去说明所有可能的事件。利用在风险管理策略中制订的类别、参数以及识别的风险来源,可以使风险识别更加规范和高效。已识别的风险构成了启动风险管理活动的基线。应定期评审风险,以重新检视可能的风险来源和状态的变更,从而发现在风险管理策略最近一次更新时尚不存在的或者被忽略的来源和风险

风险识别应关注于风险识别本身,而不是对风险的追责。管理层决不能将风险识别的结果用于个人绩效的评价。

风险识别有很多方法。典型的有:

• 检查项目工作分解结构的各个子项。

• 基于风险分类进行风险评估。

• 访谈该专题领域的专家。

• 回顾相似产品的风险管理工作。

• 检查经验教训文档与资料库。

• 检查设计文档与协议需求。

工作产品实例

  1. 已识别的风险列表,包括背景、条件和风险发生的后果

子实践

  1. 识别与成本、进度和性能相关的风险。

应检查与成本、进度、性能以及其它业务目标相关的风险,以了解其对项目目标的影响。也可能发现那些在项目范围之外但却对客户利益至关重要的可能的风险。例如存在于开发成本、产品采购成本、产品备件成本(或更换成本)以及产品的处置(或废弃)成本等中的风险。客户可能并未充分考虑到产品现场支持或者使用某一服务的全部成本。客户应当被告知这些风险的存在,但未必需要主动地去管理它们。在项目和组织层面应检查其决策机制,如果觉得合适,就应将其落实到位,尤其是当风险会影响到对产品进行验证和确认的能力时,更应如此。除了上述的成本风险以外,可能还有与拨款级别、拨款估算以及预算分配相关的其它成本风险。进度风险包含了与已经计划的活动、关键事件与里程碑等相关的风险。

性能风险可能与以下内容相关:

• 需求

• 分析与设计

• 新技术的使用

• 物理尺寸

• 形状

• 重量

• 生产制造

• 与功能或质量属性相关的产品表现与操作

• 验证

• 确认

• 性能维护属性

性能维护属性是指那些能令使用中的产品或服务提供其所需性能的特性,如维护安全性和保密性水平

有些风险不属于成本、进度或性能类风险,而是与组织运营的其它方面相关。

例如,其它类风险可能包括与如下因素相关的风险:

• 罢工

• 供应来源的减少

• 技术周期

• 竞争

  1. 评审可能影响项目的环境因素。

项目经常会忽略那些被认为不在项目范围内的风险(即项目不能控制该风险的发生,但能够降低其影响),这些风险包括天气或自然灾害、政局变化以及通讯中断。风险的发生,但能够降低其影响),这些风险包括天气或自然灾害、政局变化以及通讯中断。

  1. 评审工作分解结构的所有子项,将其作为风险识别的一部分,以确保这些工作内容得到了全方位的考量。

  2. 评审项目计划的所有子项,将其作为风险识别的一部分,以确保项目得到了全方位的考量。参阅"项目计划"过程域以进一步了解如何识别项目风险。

  3. 将每个风险的背景、条件与潜在的后果文档化。

风险描述通常以标准的格式记录,包括风险背景、条件与产生的后果。对于那些引发关注、疑虑或不确定性的风险,风险背景提供了风险的额外信息,例如风险的相关时间范围、风险所处的形势与条件。

  1. 识别与各个风险相关的相关干系人
SP 2.2评价、分类风险并划分风险优先级

用已定义的风险类别与参数,对识别出的每个风险进行评价与分类,并确定其相对优先级。

需要进行风险评价,以指定各已识别风险的相对重要性,并决定何时需给予其适当的管理层关注。依据风险的相互关系将风险聚集起来,并在一定的聚集层级上开发方案,往往会起到一定作用。当一个风险是由较低层级的风险向上聚集而成时,必须小心谨慎以确保未忽视重要的低层级风险。风险评价、分类及优先级划分活动有时也被统称为"风险评估"或"风险分析"。

工作产品实例

  1. 风险及其优先级的清单

子实践

  1. 用定义的风险参数评价已识别的风险。

依据已定义的风险参数评价每个风险并赋予其特定的参数值,这些参数可包含可能性、后果(即严重性、影响)以及阈值。可对这些赋予的风险参数值进行整合,以产生额外的度量项,如风险暴露值(即可能性与后果的结合)等,可用于确定处理风险的优先顺序。通常会用一个有 3 到 5 个数值的标尺来评价可能性与后果

