1、系统集成项目风险管理,项目风险,项目受众多因素的影响,任何活动都不可避免的存在不确定性,过程和结果经常出乎预料。,本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4定性风险分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控,引言,Rothfeder 1988:对600家成功的公司调查,35%的有项目失控的经历 Jones 1991:大型项目按时完成的概率几乎为0,被取消的概率与赌博一样 Tom Gilb:如果你不主动地击败风险,他们就会主动击败你的,风险,风险是损失发生的不确定性; 是对潜在的,未来可能发生损害的一种度量
2、与有目的的活动有关; 与将来的活动有关;,风险,风险是遭受损失的一种可能性。 Webster 风险是有害后果发生的可能性,是对潜在的、未 来可能发生损害的一种预期损失。 风险是一个统计概念,用于描述在给定的时间和 空间中消极事件和状态影响人或者事件的可能性。 R=f(P,C) R 风险、 P 不利事件发生的概率、 C 不利事件发生的后果,项目风险,项目风险是一种不确定事件或状况,一旦发生,会对至少一个项目目标产生积极或消极影响 。 对项目目标的威胁; 促进项目目标的机会; 源于项目中不确定性因素,软件项目中的风险,不断变换的需求 低劣的计划和估算 不可信赖的承包人 欠缺的管理经验 人员问题 技
3、术失败 政策的变化 性能欠佳。,风险的属性,风险事件的随机性; 风险的相对性; 相对不同主体,承受能力:收益的大小;投入的大小;项目活动主体的地位和拥有的资源; 风险的可变性; 性质变化; 后果变化; 新风险;,风险的属性,风险的客观性 客观存在,不以人的意志为转移的; 风险的不确定性 风险的发生不是必然的,何时、何地发生以及对项目的影响程度都是不确定的; 风险的阶段性 分阶段的,各阶段有明确的界限。风险潜在阶段;风险发生阶段;造成后果阶段;,风险的分类,按后果划分 纯粹风险 不能带来机会,无获利可能; 投机风险 可能带来机会,获得利益,又隐含威胁、造成损失; 例如 采用新技术,风险的分类,按
4、来源划分 自然风险 人为风险,风险的分类,按是否可管理划分 可管理风险 不可管理风险,风险的分类,按影响范围划分 局部风险 总体风险,风险的分类,按可预测性划分 已知风险 用户需求变更; 可预测风险 项目评审推迟; 不可预测风险,风险成本,风险事件造成的损失或减少的收益以及为防止发生发生风险事件采取预防措施而支付的费用,都构成风险成本。 风险损失的有形成本。包括直接损失和间接损失。 风险损失的无形成本。包括机会的减少、阻碍了生产率的提高;造成资源分配不当。 风险预防与控制的费用。例如投保、配备必要人员、购置预防设备、相关培训教育等。,风险成本的负担,个体负担 社会负担,项目风险的三要素,风险是
5、一个事件 风险具有事件发生的概率 风险事件造成的影响,风险图示,总体风险,风险事件,风险事件是指那些人们不愿意发生的或者没有规划的事件。它可能导致无法实现项目目标。 例如:项目成本失控,风险因素,风险因素是指能够引起或者增加风险事件发生的机会或影响损失的严重程度的因素,是造成损失的内在或者间接的原因。 例如:需求变化、设计错误、技术人员能力欠缺等。,风险因素、风险事件与风险的关系,风险因素,损失,风险事件,实际与预期差异,风险,风险类型,预测角度 已知风险Known known 可预测风险-Known unknown 不可预测风险-unknown unknown 范围角度 项目风险 技术风险
6、商业风险,项目风险,项目风险是指潜在的预算、进度、个人(包括人员和组织)、资源、用户和需求方面的问题。例如时间、资源分配不合理。 项目的复杂性、规模的不确定性和结构的不确定性也是构成项目风险的因素,技术风险,技术风险是指潜在的设计、实现、接口、检验和维护方面的问题 规格说明的多义性、技术上的不确定性、技术陈旧也是技术风险因素,商业风险,市场风险。开发的产品不是市场需要的 策略风险。开发产品不符合公司软件产品策略 管理风险。重点转移或人员变动失去上级部门支持 预算风险。没有得到充足和预算和人员保证,风险的特征,风险是损失或损害 风险是一种不确定性 风险是针对未来的 风险是客观存在的 风险是相对性
