软件项目风险管理

,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,*,页,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,第,1,页,风险管理规划,1,风险识别,2,第,8,章 风险管理,风险分析,3,风险应对,4,风险控制,5,第,2,页,学习目标,理解风险管理的观念,掌握项目风险管理规划的内容和程序,熟悉项目风险识别过程,掌握项目风险定量和定性分析方法,掌握风险应对原则与措施,熟悉风险控制的程序与方法,第,8,章 风险管理,第,3,页,项目风险是一种不确定的事件或条件，一旦发生，就会对一个或多个项目目标造成积极或消极的影响，如范围、进度、成本和质量。,风险管理规划,是定义如何实施项目风险管理活动的过程。,1.,风险管理计划,风险管理规划的主要任务就是得到风险管理计划，可以根据项目管理计划、项目章程、干系人登记册、约束条件和历史经验等信息，制定风险管理计划。风险管理计划是项目管理计划的组成部分，描述将如何安排与实施风险管理活动。,8.1,风险管理规划,第,4,页,1.,风险管理计划,风险管理计划通常包括：,（,1,）,方法论,。确定项目风险管理将使用的方法、工具及数据来源。,（,2,）,角色与职责,。确定风险管理计划中每个活动的领导者和支持者，以及风险管理团队的成员，并明确其职责。,（,3,）,预算,。根据分配的资源估算所需资金，并将其纳入成本基准，制定应急储备和管理储备的使用方案。,（,4,）,时间安排,。确定在项目生命周期中实施风险管理过程的时间和频率，制定进度应急储备的使用方案，确定风险管理活动并纳入项目进度计划中。,8.1,风险管理规划,第,5,页,1.,风险管理计划,（,5,）,风险类别。,规定对潜在风险成因的分类方法。风险分解结构（,Risk Breakdown Structure,，,RBS,）有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。,8.1,风险管理规划,第,6,页,1.,风险管理计划,（,6,）风险概率和影响的定义,8.1,风险管理规划,风险对主要项目目标的影响量表（仅反映消极影响）,项目目标,相对量表,很低,低,中等,高,很高,成本,成本增加不显著,成本增加小于,10%,成本增加,10%-20%,成本增加,20%-40%,成本增加,大于,40%,进度,进度拖延不显著,进度拖延小于,5%,进度拖延,5%-10%,进度拖延,10%-20%,进度拖延大于,20%,范围,范围变化微不足道,范围的次要方面受到影响,范围的主要方面受到影响,范围缩小到发起人不能接受,项目最终结果没有实际用途,质量,质量下降微不足道,仅对要求极高的部分有影响,质量下降需发起人审批,质量降低到发起人审批人不能接受,项目最终结果没有实际用途,第,7,页,识别风险,是判断哪些风险可能影响项目并记录其特征的过程。,1.,风险识别的方法,（,1,）项目文档审查（,审查项目计划、需求和假设之间匹配程度,）,（,2,）头脑风暴（,自由讨论，集体访谈等方式识别和分类风险,）,（,3,）,WSOT,分析（,优势（,Strength,）、劣势（,Weakness,）、机会（,Opportunity,）和威胁（,Threat,）,）,8.2,风险识别,第,8,页,2.,软件项目风险,（,1,）需求风险（,软件项目最大的风险是所完成的产品不能让用户满意,）,识别需求风险时，重点分析以下因素：,用户是否充分参与需求分析。,优先需求是否得到满足。,需求变化的程度。,有无有效的需求变化管理过程。,8.2,风险识别,第,9,页,2.,软件项目风险,（,2,）技术风险,（,信息技术的发展和更新速度极快,）,识别技术风险时，可以分析以下因素：,对方法、工具和新技术的理解程度。,应用领域经验。,产品需求是否要求采用特殊的功能和接口。,需求中是否有过分的产品性能要求和约束。,客户所要求的功能是否技术可行。