风险管理(RSKM 3级)
成熟度第三级的项目管理累过程域
目的
风险管理(Risk Management, RSKM)的目的是在风险发生前,识别出潜在的问题,以便在产品或项目的生命周期中规划风险处理活动,并于必要时启动之,如此可将不利于完成目标的影响降低。
简介
风险管理是一个持续的、前瞻的过程,此过程是管理的重要部分。风险管理应该强调可能会危害到重要目标的议题。持续的风险管理方法可以有效预测并降低对项目有重大影响的风险。
有效的风险管理是透过相关的干系人的合作与参与,及早且积极的识别风险,如同项目策划过程域所述的「干系人参与计划」一样。需要具备领导相关干系人的优越领导能力,以建立自由、公开及讨论风险的环境。
风险管理须同时考虑有关成本、进度、绩效及其它风险的内部及外部来源。因为在项目初期进行变更或修正的工作负荷,通常比在项目后期来得容易、花费较低及较不具破坏性,所以,早期及积极的风险侦测是重要的。
风险管理可以区分成三部分:定义风险管理策略、识别及分析风险,以及处理已识别的风险,包括必要时,执行风险降低计划。
如同项目策划过程域和项目监控过程域所示,组织初期可能只专注于识别风险,以及当这些风险发生时采取行动。风险管理过程域描述这些特定实践之演进,以有系统的规划、预测及降低风险,使对项目的冲击降至最低。
虽然风险管理过程域主要强调的是项目,但观念亦可应用在管理组织的风险。
相关过程域
有关项目风险识别及干系人参与的规划,请参考项目策划过程域,以获得更多信息。
有关监控项目风险,请参考项目监控过程域,以获得更多信息。
有关使用正式评估过程以评估选择及降低已识别风险的备选方案,请参考决策分析和解决方案过程域,以获得更多信息。
特定目标和实践摘要
SG 1 风险管理准备
SP 1.1 决定风险来源和类别
SP 1.2 定义风险参数
SP 1.3 建立风险管理策略
SG 2 识别并分析风险
SP 2.1 识别风险
SP 2.2 评估、分类及排序风险
SG 3 降低风险
SP 3.1 开发风险降低计划
SP 3.2 执行风险降低计划
各目标的特定实践
SG 1 风险管理准备
准备执行风险管理。
建立并维护用来识别、分析及降低风险的策略,以执行风险管理的准备工作。风险管理策略通常记录于风险管理计划中。风险管理策略说明用来控制风险管理计划的特定活动和管理方法。这包括识别风险来源、风险分类的计划,以及用来有效处理评估、限定和控制风险的参数。
SP 1.1 决定风险来源和类别
决定风险来源和类别。
识别风险来源提供一种基础,以系统化检视随时间而改变的状况,发觉影响项目达成目标的情况。风险来源来自项目的内部及外部。在项目进行过程中,可能识别其它的风险来源。建立风险类别提供一种机制以收集和组织风险,并对比较严重影响项目目标的风险,保持适当的警觉和注意。
典型的工作产品
1. 风险来源清单(内部及外部)
2. 风险类别清单
子实践
1. 决定风险来源。
风险来源是项目或组织内造成风险的基本因素,项目有许多内部及外部的风险来源。风险来源是识别风险发生的共同来源,典型的内部及外部风险来源包括下列各项:
• 不确定的需求
• 无前例的工作量─无法取得预估值
• 不可行的设计
• 不存在的技术
• 不实际的进度估计值或配置
• 不充分的人员配置和技能
• 成本或资金议题
• 不确定或不充分的分包商能力
• 不确定或不充分的供应商能力
• 与实际或潜在客户,或与业务代表的不充分沟通
• 营运连续性的中断
很多风险来源经常未做充分规划就已被接受。越早识别内部和外部的风险来源,即可尽早识别风险,并在项目初期执行风险降低计划,以排除风险的发生,或降低发生时的严重性。
2. 决定风险类别。
风险类别表达「贮存仓」的概念,用来收集和组织风险。识别风险类别的原因之一是它可协助未来集成风险降低计划的各项活动。
决定风险类别时,可考虑下列因素:
• 项目生命周期模型的各阶段(如:需求、设计、制造、测试与评估、交付、汰除)
• 使用的过程类型
• 使用的产品类型
• 计划管理的风险(如:合同风险、预算/成本风险、进度风险、资源风险、绩效风险、支持能力的风险)
风险分类表可作为风险来源和类别的架构。
SP 1.2 定义风险参数
定义用来分析及分类风险的参数,以及用以控制风险管理投入的参数。
用来评估、分类和排序风险的参数,包括下列各项:
• 风险可能性(即风险发生的机率)
• 风险结果(即风险发生的影响和严重性)
