第9章软件工程风险管理

基于CMMI的软件工程风险管理第九章风险管理风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪风险的概念风险是项目执行全过程中可能发生、一旦发生就会影响目标的实现并进而造成损失的事件或问题。两个明显的特征：不确性，事件可能发生也可能不发生，（必然发生的事件应列入项目的约束条件）；损失，事件一旦发生，就会造成（成本、进度和质量等方面的）损失甚至出现严重的恶性后果。风险管理就是成年人的项目管理风险与工作同样重要一个成熟的项目管理者，一个聪明的企业家，不能：将风险管理看作是项目工作以外的额外活动将风险管理看作是本身职责范围以外、由他人负责的活动风险管理，作为一门科学，始于16世纪文艺复兴时代2023年2月3日4杭电软职张万军人（People），要点：风险管理涉及所有层次的人员，各有各的职责；学习、培训和经验有助于提高个人风险管理能力；机构应采取足够的激励措施，克服风险管理的障碍；了解个人的风险偏好（Preference），用以预测个人行为。过程（Process），要点：风险管理过程可划分为二个子过程、5个过程元素：风险评估（含风险识别、风险分析）；风险控制（含风险策划、风险跟踪、风险应对）；过程可以伸缩，以便适应不同类型和不同规模的项目；过程应有必要的灵活性；过程执行应讲究成本效益。风险管理能力关键因素3、基础设施（Infrastructure），要点：决策者的价值观通过机构方针影响或约束人们的行为；客户和部门管理者通过需求为项目设定预期目标；运用资源应对风险；分析风险管理的成本和收益。4、实施（Implementation），要点：制定一个主动的、高质量的风险管理计划；选择符合项目特性的方法和工具。风险管理能力关键因素（续）1、路线图第一步：业务分析信息获取限制条件分析工具报告汇总2、路线图第二步：风险识别风险分析基础潜在限制条件风险识别工具风险识别报告风险管理路线图3、路线图第三步：风险评估和衡量风险评估对象风险评估障碍风险评估工具风险评估报告4、路线图第四步：风险规划和应对应对的风险事项风险应对的障碍风险应对方法风险应对策略5、路线图第五步：风险管理体系的全面实施风险管理体系的基本要素设计/实施风险管理能力企业全面风险管理体系的启动和监控风险管理路线图第九章风险管理风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪CMMI对应实践风险管理（RiskManagement，简称RSKM）过程域目的：在问题发生之前识别潜在的问题，以便策划风险处理活动，在项目或产品生命周期全过程中一旦需要就可启动风险处理活动以缓解对目标实现的不利影响。风险管理应该解决那些可能危及关键目标实现的问题。应采用持续的风险管理方法，以便有效地预先采取措施缓解对项目会产生严重影响的风险。SG1PrepareforRiskManagement（准备风险管理），为实施风险管理做好准备工作，通常是形成一个风险管理计划文档，为整个风险管理提供一个战略性的文件。SP1.1DetermineRiskSourcesandCategories（确定风险来源和类别），通常是通过风险源清单和风险类别清单来完成该工作。SP1.2DefineRiskParameters（定义风险参数），目的是定义用于分析和分类风险参数，以及用于控制风险管理活动的参数。SP1.3EstablishaRiskManagementStrategy（建立风险管理策略），目的是建立和维护用于风险管理的策略。RSKM（一）RSKM（二）SG2IdentifyandAnalyzeRisks（识别和分析风险），识别和分析风险，以便决定其相关的重要性。SP2.1IdentifyRisks（识别风险），识别并记录风险。