,是否有恰当的技术培训。,8.2,风险识别,第,10,页,2.,软件项目风险,（,3,）商业风险,与商业风险有关的因素有：,本产品是否得到应有的高管层重视与支持。,交付期限的合理性如何。,本产品是否满足了用户的需求。,最终用户的水平如何。,延迟交付所造成的成本消耗如何。,产品缺陷所造成的成本消耗如何。,8.2,风险识别,第,11,页,2.,软件项目风险,（,4,）开发方式的风险,自主开发,往往面临技术实力不足的问题；,外包,可能存在合作和沟通的问题。采用,多方合作,方式时，风险就可能来自合作伙伴、技术及设备供应商等方面。,（,5,）系统部署风险,软件系统在部署时往往需要大量的时间开销和大量的数据初始化工作，任务艰巨而繁琐，数据质量风险也不可忽视。,8.2,风险识别,第,12,页,2.,软件项目风险,（,6,）开发方式的风险,软件项目中新技术的应用会对原有流程加以增删、整合等重组活动，这种活动可能会受到操作人员的抵触。,（,7,）组织与人力资源风险,软件行业的人员流动性大、沟通难度大。,8.2,风险识别,第,13,页,3.,风险登记册,风险登记册,是风险识别过程的最初结果，风险登记册会记录风险分析、风险应对和风险管理过程的结果，其中的信息种类和数量也就逐渐增加。,最初的风险登记册包括如下信息：,（,1,）已识别风险清单,对已识别风险进行尽可能详细的描述。可采用结构化的风险描述语句对风险进行描述。,例如，,某事件可能发生，从而造成什么影响；或者，如果存在某个原因，某事件就可能发生，从而导致什么影响。,8.2,风险识别,第,14,页,3.,风险登记册,（,2,）潜在应对措施清单,在识别风险过程中，有时可以识别出风险的潜在应对措施。这些措施可以为后来的风险应对提供依据。,8.2,风险识别,第,15,页,Hot Tip,风险分析包括风险定性分析和风险定量分析。,1.,风险定性分析,风险定性分析,是评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。风险定性分析有以下几种方法：,（,1,）风险概率和影响评估,风险概率评估旨在调查每个具体风险发生的可能性，以及调查风险对项目目标（如进度、成本、质量）的潜在影响，既包括威胁所造成的消极影响，也包括机会所产生的积极影响。,8.3,风险分析,第,16,页,Hot Tip,1.,风险定性分析,（,1,）风险概率和影响评估,8.3,风险分析,概率和影响矩阵,概率,威胁,机会,0.90,0.05,0.09,0.18,0.36,0.72,0.72,0.36,0.18,0.09,0.05,0.70,0.04,0.07,0.14,0.28,0.56,0.56,0.28,0.14,0.07,0.04,0.50,0.03,0.05,0.10,0.20,0.40,0.40,0.20,0.10,0.05,0.03,0.30,0.02,0.03,0.06,0.12,0.24,0.24,0.12,0.06,0.03,0.02,0.10,0.01,0.01,0.02,0.04,0.08,0.08,0.04,0.02,0.01,0.01,0.05/,非常低,0.10/,低,0.20/,中等,0.40/,高,0.80/,非常高,0.80/,非常高,0.40/,高,0.20/,中等,0.10/,低,0.05/,非常低,对目标（如成本、时间、范围或质量）的影响（数字量表）,第,17,页,Hot Tip,1.,风险定性分析,（,方法,）,（,2,）风险紧迫性评估,可以把近期就需要应对的风险确定为更紧迫的风险。此外，风险的可监测性、风险应对的时间要求、风险征兆和预警信号，以及风险等级等，都是确定风险优先级应考虑的指标。