7、 风险是预期和后果之间的差异,是实际后果偏离预期结果的可能性,风险管理,目的:识别出风险,然后采取措施使它们对项目的影响最小。 增加积极事件的概率和影响,降低消极事件的概率和影响。 风险管理是软件管理中新的领域,首次出现在Boethm关于风险管理的指南中。,风险管理,所谓风险管理,就是要在风险成为影响项目成功的威胁之前,识别、着手处理并消除风险的源头。 风险管理需要额外的成本。只有风险管理的成本大大低于风险真正发生招致的损失情况下,风险管理才有意义。,风险管理是一个连续的过程,风险管理的层次,危机管理-救火模式:风险已经造成麻烦后才开始处理。 风险缓解:事先制定好风险发生后的补救措施,但不制定
8、任何防范措施。 着力预防:将风险识别和风险预防作为软件项目一部分加以规划和执行。 消灭根源:识别和消灭可能产生风险的根源。,风险管理,风险管理是指在项目中不断对风险进行识别、评估、制定策略、监控风险的过程。以便最大限度满足项目的目标。,风险管理的意义,有效地控制项目的成本、进度、产品需求 可以阻止意外的发生,增加项目成功的可能性 可以防止问题的出现,即使出现,也可以降低程度 可以将精力更多地放到项目的及时提交上 风险管理相当于一份项目保险,是一个保险投资,风险管理示例,一个计算机博览会,其关键目标是提供不间断的计算机服务,为达到此目的,一个明显的风险是电源故障。处理方法:部署一个UPS。,风险
9、管理示例,识别风险:电源故障 评价后果:博览会失败、客户流失 风险管理计划:配置一套UPS,风险、高风险、冒险,风险范围的极限,计划过于紧张,就是冒险 风险计划可以帮助说明项目困境 避免冒险项目,软件风险,指软件开发过程中以及软件产品本身可能造成的伤害和损失。例如:软件质量下降、成本超支、项目进度推迟等。,风险管理推荐的措施,软件项目计划包括风险管理计划 任选风险管理负责人 使用TOP 10风险清单,主要的风险管理工具 为每项风险制订风险管理计划 建立匿名风险汇报渠道,项目风险管理过程,风险管理计划的编制 决定如何进行、规划和实施项目管理风险活动 风险识别 判断哪些风险会影响项目,以书面记录
10、定性风险分析 对风险概率和影响进行评估汇总、排序 定量风险分析 风险应对计划编制 风险监控,项目风险管理与项目管理其他过程的关系,从成本、质量、时间目标看,风险管理与项目管理目标一致。 与项目范围管理相辅相成。 为项目计划制定提供依据。 与成本管理相辅相成。 贯穿项目实施过程。 与人力资源管理相辅相成。,本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控,风险管理计划,风险管理计划编制过程描述如何为项目处理和执行风险管理活动。 认真、明确地进行规划,可以提高其他5
11、 个风险管理过程的成功概率。规划风险管理非常重要,它可以确保风险管理的程度、类型和可见度与风险以及项目对组织的重要性相匹配。规划风险管理的重要性还在于为风险管理活动安排充足的资源和时间,并为评估风险奠定一个共同认可的基础。规划风险管理过程在项目构思阶段就应开始,并在项目规划阶段的早期完成。,风险管理计划编制的输入,1、事业环境因素 2、组织过程资产 3、项目管理计划 4、项目章程 5、项目范围说明书,风险管理计划编制的工具和技术,1、风险核对表法 基于类似项目,一般按风险来源排列; 2、风险管理表格 3、风险数据库模式,风险管理计划编制的输出,1、风险管理计划 描述在项目中如何组织和执行风险管
12、理。 方法论。定义实施风险管理的方法、工具等 角色和职责。 预算。分配资源、估算成本。 制定时间表。 风险类别。 风险分解结构RBS 风险概率和影响力定义。 概率及影响矩阵。 已修订的项目干系人对风险的容忍度。 报告的格式。 跟踪。,风险管理计划,风险管理计划描述的是整个项目生命期中,风险识别、风险分析、风险规划和风险控制是如何架构和执行的。,风险管理计划的主要内容,(1) 方法论。确定项目风险管理将使用的方法、工具及数据来源。 (2)角色与职责。确定风险管理计划中每项活动的领导者和支持者,以及风险管理团队的成员,并明确其职责。 (3)预算。分配资源,估算风险管理所需的资金,将其纳入成本绩效基