SP2.2Evaluate,Categorize,andPrioritizeRisks（对风险进行评审、分类和排序），目的是使用已定义的风险类别和参数，评价和分类每个已识别的风险，并对其进行排序。SG3MitigateRisks（缓解风险），目的是必要时处理和缓解风险，以减少对目标实现的负面影响。SP3.1DevelopRiskMitigationPlans（开发风险缓解计划），目的是按照风险管理策略，开发重要风险的风险缓解计划。SP3.2ImplementRiskMitigationPlans（实施风险缓解计划），目的是定期监督每个风险的状态，必要时实施风险缓解计划。第九章风险管理风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪风险管理目的1、规范公司风险管理过程，有效地进行项目风险的识别、制定管理策略并进行跟踪控制工作，确保项目顺利完成。2、主要内容包括：风险识别及分析；制定风险应对策略；风险跟踪及控制；作为项目计划的一部分或者单独编写风险管理计划，并经评审和控制。要提高风险管理能力，首先就应从决策层开始，高度重视风险意识的培养，注重风险价值观的建设，特别要注意以下几点：主动进行风险管理；明确风险责任；不因风险而责难普通员工；与相关人员交流风险，使风险应对责任人了解风险；从意外结果中吸取教训。风险管理能力的提高公司、部门一级的年度计划，必需包含风险管理计划；每个项目的开发计划必需包括风险管理计划。在制定年度计划或项目开发计划的同时，必需进行风险识别、风险分析以及风险策划，针对首要风险明确风险责任，确定风险应对策略，制定风险应对行动计划。公司和部门均应建立风险跟踪制度，跟踪风险和风险管理计划，定期（或事件驱动）验证风险管理活动相对于风险管理计划的符合性。在每周或每月的例会上应报告风险。在每月或每季的里程碑会议上应评审风险。每个项目组、每个部门以至全公司，应重视经验积累和共享，建立并维护风险数据库。各级管理者不得以风险识别的结果评价员工个人的表现。风险管理方针——公司级每个项目指定一个风险管理人员（一般为项目经理），并制定风险管理计划（可以为项目开发计划的一部分）。项目风险管理人员职责在风险管理计划中被明确分配。在整个生命周期中按计划执行风险管理活动。建立相应的配置管理库存储相关的风险记录。QA经理、项目经理、质量保证工程师定期审计风险管理活动。风险管理方针——项目级第九章风险管理风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪风险管理三阶段在项目风险管理流程中，主要分为： 1、识别及分析风险，得到主要的风险列表； 2、制定风险管理策略，形成风险管理计划； 3、对风险进行跟踪控制，并在此过程中再识别分析可能出现的新风险。风险管理活动流程图识别风险在项目开发过程中，一般可以从下面几个方面进行识别：项目组在项目经理指导下展开风险研讨，必要时吸纳项目相关人员（包括市场人员）参加，对项目开发计划的工作分解结构（WBS）中所有工作要素中可能存在的风险进行识别。对风险的识别可以参照机构提供的风险数据库，对库中罗列的风险项，逐一研讨其在本项目中显含或隐含的可能性。对项目风险的识别，还可以参考其他项目或当前项目的早期阶段中识别出来的或发生过的风险。项目经理负责将识别出来的风险项记录在项目计划的风险估计的风险清单中。需求不明确，或需求分析缺陷，致使最终产品不符合（客户或市场）需要，导致项目目标偏离或在中途作重大变动，延误产品发布时间；对项目工作量估计不足，造成工作不能按计划执行，甚至放弃计划性；客户要求急，开发时间短，加班加点，放松了对过程的控制，导致缺陷不能及时发现，产品性能未达到要求，给后面的产品实施和维护工作带来了较大的压力；测试手段和时间不足，不能充分覆盖所有需求项，导致交付的产品有较多缺陷不能发现。常见风险类型产品工程开发环境项目约束1.需求稳定性