例如,可能性可以分为微乎其微、不太可能、可能、非常可能、近乎确定。

后果的类别实例有:

• 低

• 中

• 高

• 可忽略的

• 轻微的

• 重大的

• 关键的

• 灾难性的

经常采用概率值来对可能性进行量化。后果通常与成本、进度、环境影响或人员的度量项相关(如损失的工时、人身伤害的严重程度)。风险评价往往是一项困难和耗时的工作,可能需要特定的专业知识或分组技术来评估风险和达成比较可信的优先级划分。另外,随着时间的变化,可能需要重新评价优先级。可以将风险的后果货币化,以提供一个对已识别风险变成现实后的影响进行比较的基础。

  1. 依照已定义的风险类别,将风险分类并分组。

将风险按定义的风险类别分类,提供了一个按照风险的来源、类别或项目组件来评审风险的方法。可将相关或等效的风险归为一组,以便提高处理效率。应将相关风险间的因果关系文档化。

  1. 划分风险的缓解优先级。

根据每项风险被赋予的风险参数,确定风险的相对优先级。应使用清晰的准则来确定风险优先级。风险优先级有助于确定将风险缓解的资源投入哪个领域最为有效,能够最大化对项目的正面影响

SG 3缓解风险

风险得到适当的处理与缓解,以降低其对目标达成产生的不利影响。

处理风险的步骤包含制订风险处理方案、监督风险、当超过已定义的阈值时执行风险处理活动。对选定的风险制订并实施风险缓解计划,以主动降低风险发生的潜在影响。风险缓解计划还可包含应急计划,以应对当缓解措施未能阻止该风险的发生时所造成的影响。风险管理策略定义了用于触发风险处理措施的风险参数。

SP 3.1制订风险缓解计划

依照风险管理策略,制订风险缓解计划。

风险缓解计划的一个关键环节就是制订备选行动方案、临时应对措施、回退点以及为每个关键风险制订推荐的行动方案。对每个给定风险的风险缓解计划包含一系列技术与方法,用于避免、减轻与控制风险发生可能性,或者风险发生时导致的损害范围(有时被称为"应急计划"),或者兼顾两者。监督风险,当其超出设定的阈值时,执行风险缓解计划,以使受影响的部分回归到可接受的风险水平。如果风险不能被缓解,可以执行应急计划。通常只针对后果为严重或不可接受的风险制订风险缓解与应急计划,对于其它风险可能是接受并仅仅监督即可。

处理风险的备选方案通常有:

• 风险规避:改变或降低需求,但仍符合最终用户的需要

• 风险控制:采取积极措施使风险最小化

• 风险转移:重新分配需求以降低风险

• 风险监督:关注风险并定期重新评价其在指定参数上的变化

• 风险接受:承认风险但不采取措施

通常,尤其是针对高影响度的风险,应制订多种风险处理方法。

例如,在破坏运行连续性的事件中,风险管理方法应包括建立:

• 资源预留以响应操作中断事件

• 可用的备用设备清单

• 关键员工的后备人员

• 应急响应系统测试计划

• 公告的应急步骤

• 公布的应急关键联络人与信息资源的清单

风险在很多情况下会被接受或关注。当判定风险很低而不必做正式地缓解时,或者似乎没有可行措施来降低风险时,该风险通常会被接受。接受风险时,应将做出该决策的理由文档化。当风险存在一个客观定义的、可验证的已文档化阈值(如对成本、进度、性能、风险暴露值),并且该阈值会触发缓解计划或者应急计划时,该风险才会被关注。参阅"决策分析与解决"过程域以进一步了解如何评价并选择备选方案。作为风险缓解计划活动的一部分,应尽早充分考虑技术展示、模型、模拟、试用与原型。

工作产品实例

  1. 每个已识别风险的文档化的处理方案

  2. 风险缓解计划

  3. 应急计划

  4. 负责跟踪与应对每个风险的人员列表

子实践

  1. 确定级别与阈值,以定义何时风险是不可接受的,以及执行风险缓解计划或应急计划的触发条件。风险级别(通过风险模型导出)是一个结合了达成目标的不确定性与没有达成目标的后果的度量项。风险级别与阈值设定了已计划的或可接受的成本、进度或性能的边界值,应清晰地理解并定义风险级别以提供一个了解风险的方法为了确保基于严重性的风险优先级划分与来自相关管理层的响应,风险的适当分类是非常必要的。可设定多重阈值,以启动不同等级的管理者响应。通常,触发风险缓解计划的阈值会设定在触发应急计划的阈值之前。

