- 论坛徽章:
- 0
|
来源:http://blog.csai.cn/user2/51384/archives/2009/40617.html
RISK MANAGEMENT 风险管理
A Project Management Process Area at Maturity Level 3 项目管理过程领域的成熟度第三级
Purpose 目的
风险管理(简称RSKM)的目的在于,在风险发生之前识别潜在的问题,从而策划风险处理活动,必要时在整个产品或项目生命周期中加以实施,以缓解对实现目标的不利影响。
Introductory Notes 简介
风险管理是一个持续性、前瞻性的过程,是管理的一个重要组成部分。风险管理应该处理那些可能危及关键目标实现的问题。应用持续的风险管理方法,可以有效地预测和缓解对项目有重要影响的风险。
有效的风险管理,应按照项目策划过程域所强调的干系人参与计划的描述,通过与相关干系人的合作和参与,尽早并积极地识别风险。为建立自由、开放的讨论与揭示风险的环境,需要所有的相关干系人具有强有力的领导能力。
风险管理必须从内部和外部两个方面考虑成本、进度、性能风险及其他风险。尽早并积极地发现风险相当重要,因为相比在项目的后期而言,在早期进行变更或采取的措施,往往更加容易、成本较低、破坏性较少。
风险管理可以分为三个部分:定义风险管理策略、识别与分析风险,以及处理已识别的风险,包括在必要时执行风险缓解计划。
如同“项目策划”与“项目监控”过程域所述,组织最初可能只是关注风险的识别,在风险发生后才做出反应。风险管理过程域描述的是这些特定实践的发展演变,为了将风险对项目的影响降到最低,进行系统的策划、预测并缓解风险。
尽管风险管理过程域主要强调的是项目风险,但这种概念同样适用于管理组织风险。
特定目标和特定实践
SG 1 Prepare for Risk Management风险管理准备
进行风险管理的准备。
准备工作是指建立并维护用于识别、分析与缓解风险的策略。这个策略一般被编写成风险管理计划。风险管理策略说明用来控制风险管理计划的特定措施与管理方法、控制风险的流程。包括识别风险来源、风险分类方案,以及有效评估、界定和控制风险的参数。
SP 1.1 Determine Risk Sources and Categories 确定风险来源与类别
确定风险的来源与类别。
识别风险的来源,将为系统性地检查不断变化的情况打下基础,以便揭示那些对项目实现其目标的能力造成不利影响的情况。随着项目的推进,可能识别出一些其他的风险来源。建立风险的类别,实际上是提供了一种机制,便于收集和归纳各种风险,确保那些严重影响项目目标实现的风险,得到适当的检查并引起管理者的关注。
典型的工作产品
1.风险来源清单(外部和内部)
2.风险类别清单
子实践
1.确定风险的来源。
风险的来源是导致项目或组织内部风险发生的基本驱动。对于项目来说,风险有很多来源,包括内部的和外部的。风险来源会识别出风险可能发生的一些共同的区域。内部和外部的风险来源通常包括:
* 不确定的需求
* 不可预测的工作量——难以估算
* 难以实施的设计
* 无法采用的技术
* 不切实际的进度估算或分配
* 人员或技术不足
* 成本或资金问题
* 转包商的能力无法确定或能力不足
* 供应商的能力无法确定或能力不足
* 与实际存在或潜在的客户或客户代表沟通不足
* 操作的连贯性遭到破坏
上述风险来源,在没有充分的策划之前,通常有很多都会被接受。尽早地识别内外部的风险来源,就可以尽早地识别出风险,从而尽早地执行风险缓解计划,排除项目中风险的发生,或者降低发生后产生的影响。
2.确定风险的类别。
风险的类别是收集并组织风险的“柜子”。识别风险类别的原因之一,是帮助巩固未来风险缓解计划中的各项活动。
确定风险的类别时,要考虑以下因素:
* 项目生命周期的阶段(例如,需求、设计、制造、测试和评估、交付和配置)
* 所使用的过程类型
* 所使用的产品类型
* 项目管理风险(例如,合同风险、预算/成本风险,进度风险、资源风险、性能风险、保障性风险)
采用风险分类法,为确定风险的来源和类别提供基础框架。
SP 1.2 Define Risk Parameters 定义风险参数
定义对风险进行分析与分类的参数,以及控制风险管理工作量的参数。
评估、分类以及排列风险优先级的参数包括:
* 风险可能性(即风险发生的概率)
* 风险发生的后果(即风险发生的影响与严重性)
* 触发管理活动的阈值
风险参数提供了共通且一致的标准,以区分需要管理的各种风险。没有这些参数,将很难估计风险造成危害的严重程度,也很难对风险缓解计划中的必要措施进行优先级排序。
典型的工作产品
1.风险评估、分类与排序的标准
2.风险管理的需求(例如,控制与批准级别、再次评估的间隔时间)
子实践
1.为评估与界定风险的概率和严重级别,定义统一的标准。
采用统一的标准(例如,概率和严重程度的界限),可以对不同风险的影响有统一的了解,保证得到适当的审查,并获得管理层的重视。在对不同的风险进行管理时(例如,个人安全vs.环境污染),确保最终结果的一致性非常关键(例如,环境污染方面的高风险,相对个人安全方面的高风险来说,同样重要)。
2.定义每类风险的阈值。
定义各类风险的阈值,确认风险的可接受性和不可接受性,风险的优先级,以及采取风险管理措施的触发器。
阈值举例如下:
* 建立项目范围内的阈值,产品成本超过估算成本的10%时,或者成本性能指数(CPIs)低于0.95时,要上报高层管理
* 进度性能指数(SPIs)低于0.95时,要上报高层管理者
* 指定的关键项(例如,处理器使用率或平均反应时间)超过预期设计的125%时,要将性能上报高层管理者
针对识别的各类风险,上述阈值可能会进一步修订,从而确立一些点,达到这些点时,就要部署更加强大的风险监控,或者警告要实施风险缓解计划。
3.定义某类风险的阈值范围。
无论是定量的或是定性的方式,关于如何评估风险,几乎都没有限制。运用界限的定义(或界限的条件),可以帮助划分风险管理工作的范围,避免耗费过多的资源。界限可以包括某类风险排除在外的来源。这些界限也可以将低于给定频率所发生的任何条件都排除在外。
SP 1.3 Establish a Risk Management Strategy 建立风险管理策略
建立并维护风险管理的策略。
综合性的风险管理策略,强调的内容包括:
* 风险管理工作量的范围
* 用于风险识别、风险分析、风险环境、风险监控以及沟通的方法与工具
* 项目特定的风险来源
* 如何将风险进行组织、分类、比较与合并
* 对已识别的风险采取措施的参数,包括可能性、结果和阈值
* 风险缓解所使用的技术,包括原型建立、试行、模拟、备选设计或迭代式开发
* 用于监控风险状态的风险度量值的定义
* 风险监控或再评估的间隔时间
风险管理策略应着眼于共同的成功愿景,这个愿景从交付的产品、成本、工作适用性等角度,描述了对项目未来成果的期望。风险管理策略往往在项目风险管理计划中反映,并且应该与相关的干系人一起评审,以促进对风险策略的理解和承诺的实现。
典型的工作产品
1.项目风险管理策略
SG 2 Identify and Analyze Risks 识别并分析风险
识别并分析风险,确定它们的相对重要性。
风险的程度,会影响到处理已识别风险的资源分配,以及确定何时需要适当的管理者关注。
分析风险需要从内、外部来源来识别风险,然后评估每个风险,确定其可能性与后果。对风险进行分类,是以风险管理策略中建立的风险类别与标准为基础的,它为风险的处理提供所需的信息。为了有效地处理风险与利用风险管理资源,可以将相关的风险分组。
SP 2.1 Identify Risks 识别风险
