风险管理成熟度模型框架(编译稿)

1、风险管理成熟度模型框架（编译稿）1风险管理成熟度模型成熟度模型被很好地开发和接受，卡耐基-梅隆大学的软件工程研究院（SEI）开发了个软件组织能力成熟度模型（CMM）和一个系统工程组织能力成熟度模型（CMMI）。这些模型定义了增加能力和成熟度的五个等级，分别是起步（第一级）、可重复（第二级）、界定（第三级）、管理（第四级）和优化（第五级）。每级被清晰地定义和描述，使得组织能够在可接收范围内自我评估。认识到自身的CMM等级，组织能够清晰地设定改进目标，瞄准下能力和成熟度等级。尽管SEICMMI很好地建立，但其应用受限于总体的扩散能力。充分应用CMMI模型（包括个风险管理成熟度模型）需要巨量的资源和

2、整个系统工程流程的体化。本报告概述的RMMM特别地关注风险管理，并提供一个比正式的CMMI评估更容易实现的不太正式的方法，个般性的专注风险的成熟度模型。试图为希望执行正式的风险流程或者改进其现有方法的组织提供帮助。它应该适用于任何行业、政府或商业部门的各种项目和组织。RMMM被设计为一种诊断工具而不是一个用于执行的常规模型。如果组织期望使用成熟度模型，作者建议或者使用EIA/IS-731.1或者使用CMMI-SE/SW于管理系统。RMMM包括估计成熟度的四个等级，与其他模型等级比较如下表所示：表一：成熟度模型等级比较等级RMMMCMMI-SE/SWEIA/IS-731.10AdHoc特定级In

3、complete不完全的Initial起步1Initial起步级Performed运行Performed运行2Repeatable可重复级Managed管理Managed管理3Repeatable可重复级Defined界定Defined界定4Managed管理Managedquantitatively量化管理Measured计量5Managed管理Optimizing优化Optimizing优化RMMM提供了一个框架，允许组织以成熟度的四个标准等级为基准开展风险管理，并概述了过渡到下一等级的必要的活动。在此描述的风险管理成熟度模型（RMMM）为那些希望发展或改善他们的风险管理方法、并为增进其风

4、险成熟度开发行动计划的组织提供了清晰的指引。概要描述了四个RMMM等级，随后是对当前等级的诊断的指引，而且还讨论了发展到下成熟度等级的战略。2风险管理成熟度模型框架组织风险管理流程的成熟度可被分组，从完全无正式流程到风险管理充分整合组织的所有方面。为了表达这一点，本报告中描述的风险管理成熟度模型RMMM）提供了四个标准等级的风险成熟度（如图一）。与所有模型一样，预期某些组织可能不完全适合这一分类，但是，RMMM等级充分界定了适用于大部分组织的差异。一般认为，超过四个等级的分类在不对模型给出任何更加精确条件的情况下，将会增加歧义。RMMM等级描述如下：2.1第一级：特定级（英雄崇拜）在特定级，组

5、织不清楚风险管理的需要，而且没有建构方法来应对不确定性，导致每一项目或运营出现一系列危机。如果存在风险管理，管理和工程过程也是重复的和反应性的，也很少或者从不试图从过去的项目中学习，或为未来的不确定性做出准备。从不试图定义项目风险，或者开发减轻风险或应变计划。处理问题的正常方法是在问题发生之后应对而无前瞻性的思考。在危机之时，典型的应对方案是放弃计划并从好的方面着想。项目成功依赖于有一个优异的管理者和一个成熟和有效率的团队。有时候，在项目期间，有能力而且强势的管理者能够识别并根据减轻风险的原则行事；但当他们离开时，他们的影响也随之而去。甚至，一个强有力的工程过程不能克服风险管理实践的缺失所带来

6、的不稳定性。尽管这一应对危机管理的混沌过程，第一级组织常常开发有效的产品，即使他们通常超过他们的原始预算和计划，甚至不包含所要求的全部原始功能。第一级组织的成功依赖于组织中的人们的个人能力和英雄主义，除非新的项目被分配给同一个人，否则成功不可能再现。因此，在第一级，能力是个人特征而非组织特点。注意到，在这一成熟度模型中，最困难的一步是从第一级进入第二级。因为所有的管理程序和活动必须重新组合，也可能是由于缺乏对需要变革的理解。一个特定级的组织可能缺乏对存在问题的任何感觉或认识。在成熟度的更高级别，组织和项目管理对不确定性更加清晰，而且能够采取任何必要的减轻或者临时行动。这一清晰度使得管理能够在某