13、准,并建立应急储备的使用方案。 (4)时间安排。确定在项目生命周期中实施风险管理过程的时间和频率,建立进度应急储备的使用方案,确定应纳入项目进度计划的风险管理活动。 (5)风险类别。风险类别提供了一个框架,确保在同一细节水平上全面、系统地识别各种风险,并提高识别风险过程的效果和质量。组织可使用预先准备好的分类框架,它可能是一个简易分类清单或风险分解结构(RBS)。,风险管理计划的主要内容,(6)风险概率和影响的定义。需要对风险的概率和影响划分层次,来确保实施定性风险分析过程的质量和可信度。 (7)概率影响矩阵。应该根据风险可能对项目目标产生的影响,对风险进行优先排序。 (8)修订的干系人承受力
14、。可在规划风险管理过程中对干系人的承受力进行修订,以适应具体项目的情况。 (9)报告格式。包括风险登记册的内容和格式,以及所需的其他风险报告的内容和格式,用于规定将如何对风险管理过程的结果进行记录、分析和沟通。 (10)跟踪。应该规定将如何记录风险活动。这些记录可用于本项目或未来项目,可用于总结经验教训,还要规定是否需要以及应该如何对风险管理过程进行审计。 (11)其他内容。,应急计划 应急储备,应急计划指当一项可能的风险事件实际发生时项目团队将采取预先确定的措施。应急储备指根据项目发起人的规定,如果项目范围或质量发生变更,这一部分资金可以减少成本或进度风险。,本章要点,18.1 风险和项目风
15、险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控,风险识别,确定风险的来源、风险产生的条件、描述其风险特征和确定何种风险可能会对项目产生影响,并将这些风险的特征形成文档的管理活动。风险识别是一个不断重复的过程,因为在项目生命周期中,随着项目的进展,新的风险可能产生或为人所知。反复的频率以及每一轮的参与者因具体情况而异。,标识风险,风险识别是试图通过系统化地确定对项目计划的威胁,识别已知和可预测的风险。一般性风险、特定风险内在风险、外在风险,风险事故,风险事故是造成损失的直接或外在的原因,是损失
16、的媒介物,即风险只有通过风险事故的发生才能导致损失。直接原因-风险事故 间接原因-风险因素,风险因素,是风险事故发生的潜在原因,是造成损失的内在或间接原因。根据性质不同,风险因素可分为实质风险因素,道德风险因素和心理风险因素三种类型: 1、物质风险因素;2、道德风险因素。(故意);3、心理风险因素。(过失、疏忽 无意 ) 风险是由风险因素、风险事故和损失三者构成的统一体,三者的关系为: 风险因素是指引起或增加风险事故发生的机会或扩大损失幅度的条件,是风险事故发生的潜在原因; 风险事故是造成生命财产损失的偶发事件,是造成损失的直接的或外在的原因,是损失的媒介; 损失是指非故意的、非预期的和非计划
17、的经济价值的减少。 上述三者关系为:风险是由风险因素、风险事故和损失三者构成的统一体,风险因素引起或增加风险事故;风险事故发生可能造成损失。,项目风险识别的特点,1 全员性 2 系统性 3 动态性 贯穿项目实施全过程 4 信息依赖性 全面、及时、准确、动态的信息 5 综合性,风险识别的主要内容,1 识别并确定项目潜在的风险;2 识别引起风险的主要因素;3 识别项目风险可能引起的后果;,风险识别的输入,1、事业环境因素 2、组织过程资产 3、项目范围说明书 4、风险管理计划 5、项目管理计划,风险识别的工具和技术,1、文件审查 2、信息搜集技术 德尔菲方法(专家调查法) 头脑风暴法 情景分析法(
18、电影剧本) SWOT分析 面谈法 3、检查表(checklist) 4、假设分析 5、图解技术,风险条目检查表,检查表法是利用检查表作为风险识别的工具 检查表法是根据风险要素建立软件项目的风险条目列表 列表中列出所有与风险因素有关的提问 可以使管理者集中识别常见的类型中的已知和可预测的风险研究表明:IT项目常常存在一些共同的风险源,检查表风险识别类型域,产品规模 商业影响 项目需求 客户特性 过程定义 开发技术 开发环境 人员数目及经验,产品规模风险检查表,是否以LOC或FP估算产品的规模? 对于估算出产品规模的信任程度如何? 是否以程序、文件或事务处理的数目来估算产品规模? 产品规模与以前产
19、品规模偏差值多少? 产品使用的数据库大小如何? 产品用户有多少? 产品需求改变多少?交付前多少?交付后多少?,SEI风险识别检查表,Product Engineering,Requirements Stability Completeness Clarity Validity Feasibility Precedent Scale Design Functionality Difficulty Interfaces Performance Testability Hardware Constraints Non Developmental software,Code and Unit test