识别风险并将其文档化。
对那些可能对工作量或计划造成负面影响的潜在问题、危害、威胁和弱点的识别,是健全与成功的风险管理的基础。在对风险进行分析与适当的管理之前,必须先识别风险,并以一种易于理解的方式进行描述。将风险形成简明扼要的文件,包括内容、条件及风险发生的后果。
风险识别应按照有组织的、透彻的方法,以找出在完成目标的过程中,可能发生或实际的风险。为了有效起见,不应该不顾其是否极不可能发生,而试图处理每一个可能的事件。运用风险管理策略中制定的类别与参数,结合已识别的风险来源,可以提供适合于风险识别的规范与效率。已识别的风险是启动风险管理活动的基线。风险清单应定期评审,以便重新检查可能的风险来源和变更条件,从而进一步发现以前所忽视的,或者在风险管理策略最后更新时还没存在的来源或风险。
风险识别活动注重风险的识别,而非追究过失。管理者不应根据风险识别活动的结果,来评估个人的绩效。
有很多风险识别的方法,典型的识别方法包括:
* 检查项目工作分解结构中的每个要素,以发现风险
* 运用风险分类法进行风险评估
* 向相关事务专家征求意见
* 评审类似产品的风险管理工作
* 检查有关的经验教训的文件或数据库
* 检查设计规范和协议需求
典型的工作产品
1.已识别风险的清单,包括内容、条件和风险发生的后果
子实践
1.识别与成本、进度及性能相关的风险。
应该检查成本、进度和性能风险影响项目目标的程度。在项目的目标范围之外,可能会发现潜在的风险,这些风险对客户利益而言是至关重要的。例如,有关开发成本、产品采购成本、备用(替代)产品的成本、产品部署(配置)的成本等风险都是隐藏的。客户可能没有考虑到要保障产品的交接或交付后的服务时所需的总成本。客户应该被告知这类风险,但要积极管理这些风险可能没有必要。应该在项目级和组织级上检查这种决策机制,适当时要将其放在适当的层级进行管理,尤其是那些影响到产品验证或确认能力的风险。
除了识别的上述成本风险之外,其他的成本风险可能包含与资金级别、资金估算以及分配的预算相关的风险。
进度风险可能包含与策划的活动、关键事件、里程碑相关的风险。
性能风险可能包含以下相关的风险:
* 需求
* 分析与设计
* 新技术的应用
* 物理规模
* 外形
* 重量
* 制造和制作
* 功能性能和操作
* 验证
* 确认
* 性能维护属性
性能维护属性是指,使用中的产品或服务表现出最初要求的性能的特征,例如维护安全与保密的性能。
也存在其他不属于成本、进度或性能等类别的风险。
其他风险包括:
* 与罢工有关的风险
* 日益紧缩的供应来源
* 技术周期时间
* 竞争
2.评审可能影响项目的环境因素。
项目经常遗漏的风险包括那些假定在项目范围之外的风险(即项目无法控制它的发生,但可以缓解它的影响),例如天气、影响操作连贯性的天灾人祸、政变,以及电讯沟通的失败。
3.作为风险识别的一部分,评审WBS的所有要素,这有助于确保工作量的所有方面都得到充分考虑。
4.作为识别风险的一部分,评审项目计划的所有要素,这有助于确保项目的所有方面都得到充分考虑。
5.将风险的内容、条件和潜在后果文档化。
通常将风险说明按照标准的格式文档化,其中包括风险的内容,发生的条件和发生的后果。风险内容追加了一些额外的信息,从而更容易了解风险的意向。将风险内容文档化的同时,要考虑风险相关的时间因素,引起关注的围绕风险的环境或条件,以及任何的疑问或不确定性。
6.识别与每个风险相关的干系人。
SP 2.2 Evaluate, Categorize, and Prioritize Risks 评估、分类与排列风险
根据已定义的风险类别和参数,对识别的风险进行评估与分类,并确定它们的相对优先级。