7、些事情走入歧途之前采取行动，或者在某些事情走入歧途时有合适的应对计划。成熟度级别的差异也可描述为精确地识别和前瞻性地应对不确定性的能力。当组织提升成熟度级别水平时，风险识别变得更加准确，而且必须的减轻/临时行动变得更加清楚。2.2第二级：起步（试用）在起步级，组织试验应用风险管理，通常通过在特定的项目中少量被任命个人实施。在这一级别，组织是非正式的或者适当地构建风险管理过程。在某些级别，尽管组织意识到管理项目风险的潜在收益，却没有有效地执行组织范围的可执行流程。某些项目，包括任命人员，从过去的错误中吸取经验教训，然而，不存在可执行的方法以提供学会所有组织项目的课程。风险管理在这一点上可被描述为

8、组织共同经验的结晶的开端。组织意识到能够从过去不得用于商业用途的错误中吸取经验教训，但知识仍然不是成型的，也没有任何结构以保证其一以贯之地应用于组织的全过程。2.3第三级：可重复（计划工作，按计划工作）在可替代级，组织在常规业务流程中执行风险管理，而且全部在大多数项目中执行风险管理。一般性的风险政策和流程已经是成型和范围广泛的，而且组织的各个层级都清楚其益处，尽管他们不可能始终如一地在所有的案例中实现。计划和管理新项目是基于同类项目的经验。风险管理能力由于在项目上的基本的风险管理训练而增强。通过已经被定义、文件化、实践、培训、测量、强制实施和改进的流程，项目执行风险管理。所有的项目有一个指定的

9、风险经理。对于小项目，项目经理和风险经理的角色可能由同一个人担任，但对于较大的项目风险经理与项目经理是完全分开的。在第三级的项目做出基于对以前的项目和对当前项目已识别的风险的评价结果的可行的项目承诺。项目风险经理跟踪成本、日程安排、功能性和质量，以及被识别的满足承诺过程中的出现问题。项目风险经理与其客户和分包商（如果有）一起建立一个有效的顾客供应商关系。在第三级组织中，风险管理流程在不同的项目之间可能会有区别。对实现第三级的组织的要求是存在组织层面的政策，以指导项目建立适当的管理流程。具有第三级风险管理能力的组织可被概括为训练有素的，因为项目的计划和跟踪是稳定的，而且早期的成功经验可被重复。项

10、目的风险管理流程受项目管理系统、基于前期项目的绩效的可行计划的控制。2.4第四级：管理（衡量工作，使衡量产生效果）在管理级别，组织已经建立了风险意识（而不是风险规避）文化，要求对组织各个方面风险进行管理的前置方法。风险信息不断被发现、积极用于改进组织流程以及增加项目和运营成功的可能性。标准的风险管理流程用书面文件表述并用于整个组织。在第三级确定的流程被应用（在合适时候被修改）以帮助组织的项目和运营管理者以及技术团队更有效地履行职务。组织内的一组员工被任命承担风险管理职责，这一正式任命提供了一个在项目沟通渠道或运营管理结构之外的组织管理的非正式沟通渠道。一个组织范围的培训计划被执行以确保团队和管

11、理者具有履行它们指定的角色所需的知识和技能。项目适应组织的标准风险管理流程和工具，已开发利用它们自己定义的说明项目的独有的个性的流程，这些流程是用于履行项目活动。一个定义的风险管理流程包括一系列连贯的、整合的、清晰可辨的风险辨识、评估、处理和监控工具和流程。一个清晰的流程可被描述为包括确定的准则、输入、履行工作的标准和程序、核查机制、输出以及执行准则。因为风险管理过程被很好地定义，管理部门能较好地观察项目或有运营的风险及其潜在影响。第四级组织的风险管理流程能力可总结为标准和持续，因为活动是稳定的、可重复的。在建立的产品线内，成本、日程表、功能性和质量风险是清晰的、受控的，而且风险降低状况可追踪

12、。这一流程能力是基于对一个确定的风险管理流程中的活动、职责以及责任的一般性的、组织范围的理解。开发最佳风险管理实践的变革是贯穿于组织之中的识别和转移。在第四级组织中的风险管理团队不断地分析过去项目的结果以测定准确的风险识别与实际的影响和原因。他们传播来自于组织的经验和教训。3确定组织成熟度等级每一风险管理成熟度模型（RMMM）等级的简要描述可表明，组织可根据风险流程的相对成熟度确定其位置。但是，对于风险管理流程成熟度的目标和持续评估，还需要更加详细的判断工具。表二介绍了特定组织在每一RMMM等级的基本特性，它通过文化、流程、经历和实际应用等四个方面来说明。这一突破使得组织能够以清晰的标准自我比