完整性

清晰

有效性

可行性

先例

规模

2.设计

功能

难点

接口

性能

可测试性

硬件约束

非开发软件3.编码和单元测试

可行性

单元测试

编码/实现

4.集成和测试

环境

产品

系统

5.工程特点

可维护性

可靠性

安全性

保密性

人的因素

特殊性1.开发过程正规性

适合性

过程控制

熟悉程度

产品控制2.开发系统

容量

适合性

可用性

熟悉程度

可靠性

系统支持

交付能力3.管理过程计划

项目组织

管理经验

项目接口4.管理方法

监控措施

人员管理

质量保证

配置管理5.工作环境

质量态势

合作

士气1.资源进度

人员

预算

设备2.合同

合同类型

约束

依赖关系

3.项目接口

用户

联合承包方

子承包方

主承包方

协同管理

供货商策略软件开发项目中风险分类表分析风险项目经理负责组织项目组成员对识别的风险项进行分析，评价风险发生的概率和影响度。必要时，可以邀请相关同行参与风险分析活动。项目经理组织项目组成员，结合项目管理经验和当前项目实际情况，确定各个风险项的影响估算情况。风险影响是反映风险严重性的一个重要指标，可以按这样的公式计算：风险影响

=风险发生概率×影响度。风险发生概率（P）：是指风险发生的可能性。其量化评价方法可按下表描述打分：定性表示定量表示（P）说明很大5风险发生的可能性>80%较大4风险发生的可能性60%至80%一般3风险发生的可能性40%至60%不大2风险发生的可能性20%至40%很小1风险发生的可能性<20%影响度（C）：是指当风险说明中所预料的结果发生时可能会对项目产生的影响，一旦风险发生而造成的损失，包括成本、进度等多种损失。其量化评价方法可按下表描述进行打分：定性表示定量表示（P）说明很严重5进度延误>30%，或成本超支>30%严重4进度延误20%~30%，或成本超支20%~30%一般3进度延误<20%，或成本超支<20%不太严重2进度延误<10%，或成本超支<10%不严重1进度延误<5%，或成本超支<5%根据以上两个指标的打分情况，我们就可以按下表计算出风险影响量化的值，从而可以对风险进行优先级排序，其中表内的阴影部分表示风险影响比较大，应优先关注或处理。风险影响风险可能性很大5较大4一般3不大2很小1风险后果很严重

5252015105严重

420161284一般

31512963不太严重

2108642不严重

154321风险风险陈述风险背景资源不足，进度延误过分乐观的进度，有限的成本，导致进度拖后、成本超支。人员配备不到位。没有时间进行必需的培训。无法达到进度要求的效率。将加班作为克服进度不够的标准选择。不充分的需求分析导致对产品功能需求的片面理解。需求不定不明确的用户需求导致项目软件需求不完整、不确定。需求文档没有恰当地描述系统构成。接口文档未经确认或批准。需求细节来自现有代码。部分需求（如验收标准）不清楚。因客户方面人员变动引起需求变更或漂移。人员流失项目骨干人员中途流失造成项目中断或失败。长期出差或长时间加班造成骨干人员有厌烦心理。激励不足缺乏激情。个人发展前景不明缺乏信心。团队内部沟通不畅心情不好。开发环境不好工作难度过大。外界吸引再某出路。项目中途夭折项目立项时对风险估计不足造成项目半途而废。用户原因中途中止合同。产品失去市场前景中途停止。竞争对手先行推出或产品功能不及竞争对手，只好停止。骨干流失、技术方案失误造成项目长期拖延。决策失误中途停止项目。效率低下长时间的生产效率低下造成项目最终失败。开发环境不好，影响工作效率。过程管理不严格，造成大量返工。员工培训不够，个人能力欠缺。职责不清、分工不明，造成时间浪费。员工缺少工作激情，影响进度。软件项目常见前5项风险制定风险应对策略接纳风险（Acceptance），可以承担风险后果，并为项目计划留出必要的风险储备。回避风险（Avoidance），不参加某些项目的投标，放弃某些项目，放弃项目的某些功能，放弃（项目的）某些目标，等等。防范风险（Protection），采取适当措施，减小风险发生可能性和/或风险后果。缓减风险（Reduction），在接纳风险或防范风险的应对策略下，及时采取适当措施，减缓风险发生、防止风险进一步恶化、化解风险、减小风险后果，等等。风险研究（Reserch），收集更多的信息，进一步研究后再定。风险储备（Reserves），为项目进度、成本等留有充分的余地。风险转移（Transfer），例如，外包、外购等。实际选用何种策略，应视具体情况而定，常用的取舍准则，包括：风险赔率：

分散风险（即不要把全部鸡蛋放在同一个篮子里），意指项目不应过多地依赖于一个供应商、一个客户、一种方法、一个工具以及一个人，等等。制定风险应对策略（续）确定各个风险的责任人。确定风险处理方式：规避：制定风险规避策略时，项目经理要向总工程师或研发部经理报告，并获得批准。如有必要，还需通知客户以达成一致。转移：制定风险转移策略时，项目经理要向总工程师或研发部经理报告，并获得批准，如有必要，还需通知客户以达成一致。对某些高优先级的风险不能进行规避和转移，必须承认风险发生的可能性时，可采取接受风险策略来处理风险。减缓（降低）：减缓措施主要用在风险发生时。建议制定及时的、正面主动的、具体的应急方案解决问题，以便减少它对项目的影响。制定风险管理计划，纳入项目开发计划或单列，进行评审。制定风险应对策略——步骤第九章风险管理风险基础知识CMMI对应实践风险管理概述风险管理流程风险跟踪风险跟踪目的风