第 11 章 IT软件项目风险管理 (2次、4课时)
第11章 IT软件项目风险管理 11.1 风险与风险管理 11.2 风险管理组织 11.3 风险识别 11.4 风险估计 11.5 风险评价 11.1 风险与风险管理 11.2 风险管理组织 11.3 风险识别 11.4 风险估计 11.5 风险评价 11.6 风险管理策略 11.7 风险驾驭和监控 11.8 思考题
11.1 风险与风险管理 11.1.1 风险的基本概念 11.1.2 项目风险 11.1.3 风险分类 11.1.4 风险成本 11.1 风险与风险管理 11.1.1 风险的基本概念 11.1.2 项目风险 11.1.3 风险分类 11.1.4 风险成本 11.1.5 项目风险管理
11.1.1 风险的基本概念 什么是风险? 狭义的风险:是指“可能失去的东西或者可能受到的伤害”,即在从事任何活动时可能面临的损失。 11.1.1 风险的基本概念 什么是风险? 狭义的风险:是指“可能失去的东西或者可能受到的伤害”,即在从事任何活动时可能面临的损失。 广义的风险:是一种不确定性,使得在给定的情况和特定时间下,所从事活动的结果有很大的差异性,差异越大,风险也越大,所面临的损失或收益都可能很大,即风险带来的不都是损失,也可能存在机会。 风险的本质——不确定性和损失。
11.1.1 风险的基本概念 风险具有下列基本因素: 事件或者风险事件 事件发生 风险的原因 风险的可变性
11.1.2 项目风险 项目的一次性特点,使得项目的不确定性比其他的一些活动更大,因此,项目风险的可预测性也就更差。 11.1.2 项目风险 项目的一次性特点,使得项目的不确定性比其他的一些活动更大,因此,项目风险的可预测性也就更差。 在进行IT 项目风险分析时,重要的是要量化不确定性因素的不确定性程度,量化每个风险的损失程度。 风险分析实际上就是贯穿在项目开发过程中的一系列管理步骤,其中包括风险识别、风险估计、风险管理策略、风险解决和风险监控等,这使得项目管理者能主动“攻击”和“消除”风险。 项目风险贯穿整个项目的生命周期,在项目的不同阶段有不同的风险,并且风险会随着项目的进展而变化,不确定性也会相应减少。
11.1.3 风险分类 根据风险内容将风险分为: 技术风险:如果项目采用了复杂的或者高新的技术,或者采取了非常规的方法,就存在一些潜在的问题。另外,如果技术目标制定过高,技术标准发生变化等也可能造成技术的风险发生。 管理风险:在IT项目中,进度计划制定和资源配置不合理,计划草率且质量控制差,项目管理的基本原则使用不当等,都可能带来管理的风险。 组织风险:常见的是组织内部对目标未达成一致,高层对项目不重视,资金不足,项目组织的人员结构不合理或者与其他项目有资源冲突等,都是潜在的组织风险。 外部风险:法律法规的变化,与项目相关各方的情况发生变化,这些事件和外部环境变化往往是不可控制的。但注意,一般将不可控制的“不可抗力”不作为风险,这些事件往往作为灾难防御。
11.1.4 风险成本 定义:风险发生时,可能会给项目带来损失或者损害,为防止风险的发生或者减少风险发生时造成的损失,必须采取一些预防措施,必须支付为此而产生的费用,这就是风险成本。 分类:风险成本包括有形的成本、无形的成本以及为预防和控制风险的费用。 预防:为了预防和控制风险的发生与损失,必须在项目的各个阶段采取必要的措施。
11.1.5 项目风险管理 风险处理有3种方法: 风险控制法,即主动采取措施避免风险,消灭风险,中和风险或者采用紧急方案降低风险。 11.1.5 项目风险管理 风险处理有3种方法: 风险控制法,即主动采取措施避免风险,消灭风险,中和风险或者采用紧急方案降低风险。 风险自留,当风险量不大时可以余留风险。 风险转移。
11.1.5 项目风险管理 风险管理的达成包含3个要素: 第一,项目规划中必须包含如何进行风险管理。 11.1.5 项目风险管理 风险管理的达成包含3个要素: 第一,项目规划中必须包含如何进行风险管理。 第二,项目预算中必须包含解决风险所需要的经费。如果没有经费支持,就无法达到风险管理的目标。 第三,评估风险时,风险的影响也应该纳入项目规划中。
11.2 风险管理组织 11.2.1 风险管理组织的作用 11.2.2 项目风险管理组织的组成
11.2.1 风险管理组织的作用 IT软件项目风险管理组织有广义和狭义之分 : 11.2.1 风险管理组织的作用 IT软件项目风险管理组织有广义和狭义之分 : 从广义上讲,IT软件项目风险管理组织包括有关项目风险管理的组织结构、组织活动以及两者之间的相互关系的规章制度。 从狭义上讲,IT软件项目风险管理组织就是实现项目管理目标的组织结构。