• 驱动管理活动的阈值
风险参数提供共同且一致的准则,用以比较需要管理的各种风险。没有这些参数,则由风险导致的非预期变更,将很难估计其严重程度;在风险降低计划中,也很难排定必要行动的优先级。
典型的工作产品
1. 风险评估、分类及排定优先级的准则
2. 风险管理需求(例:控制与核准等级、再评价的时间间隔等)
子实践
1. 定义一致性的准则,以评估及量化风险的可能性及严重程度。
透过使用一致性的准则(例如:可能性和严重程度的范围),可共同了解不同风险之冲击,使能适度的检查,并保证获得管理者注意。在管理不同的风险方面(例如:人员安全相对于环境污染),保证最终结果的一致性是重要的(例如:环境污染的高风险和人员安全的高风险一样重要)。
2. 定义每个风险类别的阈值。
对每一风险类别,可建立阈值以决定风险的可接受性或不可接受性、风险的优先级,或管理行动启动装置。
阈值的范例,举例如下:
• 项目阈值值可建立为:当产品成本超过目标成本百分之10,或当成本绩效指标(CPI)降到0.95 以下时,可与资深管理阶层共同研商。
• 进度阈值值可建立为:当进度绩效指标(SPI) 降到0.95 以下时,可与资深管理阶层共同研商。
• 绩效阈值值可建立为:当关键项目(如处理器使用率或平均反应时间)超过预期设计的百分之125 以上,可与资深管理阶层共同研商。
对每个已识别的风险,建立若干个监控点,以更积极的监控风险,或通知执行降低风险计划。这些数值日后可再调修。
3. 定义某风险类别阈值的范围。
并未限制风险以量或质的方式评价。范围的定义(或范围的条件),可用来限定风险管理投入程度,以避免资源过度消耗。范围的订定,可排除某个类别的风险来源,亦可排除任何发生小于某个频率的情况。
SP 1.3 建立风险管理的策略
建立并维护风险管理的策略。
详细风险管理策略说明的事项如下:
• 风险管理投入的范围
• 使用于风险识别、风险分析、风险降低、风险监控及沟通的方法及工具
• 项目特定的风险来源
• 如何组织、分类、比较及集成风险
• 对已识别风险采取行动的参数,包括可能性、结果及阈值
• 风险降低所使用的技术,例如:原型制作、试行、模拟、备选方案设计或渐进式开发
• 定义风险度量,以监控风险状况
• 风险监控或再评价的时间间隔
风险管理策略应由共同的成功愿景所导引,这愿景从交付产品、成本及对任务之适用性的观点,来描述对未来项目结果的期望。风险管理策略通常记录于组织或项目的风险管理计划。风险管理策略由相关的干系人审查,以增进承诺和了解。
典型的工作产品
1. 项目风险管理策略
SG 2 识别并分析风险
识别并分析风险,以决定其相对的重要性。
风险的严重程度会影响用于处理已识别风险的资源,以及何时需要适当之管理阶层关切的决定。
分析风险需要自已经识别的内外部来源识别风险,而后评估每一风险,以决定可能性和发生结果。风险分类提供处理风险所需的信息,它是依据已建立的风险类别,以及风险管理策略所开发的准则来进行评估。为了有效率的处理和有效的应用风险管理资源,可把相关风险组成不同的群组。
SP 2.1 识别风险
识别并记录风险。
IPPD 补充
需考虑集成团队执行项目时的特殊风险,例如:团队外部或团队内部间失去协调所导致的风险。
识别可能会负面影响工作投入或计划的潜在问题、危险、威胁及弱点等,是完整及成功的风险管理的基础。必须先用容易明了的方式,识别与描述风险,才可以适当的分析与处理风险。用简洁的叙述记录风险,包括风险发生的内容、条件及结果。
风险识别应是有组织及透彻的方法,以找出在达成目标的过程中可能发生或实际的风险。为了有效起见,风险识别不应试图说明每一可能事件,而无论其是否极不可能发生。使用由风险管理策略开发出来的类别与参数,以及已识别的风险来源,可提供适用于风险识别的规范及效率。已识别的风险是启动风险管理活动的基线。风险清单应定期审查,以重新检查可能的风险来源和状况变更,以揭露自风险管理策略前次更新以来,忽略或不存在的风险与来源。
风险识别活动着重于风险的识别,而非给予责难,管理者不应使用风险识别活动的结果来评估个人的绩效。
识别风险的方法有很多,典型的识别方法如下:
• 检查项目工作分解结构的每个组件以找出风险。
• 使用风险分类表来评价风险。
• 访谈主题事务专家。
• 由类似产品的比较来审查风险管理投入。
• 检查学习心得文档或数据库。
• 检查设计规格和协议书需求。
典型的工作产品