20、 Feasibility Testing Coding/Implementation Integration and Test Environment Product System Engineering Specialties Maintainability Reliability Safety Security Human Factors Specification,Development Environment,Management Process Planning Project Organization Management Experience Program Interfaces
21、 Management Methods Monitoring Personnel Management Quality Assurance Configuration Management,Development process Formality Suitability Process Control Familiarity Product control Development System Capacity Suitability Usability Familiarity Reliability System Support Deliverability,Work Environmen
22、t Quality Attitude Cooperation Communication Morale,Program Constraints,Resources Schedule Staff Budget Facilities Contract Type of Contract Restriction Dependence,Program Interfaces Customer Associate Contractors Subcontractors Prime Contractor Corporate Management Vendors Politics,风险识别的结果,SWOT分析法,
23、环境分析法 Strength-Weakness-Opportunity-Threat(也称TOWS分析法、道斯矩阵,即态势分析法) 1 列出项目的优势/劣势,可能的机会与威胁; (2)将内部优势与外部机会相组合,形成SO策略,制定抓住机会、发挥优势的战略。 (3)将内部劣势与外部机会相组合,形成WO策略,制定利用机会克服弱点的战略。 (4)将内部优势与外部威胁相组合,形成ST策略,制定利用优势减少威胁战略; (5)将内部劣势与外部挑战相组合,形成WT策略,制定弥补缺点、规避威胁的战略。,SWOT分析法,SWOT分析实际上是将对企业内外部条件各方面内容进行综合和概括,进而分析组织的优劣势、面临的
24、机会和威胁的一种方法。 优劣势分析主要是着眼于企业自身的实力及其与竞争对手的比较,而机会和威胁分析将注意力放在外部环境的变化及对企业的可能影响上 。,德尔菲方法,德尔菲技术是组织专家就某个专题达成一致意见的一种方法。项目风险专家匿名参与,专家之间不得互相讨论,不发生横向联系,只能与调查人员发生关系。组织者使用调查问卷就重要的项目风险征询意见,然后对专家的答卷进行归纳,并把结果反馈给专家,请他们做进一步评论。这个过程重复几轮后,就可能取得一致意见。德尔菲技术有助于减轻数据的偏倚,防止任何个人对结果产生不恰当的影响。,德尔菲方法的特征,1)资源利用的充分性。由于吸收不同的专家与预测,充分利用了专家
25、的经验和学识; 2)最终结论的可靠性。由于采用匿名或背靠背的方式,能使每一位专家独立地做出自己的判断,不会受到其他繁杂因素的影响; 3)最终结论的统一性。预测过程必须经过几轮的反馈,使专家的意见逐渐趋同。,德尔菲方法的实施步骤,1)组成专家小组。按照课题所需要的知识范围,确定专家。专家人数的多少,可根据预测课题的大小和涉及面的宽窄而定,一般不超过20人。 2)向所有专家提出所要预测的问题及有关要求,并附上有关这个问题的所有背景材料,同时请专家提出还需要什么材料。然后,由专家做书面答复 3)各个专家根据他们所收到的材料,提出自己的预测意见,并说明自己是怎样利用这些材料并提出预测值的。 4)将各位
