风险管理(RSKM)

风险管理(RiskManagement)我知道我知道什么我知道我不知道什么我不知道我不知道什么风险?问题?缺陷?风险：就是可能发生的问题，它是还没有发生的，我们需要采取措施去规避，去降低它发生的可能性的，当风险发生了，也就是风险变成问题了，这个时候要降低风险带来的影响。问题：就是确确实实存在的问题，是已发生已发现的，需要去处理的。问题的范围包含缺陷，但一般我们会这样定义问题，问题指项目过程中发现的除了缺陷以外的问题，如文档评审发现的问题、同行评审发现的问题、计划中存在的问题等等。缺陷：一般就是指通过测试软件或者用户使用软件发现的问题。什么是RSKM?风险管理是一个持续的、前瞻的过程，此过程是管理的重要部分。风险管理应该强调可能会危害到重要目标的议题。持续的风险管理方法可以有效预测并降低对项目有重大影响的风险。风险管理可以区分成三部分：定义风险管理策略、识别及分析风险，以及处理已识别的风险，包括必要时，执行风险缓解计划。目的风险管理(RiskManagement,RSKM)的目的是在风险发生前，识别出潜在的问题，以便在产品或项目的生命周期中规划风险处理活动，并于必要时启动风险管理，如此可将不利于完成目标的影响降低。RSKM的3个SGSG1主要就是讲述组织级的要求，而SG2、SG3重点讲述项目如何进行风险管理活动。•SG1风险管理准备•SG2识别并分析风险•SG3降低风险SG1Preparationforriskmanagementisconducted.做好风险管理的准备•SP1.1确定风险来源和类别•SP1.2定义风险参数•SP1.3建立风险管理策略SP1.1Determinerisksourcesandcategories.确定风险的来源和分类。识别风险来源提供一种基础，以系统化检视随时间而改变的状况，发觉影响项目达成目标的情况。风险来源来自项目的内部及外部。在项目进行过程中，可能识别其他的风险来源。建立风险类别提供一种机制以搜集和组织风险，并对比较严重影响项目目标的风险，保持适当的警觉和注意。子实践--1.确定风险来源.风险来源是项目或组织内造成风险的基本因素，项目有许多内部及外部的风险来源。风险来源是识别风险发生的共同来源，典型的内部及外部风险来源包括下列各项：•不确定的需求•无前例的工作量─无法取得预估值•不可行的设计•不存在的技术子实践1.确定风险来源.•不实际的进度估计值或配置•不充分的人员配置和技能•成本或资金议题•不确定或不充分的分包商能力•不确定或不充分的供货商能力•与实际或潜在客户，或与业务代表的不充分沟通•营运连续性的中断子实践2.确定风险类别风险类别表达“贮存仓”的概念，用来搜集和组织风险。识别风险类别的原因之一是它可协助未来整合风险缓解计划的各项活动。决定风险类别时，可考虑下列因素：•项目生命周期模式的各阶段(如：需求、设计、制造、测试与评估、交付、汰除)•使用的过程类型•使用的产品类型•计划管理的风险(如：合约风险、预算/成本风险、进度风险、资源风险、绩效风险、支持能力的风险)SP1.2Definetheparametersusetoanalyzeandcategorizerisks,andtheparametersusedtocontroltheriskmanagementeffort.定义风险的属性，这些属性是用来分析风险、分类风险以及用来进行风险管理的。用来评估、分类和排序风险的参数，包括下列各项：•风险可能性(即风险发生的机率)•风险结果(即风险发生的影响和严重性)•引发管理活动的阈值子实践1.定义一致性的准则，以评估及量化风险的可能性及严重程度。透过使用一致性的准则(例如：可能性和严重程度的范围)，可共同了解不同风险之冲击，使能适度的检查，并保证获得管理者注意。在管理不同的风险方面(例如：人员安全相对于环境污染)，保证最终结果的一致性是重要的(例如：环境污染的高风险和人员安全的高风险一样重要)。子实践2.定义每个风险类别的阈值对每一风险类别，可建立阈值以决定风险的可接受性或不可接受性、风险的优先级，或引发管理行动。阈值的范例，举例如下:•项目阈值可建立为：当产品成本超过目标成本百分之10，或当成本绩效指标(CPI)降到0.95以下时，可与高级管理层共同处理。•进度阈值可建立为：当进度绩效指标(SPI)降到0.95以下时，可与高级管理层共同处理。•绩效阈值可建立为：当关键项目(如处理器使用率或平均反应时间)超过预期设计的百分之125以上，可与高级管理层共同处理。子实践3.定义某风险类别阈值的范围并未限制风险以量或质的方式评估。范围的定义(或范围的条件)，可用来限定风险管理投入程度，以避免资源过度消耗。范围的订定，可排除某个类别的风险来源，亦可排除任何发生小于某个频率的情况SP1.3Establishandmaintainthestrategytousedforriskmanagement.建立和维护用于风险管理的策略。周详的风险管理策略说明的事项如下：•风险管理投入的范围•使用于风险识别、风险分析、风险缓解、风险监控及沟通的方法及工具•项目特定的风险来源•如何组织、分类、比较及整合风险•对已识别风险采取行动的参数，包括可能性、结果及阈值•风险缓解所使用的技术，例如：原型制作、试行、模拟、备选方案设计或渐进式发展•定义风险度量，以监控风险状况•风险监控或再评估的时间间隔从SP1.1到SP1.3，要求逐步深化。