IT服务风险管理是指对项目风险从识别到分析乃至采取应对措施等一系列的过程,包括将使积极因素所产生的影响最大化和使消极因素产生的影响最小化两方面。具体活动有:规划和识别风险、风险的定性和定量分析、应对和控制风险。
一、规划和识别风险
1、风险管理计划。风险管理计划的输入和输出如下:
| 输入 | 服务范围说明书 |
| 服务预算 | |
| 沟通管理计划 | |
| 组织过程资产 | |
| 事业环境因素 | |
| 进度管理计划(必要时) | |
| 输出 | 方法:实施风险管理的办法和使用工具 |
| 角色和职责:定义风险管理团队的成员,并明确职责分工 | |
| 预算:分配资源并估计成本 | |
| 制订时间表:定义风险管理过程的执行时间进度计划 | |
| 风险类别:定义一个根据风险类别确定风险概率的客观标准 | |
| 风险影响力:风险影响的严重程度 | |
| 概率及影响矩阵:根据风险概率和影响程度的组合,决定该风险的高、中、低程度 | |
| 报告的格式:如何对风险管理过程的结果进行归档、分析和沟通 | |
| 跟踪:记录风险行为的方方面面,并将这些内容进行归档 | |
| 风险管理计划:以上输出内容组成风险管理计划 |
2、风险识别。风险识别的目标是识别和确定出风险、风险的基本特性,以及影响范围等。服务风险包括内部因素造成的风险和外部因素造成的风险,内部因素造成的风险可以控制,外部因素造成的风险只能规避或转移。风险识别的主要内容包括三个方面:识别并确定IT服务的潜在风险,识别引起风险的主要因素、识别风险可能引起的后果。风险识别的输入和输出见下表:
| 风险识别输入 | SLA:目标描述、干系人的目的、需求等 |
| 范围说明书:包含假设条件 | |
| 风险管理计划 | |
| 组织过程资产 | |
| 事业环境因素 | |
| 风险识别输出 | 风险记录:包括已识别出的风险列表、已识别出的风险、风险原因、风险的影响等 |
| 风险征兆或警告信号 | |
| 潜在的风险应对方法列表 | |
| 风险的根本原因 | |
| 更新的风险分类 | |
| 风险管理计划更新 |
3、风险识别的方法。
| 方法 | 描述 |
| 文档评审 | 对文档采取一些结构化的评审 |
| 信息收集技术 | 头脑风暴法、德尔菲法、访谈法、SWOT分析等 |
| 检查表 | 从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表 |
| 分析假设 | 从不准确、不连贯、不完整的假设中识别风险 |
| 图解技术 | 包括因果图、系统或过程的流程图等 |
二、风险定性和定量分析
1、风险定性分析。是对已识别的风险进行优先级排序,通过对风险的发生概率和影响程度的综合评估来确定其优先级。风险定性分析是建立风险响应计划优先级的快速有效的方法,其输入和输出见下表:
| 输入 | 风险管理计划 |
| 风险记录 | |
| 组织过程资产 | |
| 工作绩效信息:绩效报告和过程绩效信息 | |
| 范围说明 | |
| 输出 | 按优先级或相对等级排列的风险:概率及影响矩阵可根据每个风险的重要程度分类 |
| 按各类的风险分组 | |
| 要近期做出响应的风险列表 | |
| 需要进一步分析和应对的风险列表 | |
| 低优先级风险的监视表 | |
| 风险定性分析结果中反映的趋势 |
2、风险定量分析。量化风险的影响程度,以帮助做出恰当的决策。其输入和输出见下表:
| 输入 | 项目管理计划和风险管理计划 |
| 经过更新的风险记录 | |
| 包含活动的逻辑关系及活动历时估算的进度管理计划 | |
| 包含成本估算的成本管理计划 | |
| 范围说明书和范围管理计划 | |
| 工作分解结构 | |
| 组织过程资产:相关研究成果、风险数据库 | |
| 输出 | 可能性分析:对进度和成本的输出进行估计,并列出可能完成的日期和成本 |
| 实现成本和进度目标的可能性 | |
| 已量化风险的优先级列表 | |
| 定量风险分析结果中的趋势 |
三、应对和控制风险