26、专家第一次判断意见汇总,列成图表,进行对比,再分发给各位专家,让专家比较自己同他人的不同意见,修改自己的意见和判断。也可以把各位专家的意见加以整理,或请身份更高的其他专家加以评论,然后把这些意见再分送给各位专家,以便他们参考后修改自己的意见。 5)将所有专家的修改意见收集起来,汇总,再次分发给各位专家,以便做第二次修改。逐轮收集意见并为专家反馈信息是德尔菲法的主要环节。收 集意见和信息反馈一般要经过三、四轮。在向专家进行反馈的时候,只给出各种意见,但并不说明发表各种意见的专家的具体姓名。这一过程重复进行,直到每一个 专家不再改变自己的意见为止。 6)对专家的意见进行综合处理。,软件项目中常见的
27、风险,1 缺乏经过技术培训的人力 2 需求变更太多 3 需求不明确 4 人员流失 5 外部强加给项目的决策 6 没有满足绩效要求 7 进度不切实际 8 运用新技术 9 业务知识不够 10 效率低下,风险识别的输出,1、风险记录 已识别的风险列表; 风险征兆或警告信号; 潜在的风险应对方法列表; 风险的根本原因; 更新的风险分类; 2、项目管理计划(更新),本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控 18.8 主要风险追踪,风险定性分析,通过对已识别的风险发
28、生的概率以及影响综合程度确定其优先级 ,以便进一步采取措施。如定量分析、应对计划。 实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素(如应对时间要求,与项目成本、进度、范围和质量等制约因素相关的组织风险承受力),来评估已识别风险的优先级。,风险定性分析的输入,1、组织过程资产 2、项目范围说明书 3、风险管理计划 4、风险登记册 5、工作绩效信息,风险定性分析的工具和技术,1、风险概率和影响评估 描述风险发生的可能性; 风险发生时对项目目标的影响; 2、概率/影响风险评估矩阵 风险值概率影响 3、风险数据质量评估 4、风险分类 5、风险紧迫性评估,风险
29、概率,风险概率值: 没有可能(0) 确定(1) 风险概率度量: 高、中、低 极高、中、低、极低 不可能,不一定,可能和极可能 等等,风险后果(影响),风险后果 风险影响项目目标的严重程度 从无影响到无穷大 风险后果度量 高、中、低 极高、中、低、极低 灾难,严重,轻微,可忽略 等等,风险概率及后果估计-矩阵图,风险评估指数矩阵实例,风险概率与影响评估,风险概率评估旨在调查每个具体风险发生的可能性。风险影响评估旨在调查风险对项目目标(如进度、成本、质量或性能)的潜在影响,既包括威胁所造成的消极影响,也包括机会所产生的积极影响。,风险数据质量评估,定性风险分析要具有可信度,就应该使用准确和无偏倚的
30、数据。风险数据质量分析就是评估有关风险数据对风险管理的有用程度的一种技术。它考察人们对风险的理解程度,以及考察风险数据的准确性、质量、可靠性和完整性。如果数据质量不可接受,就可能需要收集更高质量的数据。,风险紧迫性评估,可以把近期就需应对的风险当做更紧急的风险。风险应对的时间要求、风险征兆和预警信号,以及风险等级等,都是确定风险优先级应考虑的指标。在某些定性分析中,可以综合考虑风险的紧迫性以及从概率影响矩阵中得到的风险等级,从而得到最终的风险严重性级别。,风险定性分析的输出,1、风险记录(更新) 按优先级排列; 按种类分组; 需近期响应的风险列表; 需进一步分析和应对的风险; 低优先级风险的监
31、视表; 风险定性分析的趋势;,本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控 18.8 主要风险追踪,定量风险分析,指对定性分析过程中作为对项目需求存在潜在重大影响而排序在先的风险进行分析。是对风险事件的影响进行分析,并就风险分配一个数值。 定量风险分析是在不确定情况下进行决策的一种量化方法。该过程采用蒙特卡罗模拟与决策树分析等技术。,定量风险分析的输入,1、组织过程资产 2、项目范围说明书 3、风险管理计划 4、风险登记册 5、项目管理计划 *项目进度管理计
