IT软件项目风险管理课件

1、第11章 IT软件项目风险管理 11.1 风险与风险管理 11.2 软件项目风险识别11.3 软件项目风险评估11.4 软件项目风险控制11.5 风险管理策略11.6 风险驾驭和监控2022/8/4第1页，共62页。1. 风险管理的意义1）风险管理被认为是IT软件项目中减少失败的一种重要手段，通过结构化风险管理可以发现计划中的缺陷，从而采取行动来减少潜在问题发生的可能性和影响2）风险管理意味着危机还没发生之前就对它处理，可以提高项目成功的机会，减少不可避免分析所产生的后果3）风险管理可以防止问题的出现，即使出现问题，也可以降低其危害程度。只有进行良好的风险管理才能有效地控制项目的成本、进度、产

2、品需求，同时可阻止意外发生2022/8/4第2页，共62页。第11章 IT软件项目风险管理2. 本章要点:风险的定义、性质、分类风险的识别和分析风险的应对策略风险规划风险控制规避、转移2022/8/4第3页，共62页。11.1 风险与风险管理 11.1.1 风险的基本概念11.1.2 风险分类11.1.3 风险成本11.1.4 风险管理的基本概念2022/8/4第4页，共62页。引例1思考：一次重要的汽车旅行,其中按时到达是重要的（可能是一次重要的工作访谈）。试考虑旅行中可能遇到的问题。可能的问题可能的结果实施的行动计划异常严重的交通堵塞车胎没气汽车故障或事故可能错过访谈的开始时间可能错过访谈

3、或迟到可能错过访谈收听交通广播计划另一条线路准备可用备用车胎无2022/8/4第5页，共62页。引例2项目：构建全球人力资源综合管理系统条件：系统由两个软件开发商共同开发，最后集成开发过程由客户提供专门供项目使用的工具，但不久以后该工具就发行了新版本。其中一个开发团队是一个良好的团队，项目经理对软件开发做了合理的估算，团队共有35人，在规定时间内交付了自己开发的部分软件。另一个开发团队未能按时完成开发，并且提供的接口不断改变。结果：该系统晚了6个月才正式投入使用，开发公司支付了项目50%工作量的蔓延。2022/8/4第6页，共62页。11.1.1 风险的基本概念1风险的定义风险的定义狭义和广义

4、狭义的风险是指“可能失去的东西或者可能受到的伤害”，即在从事任何活动时可能面临的损失。广义的风险是指一种不确定性，即在给定的情况和特定的情况和时间下，所从事的活动有很大的差异性，差异越大风险也越大，所面临的损失或收益可能很大，即风险带来的不都是损失，也可能存在机会。2022/8/4第7页，共62页。2. 风险的本质损失和不确定性风险强调“损失”和“不确定性”，并不认为“不确定性”是主观的、个人的和心理上的一种观念损失的含义：风险带来的结果有损失也有盈利的一面2022/8/4上海海事大学计算机系第8页，共62页。不确定性的含义发生与否不确定发生时间不确定发生状况不确定发生结果不确定2022/8/

5、4上海海事大学计算机系第9页，共62页。3. 风险的基本性质1）客观性风险无时不有，无所不在，它潜在各种活动之中。因为决定风险的各种因素对风险主体是独立存在的，不管风险主体是否意识到风险的存在，在一定的条件下风险就可能变为现实。2022/8/4上海海事大学计算机系第10页，共62页。2）不确定性风险是损失的不确定性，风险是一种概率事件，它可能发生也可能不发生3）不利性风险一旦产生时，就会使风险主体产生挫折、失败甚至损失，对风险主体不利。对于风险的不利性，我们该怎么办？首先，承认风险、识别风险，对风险做出客观准确的分析其次，做好风险的应对措施，尽可能避免风险，将风险的不利性降到最低。2022/8

6、/4上海海事大学计算机系第11页，共62页。4）可变性风险的可变性表现为风险在一定条件下可以相互转化风险事件非风险事件转化条件第12页，共62页。5）相对性风险的相对性是针对风险的主体而言的，在相同的风险情况下，不同的风险主体对风险的承受能力不同，不同的组织和个人往往对风险有着不同的容忍限度。例如，一个高利润高收益的公司也许愿意为一个10亿美元的合同花费50万美元制作一份计划书，而一个收支相抵的公司通常不会。一个公司也许认为15%的误差几率是高风险的，而其他公司却认为这个几率风险很低。第13页，共62页。6）风险和利益的对称性风险和利益是同时存在的，风险是利益的代价，利益是风险的报酬。没有利益