,（,3,）风险分类,按风险内容进行风险分类有：,范围风险（,如用户的需求变化,）,进度风险（,导致项目工期拖延的风险，如技术、资源等,）,8.3,风险分析,第,18,页,Hot Tip,1.,风险定性分析,（,方法,）,（,3,）风险分类,按风险内容进行风险分类有：,成本风险（,费用超支,）,技术风险（,技术变化,）,管理风险,商业风险,法律风险,社会环境风险,8.3,风险分析,第,19,页,Hot Tip,1.,风险定性分析,（,方法,）,（,3,）风险分类,从预测的角度划分风险类别：,已知风险,可预测的风险（,又称已知,未知风险，是指能够从过去项目的经验中推测出来的风险,）,不可预测的风险（例如不可预测的政府干预、自然灾害等，需要应急应对措施）,8.3,风险分析,第,20,页,Hot Tip,1.,风险定量分析,风险定量分析,的对象是在定性风险分析过程中被确定为潜在重大影响的风险，其过程就是分析这些风险对项目目标的影响，主要用来产生量化风险信息，来支持决策制定，降低项目的不确定性。,风险定量分析,有以下几种方法：,8.3,风险分析,第,21,页,Hot Tip,1.,风险定量分析,（,1,）敏感性分析,敏感性分析把所有其他不确定因素固定在基准值，考察每个因素的变化会对目标产生多大程度的影响，有助于确定哪些风险对项目具有最大的潜在影响。,8.3,风险分析,第,22,页,Hot Tip,1.,风险定量分析,（,2,）概率分析,8.3,风险分析,第,23,页,Hot Tip,1.,风险定量分析,（,3,）决策树分析,（,最佳方案,）,8.3,风险分析,第,24,页,风险应对,是针对项目目标，制定提高机会、降低威胁的方案和措施的过程。,1.,风险应对的策略,（,1,）消极风险的应对（,威胁,）,规避（,如，更改项目管理计划，以完全消除威胁。,）,转移（,风险转移是指项目团队把威胁造成的影响连同应对责任一起转移给第三方。转移并不是把风险推给后续的项目，也不是未经他人知晓或同意就把风险推给他人。采用风险转移策略，几乎总是需要向风险承担者支付风险费用。,）,减轻（,把不利风险的概率和影响降低到可接受的临界值范围内,）,8.4,风险应对,第,25,页,1.,风险应对的策略,（,1,）消极风险的应对,接受（,该策略可以是被动或主动的。被动地接受风险的情况下，可待风险发生时再由项目团队处理，不过，需要定期复查，以确保威胁没有太大的变化；最常见的主动接受策略是建立应急储备，安排一定的时间、资金或资源来应对风险。,）,规避和减轻策略通常适用于高影响的严重风险，而转移和接受则更适用于低影响的不太严重威胁。,8.4,风险应对,第,26,页,1.,风险应对的策略,（,2,）积极风险的应对（,机会,）,开拓（,本策略旨在消除与某个特定积极风险相关的不确定性，确保机会肯定出现,）,提高（,本策略旨在提高机会的发生概率和积极影响,）,分享（,指把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方,）,接受（,接受机会是指当机会发生时乐于利用，但不主动追求机会,）,8.4,风险应对,第,27,页,1.,风险应对的策略,（,3,）应急应对措施,可以针对某些特定事件，专门设计一些应对措施。对于有些风险，比如不可预测的风险，项目团队可以制定应急应对策略，即只有在某些预定条件发生时才能实施的应对计划。,8.4,风险应对,第,28,页,风险控制,是在整个项目中规划风险应对、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。,1.,风险控制程序,建立一套项目监控指标系统，使之能以明确易懂的形式提供准确、及时而关系密切的项目风险信息，是进行风险监控的关键所在。分析控制程序主要包括：,（,1,）建立项目风险事件控制体制,（,2,）确定要控制的具体项目风险,（,3,）确定项目风险的控制责任,8.5,风险控制,第,29,页,1.,风险控制程序,（,4,）确定项目风险控制的行动时间,（,5,）制订各具体项目风险的控制方案,（,6,）实施具体项目风险控制方案,（,7,）跟踪具体项目风险的控制结果,（,8,）判断项目风险是否已经消除,8.5,风险控制,第,30,页,1.,风险控制方法,风险监控还没有一，制套公认的、单独的技术可供使用。由于项目风险具有复