SP1.1只要求确定风险来源及分类。SP1.2就要求定义清晰的风险属性，一般来说，风险会有原因、后果、严重级别、发生机率、类别等属性，每个企业可以根据自己需要定义属性。SP1.3所谓的风险管理策略，指得就是风险如何存储、记录、跟踪、采取什么缓解措施等所有关于风险管理的组织级别的要求。SG2Risksareidentifiedandanalyzedtodeterminetheirrelativeimportance.识别风险并分析决定他们的相关重要性。分析风险需要从内外部来源识别风险，而后评估每一风险，以决定可能性和发生结果。风险分类提供处理风险所需的信息，它是依据已建立的风险类别，以及风险管理策略所发展的准则来进行评估。为了有效率的处理和有效的应用风险管理资源，可把相关风险组成不同的群组。SP2.1Identifyanddocumenttherisks识别和记录风险。风险识别应是有组织及透彻的方法，以找出在达成目标的过程中可能发生或实际的风险。识别风险的方法有很多，典型的识别方法如下：•检查项目分解结构的每个组件以找出风险。•使用风险分类表来评估风险。•访谈主题事务专家。•由类似产品的比较来审查风险管理投入。•检查学习心得文件或数据库。•检查设计规格和协议书需求。SP2.2Evaluateandcategorizeeachidentifiedriskusingthedefinedriskcategoriesandparameters,anddetermineitsrelativepriority.根据已经定义好的风险分类及属性，评估和分类每一个风险，并决定其优先级。子实践1.利用已定义的风险参数，评估已识别的风险根据定义的风险参数，评估每个风险并指定数值，数值可包括可能性、结果(严重性或冲击度)及阈值。可整合这些指定的风险参数值以产生额外的度量，例如：风险曝光程度可用来排列风险的优先级，以便处理。通常具有3到5个数值的等级，可用来评估可能性和结果。例如：可能性可分类为微乎其微、不太可能、可能、非常可能，或近乎确定。子实践2.依照定义的风险类别，将风险分类并分组将风险归类到已定义的风险类别，可提供一个根据风险的来源、分类表或项目组件，检查风险的方法。相关或相同的风险可归成一类，以便有效处理，并记录相关风险之间的因果关系。子实践3.排列降低风险的优先级依据指定的风险参数，决定每个风险相对的优先级，应使用清楚的准则来决定风险的优先级。排定优先级的目的是为了确定降低风险的资源能用在最有效的范围，使其对项目有最大的正面影响。SG3Risksarehandledandmitigated,whereappropriate,toreduceadverseimpactsonachievingobjectives.风险被管理并且缓解，以减少对项目管理目标的影响处理风险的步骤，包括制定风险处理方案、监控风险，以及超过所定义的阈值时，执行风险处理活动。对于选定的风险，应制定和执行风险缓解计划，以主动减少风险发生的潜在冲击。除试图降低风险，亦应包括紧急应变计划(contingencyplan)，以处理可能发生的风险冲击。在风险管理策略中，定义启动风险处理活动的风险参数。SP3.1Developariskmitigationplanforthemostimportantriskstotheproject,asdefinedbytheriskmanagementstrategy根据风险管理策略对项目最重要的风险制定风险缓解计划。风险缓解措施是指，降低风险发生机率及风险发生时采取的减低影响的措施。风险处理方案，通常包括下列各种备选方案：•风险规避：改变或降低需求，但仍符合使用者需要•风险控制：采取主动的步骤，以降低风险•风险移转：重新配置设计需求，以降低风险•风险监控：就指定的风险参数的变化，观察并定期重新评估风险•风险接受：对风险有认知，但不采取任何动作工作产品1.每个已识别风险之处理方案的纪录2.风险缓解计划3.紧急应变计划4.负责追踪及解决每个风险的人员清单子实践1.决定风险的等级及阈值，以定义风险在什么情况下是变成无法接受，并启动风险缓解计划或紧急应变计划。2.识别负责处理每个风险的个人或团队。3.决定实施每个风险之风险缓解计划的成本效益比。4.发展项目整体的风险缓解计划，以协调个别的风险缓解计划和紧急应变计划。5.针对选取的关键风险，研订当其发生时的紧急应变计划。SP3.2Monitorthestatusofeachriskperiodicallyandimplementtheriskmitigationplanasappropriate.周期性地跟踪风险状态，在需要的时候实施风险缓解计划。典型的工作产品•1.更新后的风险状况清单•2.更新后的风险可能性、结果及阈值的评估•3.更新后的风险处理方案清单•4.更新后的风险处理行动清单•5.风险缓解计划子实践1.监控风险状态2.提供方法，以追踪未完成的风险处理行动项目，一直到结案3.当监控的风险超过定义的阈值时，引用选定的风险处理方案。4.针对每个风险处理活动，建立进度或某段期间的绩效，包括起始日期和预计的完成日期。5.对每个计划提供持续性的资源承诺，以使风险处理活动成功的执行。6.搜集风险处理活动的绩效度量。