13、较，这一标准被许多专业的风险管理组织所接受，并用以评估其现行的发现成熟度等级。我们承认，某些组织可能横跨相继的RMMM等级之间的边界，但等级之间的间隔就是如此，在更多的案例中应该有清楚的区分，而且已经证明更多的组织被确定在单一等级是可行的。成熟度等级表中提及的特性范围在确定组织的成熟度等级类别时被执行。明确的特性的执行范围被评估：l对执行作出承诺（政策与领导力）l执行的能力（资源与培训）l执行活动（计划与程序）l衡量与分析（评估与状态）l执行结果的评价（监督与质量保证）表二：风险管理成熟度等级第一级：特定级（AdHoc）第二级：起步级（Initial）第二级：可重复级（Repeatable）第

14、四级：管理级（Managed）定义未认识到不确定性（风险）管理的需求；未构建处理不确定性的方法；重复和反应性的管理流程；很少甚至从不试图从过去的项目中吸取知识，或试着通过少数的个体来实施风险管理；没有在适当指出构建方法体系；意识到管理风险的潜在收益，但未有效地实行。不确定性管理成为所有组织流程的一部分；风险管理在大部分或所有项目中实行；规范化一般风险流程；了解所有组织等级的益处，尽管不一定稳定地实现。具有在组织各个方面的风险管理的前置方法的风险意识文化；积极运用风险信息改进组织流程并获得竞争优势。者为未来的项目做准备。文化没有风险意识；没有高层翁管理人员参与；抵制/不愿意变革；甚至在项目失败的

15、形势下仍然趋于继续现有流程；猎杀信使。风险流程可能被认为是具有或有收益的额外费用；高层管理者鼓励但不要求运用风险管理；风险管理仅仅用在经过选择的项目上。公认的风险管理政策；认识到并期望风险管理的利益；高层管理者要求风险报告；为风险管理提供专用的资源；“坏消息”风险信息被接受。自上而下的致力于风险管理，包括领导层；高层管理人员在决策过程中采用风险信息；鼓励和奖赏前置的风险管理；组织哲学接受人会犯错误的观点。流程没有正式的流程；没有风险管理计划或成型的流程存在；从不或者偶尔尝试使用风险管理准则；仅仅在顾客要求时尝试应用风险管理流程。没有一般性的正式流程，尽管可能使用某些具体的正式方法；流程的效果严

16、重依赖于项目风险小组的技能和外部支持的有效性；全部风险管理员工都在项目之中。般性流程应用在大多数项目中；正式的流程成为质量体系的一部分；所有层面都主动配置和管理风险预算；对外部支持有有限的需要；风险度量被汇集；关键供应商参与风险管理流程；从非正式沟通渠道到组织管理。基于风险的组织流程；风险管理文化贯穿整个组织；定期的流程评估与精炼；例行的风险度量被用于改善的持续反馈；关键的供应商和客户参与到风险管理流程；从直接的正式沟通渠道到组织管理。经验不了解风险原理或语言；不了解或没有实现风险程序的经验。仅限于可能有很少甚至没有正式培训的个人。内部的专门知识要点，在基本的风险管理技能方面的正式培训；开发和

17、运用具体的流程和工具。所有员工运用基本的风险技能的风险意识和能力；从经验中吸取经验是流程的组成部分；定期培训员工以增强技能。应用没有建构的应用；没有专门配置的资源；没有在使用中的风险管理工具；没有执行风险分析。不稳定地资源应用；仅仅使用定性风险分析。常规、持续应用到所有项目；专门配置的项目资源；整套的工具和方法；同时使用定性和定量风险分析方法。风险思想适用于所有活动；基于风险的报告和决策；艺术级的工具和方法；定性和定量风险分析方法重点用于有效的、可靠的历史数据资源；专门配制的组织资源。4成熟度级别之间的进步4.1一级到二级：特定级到起步一级成熟度的组织在其开始执行有效的风险管理时面临大量的问题