7、只有风险，没人会做；实现利益必须承担一定的风险。第14页，共62页。7）可度量性风险是给定情况下一定时期可能发生的各种结果间的差异，是客观存在、可以用客观尺度度量的事物。若各种可能结果之间差异大，风险大；差异小，风险小若只有一个结果，则因无差异而没有风险可言。若有多个结果，每种结果都有其发生的概率，从而形成一个反映各种结果及其概率分布，可以确定各个结果之间的差异，故风险具有概率分布的特征2022/8/4上海海事大学计算机系第15页，共62页。数值方差抽象概率把风险视为给定条件下各种可能结果中那种较坏的结果把风险视为给定条件下各种可能结果之间的差异把风险直接视为事情本身的不确定性把风险视为给定条

8、件下各种可能结果中较坏结果出现可能性第16页，共62页。解释1与坏的结果所对应，而坏的结果往往表现为经济损失或货币损失，因此，可称之为数值风险。解释2将好坏结果的差异视为风险。而由于不同结果被视为某一随机变量的取值，故它们之间的差异性可用方差来刻画。因此可称之为方差风险。理解3是一种笼统缺乏具体特征的解释，把风险直接说成不确定性。因此可称之为抽象风险。解释4与较坏结果的发生概率相对应，它虽也表现为数值，但不是一般意义上的数而是一种测度，因此把这种按照较坏结果发生可能性来理解的风险直接称之为概率风险2022/8/4上海海事大学计算机系第17页，共62页。4. 风险概念总结必须存在一些活动或者事件

9、，是主体未预计到其发生或发生后结果的事件事件的发生具有不确定性，但可以根据某些方法度量，能够预料到的一定发生或者不发生的事件不具有风险性风险发生的结果具有不确定性，可能带来损失也可能提供机会引起风险的原因（风险源）有很多种，风险是潜在的，只有在具备一定条件下才可能发生风险的性质、结果、概率都会变化2022/8/4上海海事大学计算机系第18页，共62页。5. 风险的其他定义：A. Williams：风险是关于在某种给定状态下发生的结果的客观疑问Williams:风险是给定情况下和特定时间内，那些可能发生的结果间的差异武并勋（日）：风险是特定环境中和特定期间内自然存在导致经济损失的变化John H

10、all:风险是一定条件下财务损失的不确定性Dorfman:风险是随机事件可能结果的差异，或有关损失的不确定性。风险程度是指预期随机事件发生的精确度2022/8/4上海海事大学计算机系第19页，共62页。M.Douglas:群体设定自己的行为模式和价值标准后，违反此模式和标准的行为即被定义为该群体的风险 Beck:风险是虚拟的现实，现实的虚拟。是应对现代化本身诱致和带来灾难与不安全的系统方法。政治上具有反思性2022/8/4上海海事大学计算机系第20页，共62页。6. 软件风险的定义软件风险是指软件开发过程中及软件产品本身可能造成的伤害或损失。一个软件项目的损失可能的后果形式？软件质量的下降成本

11、费用的超出项目进度的推迟等2022/8/4上海海事大学计算机系第21页，共62页。11.1.2 项目风险1. 项目风险的特点项目的一次性特点，导致项目的不确定性大，故项目风险可预测性差项目出现问题难以补救项目的具体问题不同，不具备完全可比性2022/8/4上海海事大学计算机系第22页，共62页。2. 项目风险的共同点超出预算时间延迟需求变更2022/8/4上海海事大学计算机系需要项目风险分析第23页，共62页。3. 项目风险分析的内容量化不确定性因素的不确定性程度，量化每个分析的损失程度考虑的问题：1）风险是否会导致项目失败2）需求、技术、目标以及其他事物是否会发生变化，发生什么样的变化3）采

12、用什么样的方法和工具，配备多少资源，质量上到什么样的程度4）考虑风险类型2022/8/4上海海事大学计算机系第24页，共62页。总结项目风险管理就是在这些因素对项目造成破坏之前识别、处理和排除。项目风险贯穿整个项目生命周期减少损失必须在项目初期付出更多2022/8/4上海海事大学计算机系第25页，共62页。11.1.2 风险的分类1. 根据范围分类：项目风险、技术风险和商业风险 1）项目风险是指由于潜在的预算、进度、个人（包括人员和组织）、资源、用户和需求等方面的问题而导致的风险。例如：资金不足、时间和资源分配的不合理、项目计划质量的不足、项目管理不当、缺乏必要的项目优先级等均可导致项目风险的

13、发生。第26页，共62页。2）技术风险：是指由于潜在的设计、实现、接口、检验和维护等方面的问题而导致的风险。例如：规格说明的二义性、技术上的不确定性、技术陈旧等可能导致技术风险的发生。复杂的开发技术、行业标准发生变化等也可能导致技术风险的发生。2022/8/4上海海事大学计算机系第27页，共62页。3）商业风险：主要有市场风险、策略风险、管理风险和预算风险等。例如：市场风险：开发的软件不是市场真正所想要的。策略风险：开发的软件不再符合公司的软件产品策略。管理风险：由于对项目管理不当等问题而导致的风险，例如：进度计划制定和资源配置不合理、计划草率且质量控制差等。预算风险：没有得到预算或者人员的保