风险评估需要指定每个已识别的风险的相对重要性,并确定何时需要引起管理层适当的关注。根据风险的相互关系将风险加以汇总,并就同一个汇集等级考虑处理意见,往往是很有用的。当某个风险汇集是由一系列低层次的风险汇总而成时,必须谨慎以确保重要的低层次风险不被忽视。
总体来说,风险评估、分类与排列优先级的活动,有时被称为“风险评估”或“风险分析”。
典型的工作产品
1.风险清单,附带每个风险所指定的优先级
子实践
1.按照已定义的风险参数,评估识别的风险。
按照已定义的风险参数,对每个风险进行评估并赋值,这些值可能包括概率、后果(严重级别或影响)、阈值。赋予的风险参数值被集成起来,形成补充的度量值,例如风险的危害性,根据风险的危害性可以对处理风险的优先级进行排序。
通常情况下,运用3-5个值的范围来评估概率和后果。例如概率,可以分为“极少、不太可能、可能、很有可能、几乎确定”。
后果举例如下:
* 低
* 中
* 高
* 可以忽略
* 边缘的
* 重要的
* 关键的
* 灾难性的
概率值通常用于界定风险发生的可能性。风险的后果通常涉及到成本、进度、环境影响、人的度量(例如,损失的劳动时间和损害程度)
通常情况下,这类评估是一项困难的、费时的工作。必要时,需要借助特定专家或小组的技术来评估风险,并排列优先级。另外,随着时间的推移,可能需要重新评估优先级。
2.按照已定义的风险类别,将风险进行分类并分组。
按照已定义的类别,对风险进行分类,从而可以按照来源、种类或项目组件这种方式了解风险。相关或等价的风险被分成一组,可以保证高效地处理。将相关风险之间的因果关系文档化。
3.排列缓解风险的优先级
按照赋予的风险参数,确定每个风险的相对优先级。应该运用明确的规则来确定优先级。排列优先级的目的在于,确定将风险缓解的资源应用到哪块最有效的区域,从而给项目带来最大的积极影响。
SG 3 Mitigate Risks 缓解风险
适当地处理与缓解风险,减少对实现目标的不利影响。
处理风险的步骤包括,制定风险处理方案、监控风险,以及在超过已定义的阈值时实施风险处理活动。针对已选定的风险,制定并执行风险缓解计划,以降低风险发生的潜在影响。这也包括应急计划,以处理所选风险万一发生时造成的影响。风险管理策略中,定义了触发风险处理活动的风险参数。
SP 3.1 Develop Risk Mitigation Plans 制定风险缓解计划
按照风险管理策略,针对那些对项目影响最大的风险,制定风险缓解计划。
风险缓解计划的一个关键的组成部分是,制定几种行动方案、工作区、返回点,以及针对每个重要风险的一个推荐行动方案。每个风险的缓解计划都应包括:用以避免、降低和控制风险发生可能性的技术和方法,以及降低和控制风险发生后造成的危害程度的技术和方法(有时称为“应急计划”),或者上述两者。风险被监控,一旦超过所设定的阈值,就将部署风险缓解计划,以使受影响的工作回归到可接受的风险级别上。如果风险无法缓解,应调用应急方案。只有那些被确定为高级别或无法接受时,才对所选的风险制定缓解计划或应急计划,其他风险可能仅是接受或简单的控制。
处理风险通常包括以下几种备选方案:
* 风险回避:在仍然满足用户需要的情况下,改变或降低需求
* 风险控制:采取积极的措施,尽量减少风险
* 风险转移:重新分配需求,以降低风险
* 风险监控:就指定风险参数的变化,监察并定期重新评估风险
* 风险接受:承认风险,但不采取任何措施
特别是针对高风险,通常应该有一种以上的处理方法。
在许多情况下,对风险采取接受或监视方式。风险接受,通常是判断该风险级别太低不值得正式缓解,或者找不到降低该风险的可行方法的情况下采用。如果风险被接受,应该将接受的理由文档化。如果存在客观定义的、经过验证和文档化的,有关性能、时间或风险权重(可能性与结果的组合)的阈值,应该监视风险;必要时,这些阈值将启动风险缓解计划或应急计划。
应该把技术展示、模型、模拟、试行、原型建立作为风险缓解计划的一部分,尽早给予充分的考虑。