18、l最初，对于正式的风险管理流程、程序和技术没有清晰的了解，甚至不知道风险管理的语言和术语。l不清楚从正式的风险管理中能够获得收益的概念，而且执行这一流程的成本通常不被考虑。l在执行风险管理的过程衡中，或者当试图考虑组织规划和业务流程的风险管理能力时，没有内部的专家和经验。l至少，某些组织的项目和业务流程在任一给定的时间内处于危机之中，导致缺乏时间、能力或者资源来致力于建立和遵循一个新的流程。l组织的较高级别管理不可能被推进风险管理的任何人，无论内部还是外部，接受，由于他们不了解顾客，并缺乏任何记录或者判断预期收益的衡量标准。l它们也可能认为组织的流程和项目常常受到不确定性的影响的结果可能被看作

19、不足或技能缺乏的学费。l组织文化可能不对质量承担责任而且可能缺乏职业行为的观念。为了从特定级到初级，需要进行如下活动：l清晰地定义风险管理执行的目标，以使风险管理过程能够适当地设计与确定范围。l从经过确认的、在协助组织执行风险管理提供帮助方面有良好记录的外部专家处获得建议和指导。这些外部专家经过仔细的挑选，而且组织应该关注被鼓励采用一般性而不与其特定要求相匹配的解决方案。l定义一个特定的人力团队，以具有初步的工具、仔细选择和建立工作组雏形。l确保对小组充分的培训和支持，包括所有必要的风险技巧和技能，以保证他们能够担当智能顾客。l开始风险意识的简要介绍以推广风险管理愿景及其来自于对一线员工的自身

20、管理的整合项目组织的潜在利益。这些风险意识简介应当包括项目顾客和执行这一活动时可能遇到的分包商管理。l确保公司的支持，包括资深管理发起人的任命，以推动执行过程。l任命经仔细选择的风险管理的领导者以最大化尽早成功的机会。l宣传和表彰成功事迹，寻求发展风险过程中的动力，并激励其他项目和个人在他们的领域内致力于风险管理，当他们清晰地看到收益时。l制定识别风险管理的有效执行突然不能实现的长期计划。权衡执行项目的得失，并确保开始之前必要资源的承诺。l从一开始就建立对过程关键点的有效控制，以使得改进能够在关键时点被监控和评价，将监控和评价结果汇集并进行适当的度量。l考虑绘制具有关键输入和输出的模板的风险流

21、程图。l识别和应用诸如风险信息数据库等适当的项目风险管理工具。4.2二级到三级：起步到可重复二级成熟度的组织有许多个人（也许仅有一人）能有效地计划和应用风险管理流程和技巧。在该级，风险管理被看作一种在必要之处进行的额外的活动。因此，无论任何被各种项目采用的风险流程不可能被持续和广泛地使用。任何风险管理流程的应用都被限定在少数主要或重大项目。这就提出了许多达到第三级成熟度、正常化贯穿于整个组织的风险管理流程的应用需要克服的障碍。这里，应该注意到，某些组织选择留在二级成熟度水平，仅仅由经选择的项目上的内部团队担任风险管理职责。这种方式也不存在任何错误。如果收益相对于成本和付出的努力是值得，过渡到第

22、三级成熟度水平才进行。第二级成熟度的组织试图进步到第三级时所面临的一些问题如下：l缺乏组织范围的正式风险流程导致他们的应用和结果中的矛盾。l对少数内部职员的技能的依赖可能限制风险流程的整体效果，以及应用风险管理的现有项目和第一次尝试执行这一流程的项目之间的负面影响。l对执行风险管理缺乏支持可能导致理想破灭和低士气。l单个热衷者对风险管理的有限推动可能逐渐消弱风险流程的可信度。l风险流程的不完全或不稳定的应用不太可能产生充分说明管理风险得收益的有用的度量。因此，不存在可审计的风险管理能够实现的历史记录，导致缺乏可靠性和更加正式地采用风险管理的意愿。l风险评估工具和风险信息数据库的极少使用。l缺乏

23、基准流程以核对相对于行业标准的流程能力。这些问题可以用一些方法来说明以使得组织能够进步到第三级成熟度。上述从第一级到第二级的过渡的行动是不合适的，除此之外，应该考虑下列方法：l加强和巩固对尝试执行风险管理流程的个人和团队的公司支持。来自资深管理人员的明确的赞赏对于给予必须的可信度是必要的。l提供正式的风险培训以发展内部专家和流程知识。l在必须增强和支持现有的内部技能时，使用外部专家。外部专家的使用在拓展现有的风险管理流程在组织的新领域的应用是有用的。新领域的大部分可能超出了你的内部员工的知识范围。外部顾问也可用来应用风险管理流程到新的、困难的领域。l给风险管理流程分配足够的资源，如任命或补充足