14、证2022/8/4上海海事大学计算机系第28页，共62页。2. 根据内容分类：技术风险、管理风险、组织风险和外部风险1）管理风险在IT项目中，由于进度计划和资源配置不合理，计划草率且质量控制差，项目管理的基本原则适用不当等2022/8/4上海海事大学计算机系第29页，共62页。2）组织风险：指开发管理组织对项目认识的不确定性问题而导致的风险。例如组织内部对目标未达成一致；高层对项目不重视，资金不足；项目组织的人员结构不合理或者与其他项目有资源冲突等，都是潜在的组织风险。2022/8/4上海海事大学计算机系第30页，共62页。3）外部风险：指外部事件和外部环境等不可控制因素的变化问题而导致的风险

15、。例如法律法规的变化与项目相关各方的情况发生变化等。2022/8/4上海海事大学计算机系第31页，共62页。3. 根据可预知程度不同分类：已知风险、可预测风险和不可预测风险1）已知风险：指通过仔细评估项目计划、开发项目的商业和技术环境以及其他可靠的信息来源之后可以发现的风险。例如：不现实的交付时间、没有需求或软件范围的文档、恶劣的开发环境等。2022/8/4上海海事大学计算机系第32页，共62页。2）可预测风险：指能够从过去项目的经验中推测出的风险。例如：人员调整与客户之间无法沟通或沟通不畅由于需要进行维护而使开发人员精力分散等等。2022/8/4上海海事大学计算机系第33页，共62页。3）不

16、可预测风险：是可能、也会真的出现、但事先很难识别出来的风险。例如：突发性的灾难事件，不可抗力事件等通常将不可控制的“不可抗力事件”不作为风险对待，这些事件往往作为灾难防御。注意：项目管理者只对已知风险和可预测风险进行规划，不可预测的风险只能靠企业的能力来承担。2022/8/4上海海事大学计算机系第34页，共62页。11.1.3 风险的成本1.定义：风险成本：指为防止风险的发生或者减少风险发生时造成的损失，而必须采取一些预防措施和应对策略时所产生的费用。风险管理是要付出代价的，一般只有当风险的不利后果（损失）超过风险管理而付出的代价时，才进行风险管理。2. 构成：风险成本包括有形成本、无形成本以

17、及为预防和控制风险所发生的费用。第35页，共62页。1）有形成本：指风险发生时所付出的有形的可以用货币直接来衡量的代价。风险的有形成本包括风险发生时造成的直接损失和间接损失。直接损失：指风险发生时，人员、经费、设备等的直接流失；间接损失：指风险发生时，直接损失以外的人、财、物、知识等的损失。第36页，共62页。2）无形成本：指由于风险所具有的不确定性而使项目在风险发生时所付出的无形代价。主要表现在以下几个方面：风险的发生减少了项目成功的机会；风险阻碍了生产率的提高和新技术的应用；风险会造成资源分配的不当，使人们将更多的资源投入到风险较小的行业或者项目中。2022/8/4上海海事大学计算机系第3

18、7页，共62页。3）为预防和控制风险所发生的费用：指为了预防和控制风险的发生与损失，必须在项目的各个阶段采取必要的预防措施而产生的费用。例如：在项目的前期阶段增加人力资源和经费的投入向保险公司投保向有关部门或者专家咨询合理分配资源配备合适和必要的人员购置用于预防和控制风险的设备加强人员培训等，这些活动都需要经费的支持。第38页，共62页。11.1.5 项目风险管理1. 风险管理定义风险管理是指在项目进行过程中不断对风险进行识别、评估，制定策略，监控风险的过程2. 项目风险管理的意义通过风险识别、风险分析和风险评价去认识项目的风险，并以此为基础合理地使用各种风险应对措施、管理方法、技术和手段对项

19、目的风险进行有效的控制，妥善处理风险事件造成的不利后果，以最小的成本保证项目总体目标的实现2022/8/4上海海事大学计算机系第39页，共62页。2. 风险管理的地位提高项目的成功率：项目就应该进行必要的风险分析；提前对风险制定对策。增加团队的健壮性抓住工作重点：将被动转换为主动防御2022/8/4上海海事大学计算机系第40页，共62页。3. 风险管理阶段风险分析和风险管理风险分析：风险识别、风险估计、风险评价风险管理：风险规划、风险控制、风险监督有效的风险管理要求根据风险管理计划对项目风险实时监控2022/8/4上海海事大学计算机系第41页，共62页。风险分析1） 风险识别减少项目的不确定性