32、划 *项目费用管理计划,定量风险分析的工具和技术,1、数据收集和表示技术 访谈; 概率分布; 专家判断; 2、定量风险分析和模型技术 灵敏度分析; 期望货币价值分析(EMV);决策树分析; PERT方法;蒙特卡洛分析; 建模和仿真;,访谈,访谈技术可以量化对项目目标造成影响的风险概率和后果 确定概率分布模型 领域专家访谈,信息采集 乐观值、悲观值、最可能值 方差、标准差,盈亏平衡分析,确定项目的盈亏平衡点。盈亏平衡点越低,项目盈利机会越大,亏损的风险越小。,期望货币价值 expected monetary value EMV,分析是当某些情况在未来可能发生、也可能不发生时,计算平均结果的一种统
33、计方法(即不确定性下的分析)。机会的EMV 通常表示为正值,而风险的EMV则表示为负值。EMV 是建立在风险中立的假设之上的,既不避险,也不冒险。把每个可能结果的数值与其发生的概率相乘,再把所有乘积相加,就可以计算出项目的EMV。这种技术经常在决策树分析中使用。是一种不确定条件下的分析方法。它首先分析和估计风险事件发生的概率和风险事件可能产生的收益/损失,然后将二者相乘,得出风险的期望值。 独立统计概念。一个事件的发生和另一个事件的发生不存在任何联系,如果一组互斥的可能事件是相互独立的,那么它们的概率和为1。,决策树分析,决策树分析是一种图表分析方法 提供项目所有可供选择的行动方案,行动方案之
34、间的关系,行动方案的后果以及发生的概率 提供选择一个最佳的方案的依据,决策树分析与EMV ( Expected Monetary Value),损益期望值是决策树的一种计算值。 根据风险发生的概率计算出一种期望的损益。 机会的期望货币值表示为正数,风险的期望货币值表示为负数。,决策树分析例子风险值?,EMV=0,失败:P=30%, outcome= -200,000,成功:P=70%,高性能:P=30%, outcome=550,000 EMV=550,000* 30%=165000,低性能:P=70%, outcome=- 100,000 EMV=-100,000* 70%=-70000,E
35、MV=95,000*70%=66500,实施后:EMV=6,500,不实施,EMV=-200,000*30%=-60000,决策树分析例子,计算分析因子,人们通常按照高中低来描述风险概率或结果,计算分析因子就是代表各种具体事件的整体风险的数字(基于其发生的概率和对项目造成的结果),这项技术使用概率和影响矩阵,显示风险发生的概率或可能性,以及风险的影响或结果。,蒙特卡罗(Monte Carlo)分析,也叫随机模拟法。 这种方法的基本思想是人为地造出一种概率模型,使它的某些参数恰好重合于所需计算的量;又可以通过实验,用统计方法求出这些参数的估值;把这些估值作为要求的量的近似值。,蒙特卡罗(Mont
36、e Carlo)分析,项目管理中蒙特卡罗模拟方法的一般步骤是: 1、对每一项活动,输入最小、最大和最可能估计数据,并为其选择一种合适的先验分布模型; 2、计算机根据上述输入,利用给定的某种规则,快速实施充分大量的随机抽样; 3、对随机抽样的数据进行必要的数学计算,求出结果; 4、对求出的结果进行统计学处理,求出最小值、最大值以及数学期望值和单位标准偏差; 5、根据求出的统计学处理数据,让计算机自动生成概率分布曲线和累积概率曲线(通常是基于正态分布的概率累积S曲线); 6、依据累积概率曲线进行项目风险分析。,量化检查表,量化通过检查表识别的风险的发生概率和影响程度 确定风险(危害)值,量化检查表
37、,风险评估,评估风险发生的概率: 可以项目组人员分别评估,然后取平均值 评估风险发生的影响: 评估每个风险因素 确定影响类别 求得平均的风险因素影响类别的整体影响值,SEI风险分析图,SEI风险分析结果,30%: Product Engineering 33%: Development Environment 37%: Program Constraints,Product Engineering,Requirements:53% Design : 27% Integration and Test: 14% Engineering Specialties:6 % Code and Unit t