典型的工作产品
1.针对识别的各个风险的处理文件
2.风险缓解计划
3.应急计划
4.负责跟踪与处理每个风险的人员名单
子实践
1.确定风险的级别和阈值,它们定义了在什么情况下,风险变为不可接受并将触发风险缓解计划或应急方案的实施。
风险级别(根据风险模型导出)作为一种度量,针对达成目标的不确定性与没有达成目标的后果,将二者结合起来进行的。
风险的级别和阈值,界定了计划的性能或可接受的性能,必须明确地了解和定义级别和阈值,从而提供一种更好的了解风险的方式。按照严重程度和相关的管理响应,对风险进行恰当的分类,也是确保适当的优先级所必不可少的。可能存在多种阈值,来决定启动哪种不同级别的管理响应。通常情况下,在实施应急计划之前,要设置实施风险缓解计划的阈值。
2.确定负责处理风险的人或小组。
3.确定每个风险实施风险缓解计划后的成本效益比。
应该针对风险缓解活动的效益与所耗费的资源进行检查。和其它的设计活动一样,可能需要制定备选的计划,以及针对每个备选计划进行成本效益评估,从而选择最适合的计划来实施。有时风险可能很严重,收益可能会很小,但是必须缓解风险,以降低造成无法接受的后果的概率。
4.制定项目的整体风险缓解计划,以协调个别风险缓解计划与应急计划的实施。
可能无法提供完整的风险缓解计划。应该进行折衷分析,对风险缓解计划进行优先级排序并实施。
5.针对某事件所选择的关键风险,制定应急计划。
必要时制定并实施风险缓解计划,从而在风险演变成问题之前,提前降低风险。尽管做出最大的努力,有些风险还是无法避免的,最终变成影响到项目的问题。应急计划的制定是针对关键风险,描述了为处理这种影响,项目可能采取的措施。目的是制定一项处理风险的前瞻性的计划,或者是降低风险(缓解计划)或者对风险进行响应(应急计划),都是对事件中的风险进行管理。
有些风险管理文献,可能将应急计划视为风险缓解计划的同义词或子集。这些计划也一起被强调为风险处理或风险措施计划。
SP 3.2 Implement Risk Mitigation Plans 实施风险缓解计划
定期监督每个风险的状态,适当时实施风险缓解计划。
为了在整个工作期间,有效地控制与管理风险,需要遵循预先制定的计划,定期监督风险,以及风险处理措施的状况与结果。风险管理策略定义了检查风险状态的时间间隔。该活动可能发现新的风险,或需要再次策划与评估新的风险处理方案。无论哪种情况,风险可接受的阈值应该与风险状况相比较,以确定是否需要实施风险缓解计划。
典型的工作产品
1.最新的风险状态的清单
2.风险的可能性、后果和阈值的最新评估结果
3.最新的风险处理方案清单
4.最新的风险处理措施的清单
5.风险缓解计划
子实践
1.监督风险的状态。
启动风险缓解计划之后,仍然要监督风险。评估阈值,检查是否有实施应急计划的可能性。
应该采用定期监督的机制。
2.提供方法,以跟踪未完成的风险处理方案,直到关闭。
3.当所监控的风险超过所定义的阈值时,调用已选择的风险处理方案。
风险处理往往只针对“高”和“中”级别的风险。对给定的风险进行处理的策略可能包括采用技术和方法,避免、降低、控制风险发生的概率,或者是风险(预期的事件或情形)发生后,降低损害的程度,或者是包括上述两种情况。在这种情况下,风险处理包括风险缓解计划和应急计划。
采用风险处理技术,避免、降低和控制对项目目标的不利影响,并针对可能的影响,带来可接受的结果。形成处理风险的方案,需要在计划或基线进度以内,安排和调度适当的资源。重新策划时,需要仔细考虑相近的或有依赖关系的措施或活动的影响。
4.针对每个风险处理活动,制定进度表或某段时间的效果,包括从起始日至预计的完成日。
5.就每项计划做成持续性的资源承诺,保证风险处理活动的成功实施。
6.收集风险处理活动的效果度量值。 |
|
免费注册
发表于 2011-01-27 23:33