Microsoft 解决方案框架：风险管理原则 v.1.1

Microsoft解决方案框架：风险管理原则v.1.1发布日期：点击下载这份白皮书微软解决方案框架致谢AllisonRobin,Director,Microsoft解决方案框架DavidPreedy,ProgramManager,Microsoft解决方案框架DerickCampbell,ProductManager,Microsoft解决方案框架EnzoPaschino,ProgramManager,Microsoft解决方案框架LauraHargrave,TechnicalEditor,Microsoft框架MarijkeBorn,ReleaseManager,Microsoft框架NancyHuber,TechnicalEditor,Microsoft框架PaulHaynes,ProgramManager,Microsoft解决方案框架PervezKazmi,ProgramManager,Microsoft解决方案框架RobOikawa,ProgramManager,Microsoft解决方案框架ScottGetchell,ProgramManager,Microsoft解决方案框架审阅者BrianCarter,MCSNationalPractices顾问BrianWillson,MCSGreatLakes自动化行业策略顾问DavidMillett,MCSNorCal首席顾问DolphSantello,MCSNortheast首席顾问FrancisDelgadoMillan,MicrosoftEnterpriseServices执行经理JosephLopesilvero,MicrosoftProjectManagementOffice首席项目经理PauloHenriqueLeocadio,MCSBrazil高级首席顾问PauloRocha,MCSNewZealand首席顾问RickVarvel,MCSPacWest首席顾问RonStutz,MCSRockyMountain管理顾问PauloRocha,NewZealandMicrosoftConsultingServicesAnthonySaxby,UKMicrosoftConsultingServicesRalphSchimpl,AustriaMicrosoftConsultingServicesRonStutz,USMicrosoftConsultingServicesBrianWillson,USMicrosoftConsultingServicesAndresVinet,ChileMicrosoftConsultingServices摘要风险管理是Microsoft®解决方案框架(MSF)的核心原则之一。MSF认为，变化和随之产生的不确定性是IT生命周期与生俱来的方面。MSF风险管理原则提倡使用一种主动的方法来处理这种不确定性，连续地评估风险，并在生命周期中使用它们来影响最终决策。这一原则瞄准成功的、持续的风险管理，通过使用五步过程来描述原则、概念以及指导，这五步分别是：风险识别、风险分析、意外事故和应对策略计划、控制风险状态以及从结果中汲取经验。本页内容介绍风险基础基本原则关键概念风险管理计划风险管理过程识别风险风险分析与分级风险计划和调度风险跟踪和报告风险控制风险学习项目生命周期中的集成风险管理企业中的风险管理管理项目的公文包概要介绍和MSF过程模型一样，Microsoft解决方案框架(MSF)也定义了一个过程，其目的在于持续地识别和评估项目中的风险，区分风险等级，并执行策略，从而提前处理项目生命周期中的风险。1本白皮书介绍了MSF风险管理原则的基本概念，描述了其原则、概念、指导以及通向成功IT项目风险管理的六步过程。阅读完本文档后，有MSF使用经验的项目团队应该能够为IT项目实现前摄的风险管理过程，而IT项目风险管理方面的新手也应该能够了解其基本概念、术语以及在IT项目生命周期中参与MSF风险管理所需的原则。