  2. 识别负责应对每个风险的人员或团体。

  3. 确定执行每个风险的风险缓解计划的成本与收益

应检查风险缓解活动所提供的收益及其会消耗的资源。正如其它任何设计活动一样,可能需要制订备选计划,并评估每个备选计划的成本与收益。选择实施最适当的计划。

  1. 为项目制订总体的风险缓解计划,以协调单个风险缓解与应急计划的实施。

整套风险缓解计划的集合可能是超出负担范围的。应执行权衡分析以排定执行风险缓解计划的优先级。

  1. 针对选取的关键风险,制订当其影响变为现实时的应急计划。

必要时应制订并执行风险缓解计划,以主动地在风险变为问题前降低其风险。尽管做出了很大的努力,某些风险可能仍然无法避免,并成为影响项目的问题。对于关键风险可以制订应急计划,以描述当风险的影响发生时项目可以采取的措施。其意图是定义一个主动的计划以处理风险。风险或者被减轻(缓解)或者被处理(应急)。这两种情况下,风险都得到了管理。有些风险管理文献可能把应急计划作为风险缓解计划的同义词或是一部分。这些计划也可能作为风险应对计划或者风险行动计划一起描述。

SP 3.2实施风险缓解计划

定期监督每个风险的状态,并适当地实施风险缓解计划。

为在工作期间有效地控制与管理风险,须遵守事先安排的计划,定期监督风险以及风险处理措施的状态与结果。风险管理策略定义了检视风险状态的时间间隔。该行动可能导致发现新的风险,或者可能需要重新计划或评估风险处理方案。在上述任何一种情况下,应比较与风险相关的可接受性阈值与风险的状态,以决定是否需要执行风险缓解计划。

工作产品实例

  1. 更新的风险状态清单

  2. 更新的风险可能性、后果与阈值评估

  3. 更新的风险处理方案清单

  4. 更新的已采取的风险处理措施的清单

  5. 风险处理方案的风险缓解计划

子实践

  1. 监督风险状态。

在风险缓解计划启动后,仍然要监督风险。评估阈值以检查是否要执行应急计划。应使用某种监督机制。

  1. 提供方法,以跟踪未完成的风险处理措施直至关闭。

参阅"项目监督与控制"过程域以进一步了解如何管理纠正措施直至关闭。

  1. 当监督的风险超过预定阈值时,启动选定风险的处理方案。

通常,仅对被判定为高或中的风险执行风险处理。对于给定风险的风险处理策略可以包括规避、减轻与控制风险可能性的技术与方法,或者规避、减轻与控制风险发生时产生的破坏程度的技术与方法,或者二者兼而有之。在这种情况下,风险处理既包含了风险缓解计划,也包含了应急计划。

开发风险处理技术以规避、减轻与控制对项目目标的负面影响,并根据可能的影响产出可接受的结果。为处理风险而制定的行动措施需要在计划与进度基线中安排适当的资源。重新计划需要密切考虑其对于相邻的或有依赖关系的工作或活动的影响。

  1. 针对每个风险处理行动,建立其执行的进度或时间段,包括起始日期与预期的完成日期。

  2. 对每个计划提供持续的资源承诺,以使风险处理行动能够顺利实施。

  3. 收集风险处理行动的绩效度量

相关推荐
赛希咨询2 个月前
如何利用CMMI帮助组织消除低价值流程
大数据·cmmi
LeslieChan_专业海外留学服务3 个月前
美本申请怎么填写课外活动?这些细节值得注意
c++·uni-app·c#·oneapi·cmmi·墨刀
a158531000933 个月前
了解什么是CMMI认证
cmmi
Mia惠枫7 个月前
【八股】CMMI模型概述
cmmi
kedaruizhi8 个月前
【学习】CSMM和CMMI的关系你了解吗
大数据·cmmi
日里安8 个月前
CommitLint 简明使用教程
前端·git·node.js·cmmi
平凡之大路1 年前
【项目管理】CMMI-风险与机会管理过程
cmmi
Doker 多克1 年前
CMMI5大成熟度等级和4大过程域
cmmi
.29.1 年前
③ 软件工程CMM、CMMI模型【软考中级-软件设计师 考点】
软件工程·cmmi·软件设计师·1024程序员节·cmm