11.2.2 项目风险管理组织的组成 表现形态上有直线型、职能型和直线+职能型等形式: 11.2.2 项目风险管理组织的组成 表现形态上有直线型、职能型和直线+职能型等形式: 小型项目的团队成员一般较少,风险管理组织应该采取直线型。 大中型项目的人财物及环境都更为复杂,所面临的风险也比小型项目复杂得多。一般采用职能型风险管理组织。 目前直线+职能型风险管理组织这种组织机构模式被广泛采用。
11.3 风险管理组织 11.3.1 风险识别及其方法 11.3.2 风险条目检查表 11.3.3 分解分析法 11.3 风险管理组织 11.3.1 风险识别及其方法 11.3.2 风险条目检查表 11.3.3 分解分析法 11.3.4 风险识别的注意事项
11.3.1 风险识别及其方法 风险识别可以采用以下方法: 11.3.1 风险识别及其方法 风险识别可以采用以下方法: 头脑风暴法。项目组成员、外聘专家、客户等各方人员组成一个小组,根据经验列出所有可能的风险。 专家访谈法。向该领域专家或者有经验的人员了解项目中可能会遇到哪些困难。 历史资料法。通过查阅类似项目的历史资料了解可能出现的问题。 检查表法。将可能出现的问题列出清单,可以对照清单条目检查潜在的风险。 评估表。根据历史经验进行总结,通过调查问卷的方式收集和判别项目的整体风险和风险的类型。 分解分析法。将大系统分解成小系统,将复杂的事物分解成简单的、易于认识的事物,从而识别风险及其潜在的损失。
11.3.2 风险条目检查表 软件项目一般有如下5类风险的条目检查: 1. 产品规模风险 2. 需求风险 3. 相关性风险 4. 管理风险 11.3.2 风险条目检查表 软件项目一般有如下5类风险的条目检查: 1. 产品规模风险 2. 需求风险 3. 相关性风险 4. 管理风险 5. 技术风险
11.3.3 分解分析法 将大系统分解成小系统,将复杂的事物分解成简单的易于认识的事物,从而识别风险及其潜在损失。 测量错误 11.3.3 分解分析法 将大系统分解成小系统,将复杂的事物分解成简单的易于认识的事物,从而识别风险及其潜在损失。 测量错误 不正确的药物交付管理 错误时间的交付 交付系统失败 计算错误 算法错误 交付时间错误 信号错误 运算规则错误 图11.1 交付系统故障树 传感失败
11.3.4 风险识别的注意事项 应该注意以下一些事项: 11.3.4 风险识别的注意事项 应该注意以下一些事项: 现场观察。风险管理者必须亲临现场,直接观察现场的各种设施的使用和运行情况,以及环境条件情况。通过对现场的考察,风险管理者可以更多地发现和了解项目面临的各种风险,有利于更好地运用上述方法对风险进行识别。 与项目其他团队密切联系和配合。风险管理者应该与本项目的其他团队保持密切联系,及时交换意见,详细了解各个团队的活动情况。除了从其他团队听取口头报告和阅读书面报告外,还应与项目的负责人、专家和小组成员广泛接触,以便及时发现在这些团队的各种活动中可能存在的潜在损失。 做好资料保管工作。风险管理者应注意将从各方面收集到的资料进行分类,妥善保存,这有助于项目风险管理的决策与分析。
11.4 风 险 估 计 11.4.1 风险估计概述 11.4.2 建立风险条目清单 11.4.3 风险评估 11.4.4 估计损失的大小 11.4 风 险 估 计 11.4.1 风险估计概述 11.4.2 建立风险条目清单 11.4.3 风险评估 11.4.4 估计损失的大小 11.4.5 估计损失的概率
11.4.1 风险估计概述 在项目实际工作中,比较实用的两种方法是: 11.4.1 风险估计概述 在项目实际工作中,比较实用的两种方法是: 定性评估。将发生概率和影响力分成3~5级,如VL、L、M、H、VH。通过相互比较确定每个风险事件的等级,然后通过分布图来识别风险。 评分矩阵。将风险事件的发生概率和影响力用0~1之间的数字进行描述,然后找出那些“概率×影响力”乘积大的事件。
11.4.2 建立风险条目清单 可忽略的风险因素 很高 影 响 很低 发 1.0 高 管 图11.2 风险和管理的考虑 理 的 考 虑 生 11.4.2 建立风险条目清单 可忽略的风险因素 很高 影 响 很低 发 1.0 高 管 图11.2 风险和管理的考虑 理 的 考 虑 生 概 率
11.4.3 风险评估 定义风险的参照水准 : 估计进度延迟 图11.3 风险参照水准 临界点 项目终止 估计成本超支
11.4.4 估计损失的大小 风险ri 损失概率li 损失大小xi/周 期望风险yi/周 计划过于乐观 50% 5 2.5 表11.1 风险评估表的例子 11.4.4 估计损失的大小 风险ri 损失概率li 损失大小xi/周 期望风险yi/周 计划过于乐观 50% 5 2.5 自动从主机更新数据的额外需求 5% 20 1.0 由市场部门增加额外的功能 35% 8 2.8 图形子系统接口不稳定 25% 4 设计欠佳——需要重新设计 15% 15 2.25 项目审批花费时间比预期的要长 设施未能及时到位 10% 2 0.2 为管理层撰写进程报告占用开发人员的时间比预期的多 1 0.1 签约商的图形子系统推迟交付 10%~20% 0.4~0.8 新的编程工具没有节省预期时间 30% 1.5