38、est: 2%,Requirements,Completeness: 36% Stability: 21% Feasibility:14 % Validity: 10% Precedent: 8% Scale: 7% Clarity: 4%,其它量化检查表法,The Standish Group 开发一个 基于潜在风险分析的IT项目成功可能性的分数表 McFarlan 开发一个问答表帮助评估风险,Information Technology Success Potential Scoring Sheet,McFarlans Risk Questionnaire,灵敏度(敏感性)分析,该分析是在
39、所有其他不确定性要素保持其基准值的前提下,考察每个项目要素的不确定性对项目目标的影响的程度。 有助于确定哪种风险最有可能对项目产生影响。常用的显示方式是龙卷风图。,建模与仿真,项目模拟用一个模型,将详细规定的各项不确定性换算为它们对整个项目层次上的目标所产生的潜在影响; 项目模拟一般采用蒙特卡罗技术; 对于费用风险分析,模拟可用传统的项目工作分解结构或费用分解结构作为模型; 对于进度风险分析,可用紧前关系绘图法(PDM)进度;,定量风险分析的输出,1、风险记录(更新) 项目可能性分析; 实现成本和进度目标的可能性; 已量化风险的优先级列表; 定量风险分析结果中的趋势;,风险评估的结果,风险表:
40、 项目风险的来源,类型 项目风险发生的可能时间、范围 项目风险事件带来的损失 项目风险可能影响的范围 项目风险的排名,风险评估结果实例,本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控 18.8 主要风险追踪,风险应对,通过开发备用的方法、制定某些措施以提高项目成功的机会,同时降低失败的威胁。 包括确认与指派风险应对负责人,对已得到认可并有资金支持的风险应对措施担负起责任。 风险应对措施必须适合风险的重要性水平,能经济有效的迎接挑战,必须在项目背景下及时和现实可
41、行。,风险应对,针对风险分析的结果,为提高实现项目目标的机会,降低风险的负面影响而制定风险应对策略和应对措施的过程,即制定一定的行动和策略来对付、减少、以至于消灭风险事件,降低风险的主要策略,回避风险 转移风险 损失控制 自留风险,-回避风险,回避风险是对所有可能发生的风险尽可能的规避,采取主动放弃或者拒绝使用导致风险的方案。指改变项目计划,以排除风险或条件,或者保护项目目标,使其不受影响,或对受到威胁的一些目标放松要求。 例如变更项目管理计划、放弃采用新技术,从而消除风险或风险产生的条件。,-回避风险,注意事项 对风险有足够的认识。 当其他风险策略不理想的时候,可以考虑。 不是所有的情况都适
42、用的。 可能产生另外的风险。,-转移风险,转移风险是为了避免承担风险损失,有意识将损失或与损失有关的财务后果转嫁出去的方法: 控制型非保险转移 出售 分包 开脱责任合同 财务型非保险转移 免责约定 保证条款 保险,-损失控制(减轻),指设法把不利的风险事件的概率或者后果降低到一个可接受的值。 损失预防:指损失发生前为了消除或减少可能引起风险的各种因素而采取的各种具体措施。 损失抑制:指风险发生时或风险发生后为了缩小损失幅度所采用的各种措施。,-自留风险(接受),由项目组织自己承担风险事故所致损失的措施。 自留风险的类型 主动自留风险和被动自留风险 最常见的主动接受风险方式是制定应急储备金; 被
43、动的接受风险不要求采取任何行动,将其留给项目团队,待风险发生时相机处理; 全部自留风险和部分自留风险,风险应对计划的输入,1、风险管理计划 2、风险记录,风险应对计划的工具和技术,1、消极风险或威胁的应对策略 2、积极风险或机会的应对策略 3、威胁或机会的应对策略 4、应急应对策略,负面风险应对策略,避免 转移 减轻,正向风险的应对策略,开拓 分享 强大,应急应对策略,可以针对某些特定事件,专门设计一些应对措施。对于有些风险,项目团队可以制定应急应对策略,即只有在某些预定条件发生时才能实施的应对计划。如果确信风险的发生会有充分的预警信号,就应该制定应急应对策略。应该对触发应急策略的事件进行定义
44、和跟踪,如未实现阶段性里程碑,或获得供应商更高程度的重视。,风险应对计划的输出,1、风险记录(更新) 2、项目管理计划(更新) 3、与风险相关的合同协议,风险记录,已识别的风险及其描述; 风险责任人及其职责; 定量定性风险分析的结果; 一致认同的应对策略; 执行策略的具体活动; 风险发生的预警信号; 风险应对所需的预算和时间; 时间和成本应急储备; 启动应急计划的触发条件; ,风险应对的一些术语,应急预案 备用计划 应急补助 储备技术,风险管理应对计划,实例,人员的频繁流动是一项风险,基于过去的历史和管理经验,频繁流动可能性的估计值为0.7,开发时间增加15%,总成本增加12%,为了缓解这一风