在将软件工程协会(SEI)知名的连续风险管理过程模型应用到项目中2的同时，3MSF风险管理原则尝试通过Microsoft的扩展产品开发经验，以及源于Microsoft顾问服务(MCS)及合作伙伴的软件开发和部署经验来解释这一模型。MSF风险管理原则将以项目为中心的风险管理过程进一步扩展，在知识资产恢复过程中结合企业IT策略，并将项目生命周期中的所有阶段紧密集成。在MSF中，风险管理是用来提前识别、分析和定位项目风险，从而在其造成损害或损失前将其消灭的进程。MSF风险管理原则具有以下几点定义特性：•它是全面的，定位项目中的所有元素：人员、过程以及技术要素。•它为项目风险管理糅合了阶梯式的、系统化的、可再生的过程。•它连续地应用于项目生命周期中。•它是前摄的，而不对方向起反应。•它包含个人和企业级学习的许诺。•它具有灵活性，能适应不同数量和性质的风险分析方法。返回页首风险基础项目管理的基本要素之一是控制项目内在的风险。风险始于围绕着项目决策和结果的不确定性。大多数个人将风险的概念和项目中潜在的价值、控制、功能、质量或完成时间的损失联系在一起。然而，项目结果也同样会导致机会最大化增长的失败，而决策作为结果先导，它的非确定性也应该被包含于风险的要素中。在MSF中，项目风险被广泛地定义为：任何可能对项目结果产生积极或消极影响的事件或条件。这个范围更宽的投机风险概念被利用于金融业，投机风险中的不确定性决议可能和潜在收益以及损失相关联，这和纯粹风险的概念恰恰相反，纯粹风险被利用于保险业，它的不确定性仅仅和潜在的损失相关联。4风险和故障有所不同，因为风险指的是未来的消结果或损失的潜在可能。然而，故障则是当前已经存在于项目中的条件或状态。如果没有被有效地定位，风险可能会转化为故障。在MSF中，风险管理是提前识别、分析和定位项目风险的过程。风险管理的目标是让项目风险带来的积极影响（机会）最大化，同时让消极影响（损失）最小化。对于风险的有效策略的理解和管理能一定程度上保证风险和机会间的有效平衡。信息技术(IT)项目拥有创造有效风险管理基础的特征。竞争的商业压力、调整变化以及技术标准发展有时会促使IT项目团队在项目中期改变计划和方向。变化的用户需求、新兴的工具和技术、进化的安全威胁以及职工岗位变化都会导致额外的压力。JimMcCarthy提供的文章说明了这个问题：“事实上，即使在最成功的软件项目的每一个阶段，都有大量的有用要素是未知的。”（DynamicsofSoftwareDevelopment，1995年，99页）。5返回页首基本原则MSF风险管理原则基于风险必须被提前解决这一理念；它是正式和系统过程的一部分，将风险管理作为积极的工作。此原则构建于作为MSF核心的基本原则、概念和做法的基础上。有效的项目风险管理是MSF基本原则的关键所在。6不过，以下原则对MSF风险管理原则也是尤为重要的。保持灵活—预测变化变化是项目团队面临的主要不确定性之一。风险管理工作不应该被限制在项目生命周期的单一阶段。项目团队经常在项目的开始就投入很大的精力来应用风险管理原则，可是随着项目完成所要求的紧密的进度表压力，项目团队也许做不到持续地努力。活跃这个原则，要求项目团队在整个项目生命周期的每个阶段都持续地评估并提前管理风险，原因是项目各方面的连续性变化也意味着风险的持续性变化。前摄方法让项目团队可以接受变化，并防止其向分裂性的，消极的影响发展。鼓励公开交流MSF针对讨论风险提出了一个公开方法，既在团队内使用，又在团队外部使用。所有的团队成员都应该参与风险识别和分析。团队领导和管理人员应该支持和鼓励非过失文化的发展，从而发扬这一行为。对于项目风险公开、诚实的讨论可以带来更多对项目状态的正确评价，而执行管理人员和投资人更富有远见的决策会使整个团队受益。学习经验MSF认为，在学习中保持对持续改进的关注将带来更大的成功。从某一个项目中获得的知识可以减少围绕着决策的不确定性。