24、够的员工、提供风险管理培训的预算、风险评估工具和风险管理活动所要求的其他资源。l选择关键项目以证明在组织业务的全部领域实施风险管理的收益。l持续宣传和表彰成功事迹，当收益变得清晰时，激励风险管理在其他领域的更广泛的应用。l为内部员工提供机会参加持续的风险管理培训课程、会议、研讨班及专题讨论会等。l规范化选择的风险管理流程，清晰地定义风险管理的范围和目标，以及达成一致的程序和适当选择的工具。l开发和传播组织关于风险管理运用的政策。l坚决要求项目经理把风险管理作为其项目和业务流程的日常管理的一部分，包括风险报告作为管理评估的重要组成部分。l开始汇集基于组织内部风险管理实际经验的风险流程的度量；包括

25、一般风险的辨识、有效应对、风险成本的降低等，生成详细的清单以便于风险识别和评估流程。4.3三级到四级：可重复到管理第三级成熟度对于大多数组织大概已经足够了，这里，风险流程对于组织来说是完整的，而且一贯地、常规地应用到大部分或全部项目之中。然而，设计这一模型的专业组织的一致意见是风险管理成熟度模型（RMMM）需要定义一个超越第三级的级别。在这一级别，识别、评估和管理不确定性成为第二特性，并成为组织的所有活动和业务流程的一部分。在第四级，组织能够系统地运用风险流程来解释具有潜在的正面影响的不确定性（也就是机会或者风险的有利一面）。在许多方面，第三级到第四级的改变预期几乎与第一级到第二级的过渡一样困

26、难，因为第三级成熟度的组织可能很容易地认为已经充分地执行了风险管理而且不需要进一步改变。如果组织希望实现第四级，可能会遇到下列问题：l动力的损失，可能导致要求的应用标准的不执行，以及必然产生的风险管理支持的质量的损失。这将降低风险管理流程的可靠性，并使之看起来像已经过时的临时管理措施。l组织可能为更新风险管理流程以考虑业务过程中所需要的变革，或者市场领域的其他发展。这可能导致风险流程成为过时的并且于组织的业务越来越不相干。l对风险管理流程持续投资的缺乏可能导致降低关联或能力，像工具已经过时、技能被替代、员工的技能没有维护等。l内部专家的开发可能导致风险管理被看作有一种由专家执行的专业训练，在组

27、织和项目中的其他人的承诺和所有权随之减少。下列活动有助于进化到第四级成熟度（非特定）：l确保有效的从经验中学习，开始有规律的风险管理流程评估和流程的价值工程，以保证其维持充分的有效性。l修订和强化必要的风险管理流程，包括新工具、新方法以及员工培训等的投资。l调研超越已经涵盖应用领域的风险管理流程的新应用。探寻修改和应用风险管理到组织的每一个活动。l运用每一个可能发展风险管理文化的措施，激励所有的员工思考风险、了解不确定性并运用风险技术来评估和管理潜在死亡威胁和机会。在组织文化中构建风险思维。了解关于风险的态度的可能范围。l保证风险成为所有决策的常规准则。l识别和计量风险疲劳的发生率。风险疲劳包

28、括员工对流程的兴趣的丧失，或者动力的潜在丧失。定期更新流程、表彰成功事迹、宣传改进度量以及奖励有效的风险管理。l执行风险管理培训以保证技能维持普遍水平。l考虑使用外部专家以拓宽风险管理在组织的新兴领域的应用，或者追加必要的动力已维持进展或者引入变革。4.4维持第四级为了最大化在现有的组织文化和个人信仰中变革的收益，可望成功地使风险管理成为组织文化的一个自然组成部分，这将有赖于在决定如何将风险技术应用于业务的全过程并前置性地管理不确定性（包括风险和机会）过程中的某些重大变革。由于能力成熟度模型成熟度级别时可用的，很少的几个组织处于第五级（它们的顶级）。对于任何组织，达到成熟度的顶峰的收益相对于达到该级别的成本，并不被认为是值得的。另外，一旦达到顶峰，需要花费努力和资源来维持这一位置。在第四级或者其他任一级，要求一个持续改进的过程。自然，没有这样一个过程可能在CMMM框架中下移并下降到较低的