45、险,项目经理是采取的策略:,实例-采取的策略,与现有人员讨论人员流动的原因 项目开始,把缓解这些原因的工作列入管理计划 项目启动时,做好会出现人员流动的准备,采取一些技术以确保人员的一旦离开后,项目仍然能继续 建立良好的项目组织和通信渠道,以使大家能够了解每个有关的开发活动的信息 指定文档标准并建立相应的机制,以保证文档能够及时建立 对所有工作组织细致的评审,使大多数人能够按计划进度完成自己的工作 对每个关键性的技术人员,要培养其工作的后备人员,风险策略说明,大型项目3040个风险,每个风险有3-7步骤,风险管理本身就是一个项目. 80/20规律(Pareto规则):所有项目风险的80%能够通
46、过20%的已经识别的风险说明,软件项目常见风险应对,需求不明确 (1) 让用户参与开发 (2) 开发用户界面原型 (3) 需求讨论会议 (4) 强化需求分析与评审,软件项目常见风险应对,项目缺少可见性 (1) 迭代开发 (2) 技术评审 (3) 持续集成 新技术引入 (1) T形软件开发 (2) 充分论证 (3) 同行经验,软件项目常见风险应对,技术兼容性风险 (1) 设计先行 (2) 售前产品测试 性能问题 (1) 性能规划 (2) 性能测试 (3) 充足的调试时间,软件项目常见风险应对,仓促上线 (1) 应急预案 (2) 分步切换 (3) 交叉培训 可用性问题 (1) 了解用户 (2) 参
47、与型设计 (3) 竞争性分析 (4) 一致性,本章要点,18.1 风险和项目风险管理 18.2 风险管理计划编制 18.3 风险识别 18.4 风险定性分析 18.5 定量风险分析 18.6 风险应对计划编制 18.7 风险监控 18.8 主要风险追踪,风险监控,指识别、分析和规划新生风险、追踪已识别风险和“观察清单”风险,重新分析现有风险,监测应急计划的触发条件,监测残余风险,审查风险应对策略的实施并评估其效力的过程。 风险应对负责人应当定期向项目经理汇报计划的有效性、未曾预料的后果,以及为适当应对风险所需采取的中途纠正措施。,风险监控,监控与项目、产品有关的风险;监控与过程有关的风险;,风
48、险监控的主要目标,努力及早识别风险; 努力避免风险事件的发生; 积极消除风险事件的消极后果; 充分吸取风险管理中的经验与教训。,权变措施,指对以往未曾识别或未曾接受的风险采取未经计划的应对措施。 权变措施应恰当地记载并纳入到项目计划和风险应对计划中去。好的战略管理的一个基本前提就是企业能够提前提出有利及不利事件的应对措施。 权变措施可以定义为在特定关键时间未能按照预期设想发生时可以生效执行的替代计划。只有那些优先级次很高的领域才需要权变计划做保证。 权变计划法全面考虑各种危机,属于综合性的计划。编制方法可以是利用头脑风暴法等搜集信息的方法,查找出公司可能遇到的危机,聘请专家咨询,群策群力,商量
49、出解决方案,并形成书面的计划。一旦事先预料到的危机发生,就可以有备无患,按照已制定好的危机处理计划采取行动。,风险监控的输入,1、风险管理计划 2、风险记录 3、批准的变更请求 4、工作绩效信息 5、绩效报告,风险监控的工具和技术,1、风险再评估 2、风险审计 3、偏差和趋势分析 4、技术绩效衡量 5、储备金分析 剩余储备金与剩余风险进行比较 6、状态审查会,风险再评估,监控风险经常需要识别新风险,对现有风险进行再评估以及删去已过时的风险。应该定期进行项目风险再评估。反复进行再评估的次数和详细水平,应该根据相对于项目目标的项目进展情况而定。,风险审计,通过风险审计,检查并记录风险应对措施在处理已识别风险及其根源方面的有效性,以及风险管理过程的有效性。项目经理要确保按项目风险管理计划所规定的频率来实施风险审计。既可以在日常的项目审查会中进行风险审计,也可单独召开风险审计会议。在实施审计前,要明确定义审计的格式和目标。,技术绩效衡量,技术绩效测量是把项目执行期间所取得的技术成果与项目管理计划所要求的技术成果进行比较。它要求对技术绩效的量化测量指标进行定义,以便据此比较实际结果与计划要求。这些技术绩效测量指标可包括重量、处理时间、缺陷数量和存储容量等。偏差值(如在某里程碑时点,实现了比计划更多或更少的功能)有助于预测项目范围方面的成功程度,还能揭示项目面临的技术风险程度。,