MSF强调通过利用项目和风险管理过程一体化来实现组织或企业级项目结果学习的重要性。在鼓励所有团队成员公开通讯的过程中，对从项目结果中获得经验的直接关注也鼓励团队级的学习（互相学习）。共同的责任，清楚的义务在MSF中，没有人可以“独享”风险管理。项目团队中的每一个成员都有责任积极地参与风险管理进程。在项目进度表及计划中，团队成员个人都被赋予了明确的项目风险定位的责任。积极性可能贯穿于项目及风险管理过程周期的每一个阶段。它包含了个人专家意见或责任范围内的风险识别，并进一步扩展到包含风险分析、风险计划以及在项目推进过程中执行风险控制任务。在MSF组队模型中，项目管理角色群的项目管理功能领域对在风险管理工作中组织项目团队负有最终责任，并确保风险管理工作融入该项目的标准项目管理过程。7返回页首关键概念在本章节，我们讨论风险和风险管理的重要概念，这是理解MSF风险管理原则的核心内容。风险天然存在于所有项目或过程中尽管因项目的不同，风险的多少也各异，但没有一个项目是不包含风险的。项目发起后，组织可以在支持组织目标的过程中实现价值目标。在项目及其环境的周围，往往围绕着很多不确定性因素，而它们将影响到目标的实现。MSF实施者通过始终紧记风险无处不在的规律，寻求持续在风险和机会中做出正确平衡决议的方法，而不会过于关注如何将风险小消化。主动的风险管理是最有效的通过关注以下要素，MSF采用一种主动的方法来识别、分析和定位风险：•预期发现故障，而不要等到故障发生的时候再解决。•找寻根本原因，而不要仅仅处理表面症状。•提前（在故障发生之前）做出故障解决方案计划。•使用已知、结构化、可重复的过程解决故障。•在适当的时机采用预防性的方法。有效的管理绝对不只是通过单纯地处理故障来实现的。项目团队应该致力于提前识别风险，并发展策略和计划来管理这些风险。计划应该包含如何在故障发生时解决它们。预见潜在的故障、提前做出有效的计划可以缩短危机出现后的反应时间，并限制甚至扭转故障发生时带来的危害。前摄风险管理的定义特性是风险缓解和风险影响缓解。缓解工作可能发生在特定风险目标级别，并瞄准其潜在的直接原因，也可能通过改变根本原因级别（或是改变因果链）来实现。缓解方法在初期是最好的措施，因为这时项目团队还可以及时改变项目结果。根本原因的识别和修正对企业有着很高的价值，因为修正方法可以带来比个体项目范围更深远的积极影响。例如，在开发或部署项目的过程中，编码标准或机器命名惯例的缺乏可能明显地导致不利的结果，并因此成为增加项目风险的源头。不过，创建标准和指导方针能在企业里对整个项目起到积极的影响，前提是这些标准和指导方针在整个企业里执行。积极地看待风险识别有效的风险管理和项目团队对正面临着的风险的正确和全面的理解密不可分。当挑战和潜在损失的数量变得明显时，开发团队可能会对风险管理工作失去信心。一些团队成员甚至会认为识别风险事实上就是寻找破坏项目成功的原因。MSF则刚刚相反，它认为正是风险识别过程让项目团队可以通过公开化，更高效地管理风险，从而让成功的前景更加明朗。公开、归档的风险探讨将团队成员完全解放出来，通过提供任务、责任和预防工作计划的直接改良，让他们能够更加专注于工作，并纠正错误的方法。项目团队（尤其是团队领导）应该积极地看待风险识别，从而保证提供关于眼前风险尽可能多的信息。对风险消极的理解可能让团队成员不愿意做风险沟通。项目团队应该营造这样一个环境：员工在识别风险的过程中不需要害怕，只需要诚实地表达尝试性或是有争议的观点。消极的风险环境的例子比比皆是。例如，在某些环境下，报告新的风险被视为捣乱，而反击风险则定位到人而不是风险本身。在这样的环境下，人们通常谨慎地进行风险沟通，然后开始选择性地表达他们准备分享的风险信息，从而避免和团队成员的对质。如果项目团队积极地对待提出风险的团队成员，那么就能创造一个积极的风险管理环境，这样便能更成功地识别和定位风险，而在消极风险环境下工作的团队则刚刚相反。为了实现项目收益最大化的目标，项目团队必须乐于接受风险。这要求项目团队将风险和