11.4.5 估计损失的概率 提高主观评估的准确度方法有: 由最熟悉系统的人评估每个风险的发生概率,然后保留一份风险评估审核文件。 11.4.5 估计损失的概率 提高主观评估的准确度方法有: 由最熟悉系统的人评估每个风险的发生概率,然后保留一份风险评估审核文件。 使用Delphi法或者少数服从多数法。使用Delphi法时,必须要求每个人对每个风险进行独立的评估,然后讨论(口头或者书面的形式)每个评估的合理性,特别是最高和最低的那个。经过多轮的讨论,直到达成共识。 使用“可能性标准”。首先让每个人用表示可能性的词语来选择风险的级别,如“非常可能”、“很可能”、“可能”、“或许”、“不太可能”、“不可能”和“根本不可能”,然后把可能性的评估转换为量化的评估。
11.5 风 险 评 价 11.5.1 项目风险评价的依据 11.5.2 风险评价的主要活动
11.5.1 项目风险评价的依据 主要依据3个因素: 风险描述 风险概率和风险影响 成本、进度及性能
11.5.2 风险评价的主要活动 进行项目风险评价的主要活动有: 确定项目评价基准。根据项目的目标确定单个风险和整体风险的评价基础。 11.5.2 风险评价的主要活动 进行项目风险评价的主要活动有: 确定项目评价基准。根据项目的目标确定单个风险和整体风险的评价基础。 确定整体风险水平。了解各单个风险之间的内在联系、相互影响和转化条件。 比较风险水平和评价基准。比较单个风险项目水平和单个评价基准与整体风险水平和整体评价基准,确定风险是可以接受、不可以接受还是根本就不可行。
11.6 风险管理策略 11.6.1 风险管理策略的基本概念 11.6.2 风险管理策略的措施
11.6.1 风险管理策略的基本概念 风险管理策略:就是在风险分析活动中,辅助项目组处理项目风险的策略。一个较好风险管理策略应满足以下要求: 11.6.1 风险管理策略的基本概念 风险管理策略:就是在风险分析活动中,辅助项目组处理项目风险的策略。一个较好风险管理策略应满足以下要求: 在项目开发中规划风险管理,尽量避免风险。 指定风险管理者,监控风险因素。 建立风险条目清单及风险管理计划。 建立风险反馈机制和渠道。
11.6.2 风险管理策略的措施 应对风险的程序和方法主要有以下4种: 11.6.2 风险管理策略的措施 应对风险的程序和方法主要有以下4种: 规避。通过变更项目计划,消除风险或者风险的触发条件,使目标免受风险事件发生的影响。这是一种事前的风险应对策略。例如,采用更加熟悉的工作方法,澄清不明确的需求,增加资源和时间,减少项目的工作范围,尽量避免与不熟悉的分包商签约等。 转移。这种策略不消除风险,而是将项目风险的结果连同应对的权力转移给第三方(第三方应该知道这是风险并具有承受能力)。这也是一种事前的应对策略,例如,签订不同种类的合同,或者签定补偿性合同等。 弱化。将风险事件的概率或者结果降低到一个可以接受的程度,当然降低风险发生的概率更为有效。例如,选择更简单的流程,进行更多的实验,建造原型系统,增加备份设计等。 接受。指不改变项目计划或者没有合适的策略能有效地在事前应对风险,而考虑风险发生后如何应对的问题。例如,制定应急计划,进行应急储备和监控,然后,等待风险事件发生时再随机应变。
11.7 风险驾驭和监控 11.7.1 风险的驾驭与监控原理 11.7.2 风险驾驭和监控方法
11.7.1 风险的驾驭与监控原理 图11.4 风险的驾驭与监控 风险分析数据[r1 , l1 , x1 , y1] 风险驾驭活动l 风险l 11.7.1 风险的驾驭与监控原理 风险分析数据[r1 , l1 , x1 , y1] 风险驾驭活动l 风险的驾驭与监控计划 风险的驾驭与监控 风险k 风险l 风险n 风险分析数据[rk , lk , xk , yk] 风险驾驭活动k 风险分析数据[rn , ln , xn , yn] 风险驾驭活动n 图11.4 风险的驾驭与监控
11.7.2 风险驾驭和监控方法 常用的风险驾驭与监控方法有: 11.7.2 风险驾驭和监控方法 常用的风险驾驭与监控方法有: 风险审计:专人检查风险监控机制是否得到执行,并定期做风险审核,在大的阶段点重新识别风险并进行分析,对没有预计到的风险制定新的应对计划。 偏差分析:与基准计划比较,分析成本和时间上的偏差。例如,未能按期完工、超出预算等都是潜在的问题。 技术指标:比较原定技术指标与实际技术指标之间的差异。例如,测试未能达到性能要求,缺陷数大大超过预期等。
11.7 思 考 题 参见教材187页