1、风险处置计划。风险处置计划是指依据相应优先级的顺序,同时考虑实际需要,把应对风险所需成本和措施加入IT服务预算和进度中。有计划的风险应对应考虑风险的重要性、成本的有效性、应对的及时性、环境中的现实性、是否可以被各方接受,并要有一个明确的责任人。风险处置计划的输入、输出见下表:
| 输入 | 风险管理计划:成员任务分配、风险分析定义、不同风险等级的划分、风险管理计划的预算和进度方案 |
| 风险记录:风险处置计划过程可能必须向前追溯已识别出的风险、挖掘风险的根源、潜在的应对措施、风险责任人及风险和征兆和警告信号 | |
| 输出 | 已识别的风险及其描述 |
| 风险责任人及其职责 | |
| 定性和定量风险分析过程的结果 | |
| 一致认同的应对策略 | |
| 执行选定的应对策略所需的具体行动 | |
| 在应对策略执行后,期望的残留风险水平 | |
| 风险发生时的预警和信号 | |
| 风险应对策略所需的预算和时间 | |
| 时间和成本的应急储备 | |
| 启动应急计划的触发条件 | |
| 风险一旦发生后所采用的回退计划 | |
| 残留风险 | |
| 二级风险:执行某一风险应对措施而直接引发的风险 | |
| 需要的应急储备量:通过风险的定量分析和组织对风险的承受能力确定 | |
| 风险相关的合同协议 |
2、风险处置的方法。具体如下:
| 负面风险应对策略 | 避免:修改计划以消除相应的威胁、隔离目标免受影响、放宽目标等 |
| 转移:把风险应对责任转移给第三方 | |
| 减轻:降低风险的概率和影响程度,使之达到一个可接受的范围 | |
| 机遇应对策略 | 开拓:分配更好更多的资源给该服务,使之可以提供比原计划更好的成果 |
| 分享:将相关重要信息提供给一个能够更加有效利用该机会的第三方 | |
| 强大:通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,增加机会发生的可能性 | |
| 同时应对机遇和威胁 | 预留突发事件预备资源,包括进度、成本或资源来处理已知的甚至是潜在的突发的未知风险 |
| 应急响应策略 | 制订一个计划来应对风险,等以后必要时使用 |
3、风险监控。是指跟踪已识别的风险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性。风险监控是整个生命周期中一个持续进行的过程。风险监控的输入和输出如下:
| 输入 | 风险管理计划 |
| 风险记录:已识别的风险及其责任人、一致认同的风险应对策略及实施措施、风险征兆及预警信号、残余风险及二级风险、低优先级风险的监视列表和时间及成本及应急储备 | |
| 工作绩效信息:计划交付的状态、改进措施和执行报告 | |
| 批准的变更请求:工作方式、合同期限、范围大小、工作计划的修订 | |
| 输出 | 建议的纠正措施:包括应急计划和临时措施 |
| 变更申请:由综合变更控制进行管理 | |
| 风险记录:一个在风险管理中收集数据并进行维护和分析的知识库 | |
| 组织过程资产 |
4、风险监控的方法。主要有以下5种方法:
| 方法 | 描述 |
| 风险评估 | 风险监控需要重新评估新的风险,频次和详细程度取决于计划对目标的实现程度 |
| 风险审计和定期的风险评审 | 进行风险审计并记录应对的效用,风险检查应定期进行,在小组例会上风险管理应作为一个议程 |
| 差异和趋势分析 | 通过分析绩效数据,对进度、成本的潜在偏差进行分析 |
| 技术的绩效评估 | 通过比较执行过程的技术成果和原始计划的差别来完成 |
| 预留管理 | 通过比对剩余的预留储备和剩余的风险,可以看出预留储备是否合适 |
5、风险跟踪。风险跟踪是对已识别的风险和其他突发风险进行观察记录,对风险的发展状况进行记录和查询。风险跟踪的方法有3种:
| 方法 | 描述 |
| 风险审计 | 定期进行风险审核 |
| 偏差分析 | 定期审核进度、成本、质量等指标的偏差 |
| 技术指标分析 | 比较原定的技术指标和实际技术指标之间的差异 |
风险清单是一种管理工具,风险管理负责人要动态维护风险清单,并排列优先顺序,对这些风险的严重程度的变化保持警惕。
扫一扫
1052
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