20、，弄清楚项目的组成、各种可变因素的性质、相互间的关系、外部环境、可能形成项目风险的因素和作用范围方法：专家法，财务报表法，流程图法等等2）风险估计对风险的种类、性质、发生概率、影响范围、发生后果进行估计，尽可能量化和度量风险，同时明了风险事件发生时可能出现的各种后果及彼此之间的关系，弄清楚可以增加或者减少风险概率的因素。2022/8/4上海海事大学计算机系第42页，共62页。3）风险评价对各种风险事件的后果进行评价，并按严重程度进行排序，确定该风险的经济意义及处理费用/效益分析，找出各种风险的危害程度，确定采取的应对措施。常用方法：概率分布、外推、多目标分析等4）总结风险识别、估计和评价不是截

21、然分开的，往往是结合在一起进行分析2022/8/4上海海事大学计算机系第43页，共62页。风险管理1）风险规划对各种可能出现的风险事件，制定各种风险应对计划和应对策略，以及风险规避方法2）风险控制实施风险规避的控制计划，可能需要修改项目计划，对项目经费、进度进行调整方法：控制法：主动采取措施避免风险，消灭风险，中和风险自留法：风险量不大时可以余留风险转移法2022/8/4上海海事大学计算机系第44页，共62页。3）风险监督实施风险控制后，检查和检验决策的结果是否与预期相同，并寻找细化和改进风险管理计划的机会。包含了对风险监督和对风险管理的监督4）总结：风险管理的成功取决于如何计划、执行、检验每

22、一个步骤。2022/8/4上海海事大学计算机系第45页，共62页。Boehm的风险工作任务分解风险工程风险分析风险管理风险标识风险估计风险评价风险规划风险控制风险监督风险指导风险人员配置2022/8/4第46页，共62页。11.3 风险识别1. 概述要进行项目风险管理，首先必须对存在的风险进行识别。即，查明项目中的不确定性因素和可能带来的后果，以明晰项目构成威胁的因素，便于制定和降低风险的计划和策略。2022/8/4上海海事大学计算机系第47页，共62页。11.3.1 风险识别及其方法1. 特点风险识别是风险管理的基础和起点，也是风险管理者首要的或许是最困难的一项的工作。风险识别不是一次性行为

23、，而应有规律地贯穿在整个项目开发过程中2. 任务查明项目的不确定因素辨认项目所面临的风险及其来源确定风险的性质分析可能发生的损失及机会2022/8/4上海海事大学计算机系第48页，共62页。3. 意义：如果不能准确地辩明所面临的各种风险，就会失去切实地处理这些风险的机会，从而使得风险管理的职能得不到正常的发挥，自然也就不能有效地对风险进行控制和处理采用系统化的方法，识别出项目中已知的和可预测到的风险分类：一般性风险和特定性风险。一般性风险对每一个软件项目而言都是一个潜在的威胁特定性风险是对当前项目的技术、人员及环境而言的威胁第49页，共62页。内在风险和外在风险。内在风险是指项目工作组能够加以

24、控制和影响的风险，如人事任免和成本估计等。外在风险是指超出项目工作组控制能力和影响力之外的风险，如市场转向或政府行为等。4. 一般性方法：通过对“因”和“果”（将会发生什么和导致什么等）的认定来实现。通过对“果”和“因”（什么样的结果需要予以避免或促使其发生以及怎样发生等）的认定来实现。第50页，共62页。5. 风险识别的流程2022/8/4上海海事大学计算机系输入：WBS及相关信息输出：风险列表标识风险评审风险风险分类排序第51页，共62页。风险识别的输入：项目的工作分解结构、项目相关信息、项目计划的假设、历史项目数据，其他项目经验文件、评审报告、公司目标等；标识风险：利用风险识别方法来标识

25、风险；风险分类排序：按一定标准（如重要程度）对风险进行分类和排序；风险识别的输出：风险列表。 第52页，共62页。6. 风险识别的常用方法有：头脑风暴法专家访谈法（Delphi方法）历史资料法风险条目检查表法评估表法分解分析法专家法查表法第53页，共62页。主要方法：1. 准确使用风险条目检查表，根据经验列出项目可能发生的所有潜在损失2. 以一套系统的方法从有关分析用表中找到项目潜在损失2022/8/4上海海事大学计算机系第54页，共62页。1. 风险条目检查表法风险条目检查表法是利用一组提问来帮助管理者了解项目在各个方面有哪些风险。在“风险条目检查表”中，列出了所有可能的与每一个风险因素有关的提问，使得风险管理者集中来识别常见的、已知的和可预测的风险（如产品规模风险、依赖性风险、需求风险、管理风险及技术风险等）。 第55页，共62页。1）产品规模风险检查表。项目风险是直