1. 已识别的风险清单,包括风险发生的内容、条件及结果。
子实践
1. 识别与成本、进度及绩效相关的风险。
检查成本、进度及绩效风险对项目目标的冲击程度。可能有潜在风险不在项目目标的范围内,却对客户的利益非常重要。例如:开发成本、产品取得成本、备品(或替代品)成本及产品处理(汰除) 成本等风险隐含在设计中。客户可能并未考虑到支持现场产品或交付服务的所有成本。客户虽然未必需要主动管理那些风险,但应被告知风险。适当时,应该在项目和组织等级,检查并实施此种决策的机制,尤其是对于影响验证与确认产品能力的风险。
除了以上所识别的成本风险外,其它的成本风险包含与赞助资金额、资金估计及预算分配有关的议题。
进度风险包括与规划的活动、主要事件及里程碑相关的风险。
绩效风险包含与下列相关的风险:
• 需求
• 分析与设计
• 新技术应用
• 物理规模大小
• 形状
• 重量
• 生产与制造
• 功能绩效及操作
• 验证
• 确认
• 绩效维护属性
绩效维护属性是指某些特征,这些特征会让使用中的产品或服务保有原先所要求的绩效,例如:维持安全和保密绩效。
还有其它非属成本、进度或绩效上的风险类别。
以下是其它风险的范例:
• 供应来源缩减
• 科技循环时间
• 竞争
2. 审查可能影响项目的环境因素。
项目经常疏忽的风险,包含那些被认为在项目范围外的风险(即项目无法控制他们是否发生,但可降低其冲击),例如:天气,影响营运持续性的自然或人为灾害,政治变化及电信故障。
3. 审查工作分解结构所有组件,作为风险识别的一部分,以协助确保所有的工作投入均已考虑。
4. 审查项目计划的所有组件,作为风险识别的一部分,以确保项目在各方面均已考虑。
有关识别项目风险,请参考项目策划过程域,以获得更多信息。
5. 记录风险之内容、条件及可能的结果。
风险说明通常以标准的格式记录,包含风险内容、条件及发生的结果。风险内容提供额外的信息,可容易了解风险的意义。在记录风险内容时,要考虑风险出现的相对时间顺序,以及风险周遭的环境或条件,因风险会带来关切、疑虑或不确定性。
6. 识别每一风险相关的干系人。
SP 2.2 评估、分类及排序风险
利用定义的风险种类及参数,评估及分类每个已识别的风险,并决定其相对的优先处理顺序。
在指定每个已识别的风险相对的重要性时需要风险评估,以决定在何时需给予适当的管理阶层注意。依据风险间相互关系将风险汇集起来,并于某汇集等级上开发方案,通常是有用的。当一个风险由较低等级风险向上汇集而形成时,必须小心谨慎,以确保未忽略重要之较低等级的风险。
总体来说,风险评估、分类及排序的活动,有时被称为「风险评价」或「风险分析」。
典型的工作产品
1. 风险清单,包含各风险的优先级
子实践
1. 利用已定义的风险参数,评估已识别的风险。
根据定义的风险参数,评估每个风险并指定数值,数值可包括可能性、结果(严重性或冲击度) 及阈值。可集成这些指定的风险参数值以产生额外的度量,例如:风险曝光程度可用来排列风险的优先级,以便处理。
通常具有3 到5 个数值的量尺,可用来评估可能性和结果。例如:可能性可分类为微乎其微、不太可能、可能、非常可能,或近乎确定。
结果(严重性或冲击度)的范例,举例如下:
• 低
• 中
• 高
• 可忽略
• 微小
• 重要
• 严重
• 灾难
机率值经常用来量化可能性。结果通常和成本、进度、环境冲击或人员度量值相关(例:人力时间损失和伤害的严重程度)。
此评估经常是困难且费时的工作,可能需要特定的专门知识或群组技术,以评价风险和获得对排定优先级的信心。此外,优先级随着时间进展可能需要重新评估。
2. 依照定义的风险类别,将风险分类并分组。
将风险归类到已定义的风险类别,可提供一个根据风险的来源、分类表或项目组件,检查风险的方法。相关或相同的风险可归成一类,以便有效处理,并记录相关风险之间的因果关系。
3. 排列降低风险的优先级。
依据指定的风险参数,决定每个风险相对的优先级,应使用清楚的准则来决定风险的优先级。排定优先级的目的是为了确定降低风险的资源能用在最有效的范围,使其对项目有最大的正面影响。
SG 3 降低风险
适当地处理及降低风险,以减少对目标达成的不力因素。
处理风险的步骤,包括制订风险处理方案、监控风险,以及超过所定义的阈值时,执行风险处理活动。对于选定的风险,应制订和执行风险降低计划,以主动减少风险发生的潜在冲击。除试图降低风险,亦应包括紧急应变计划(contingency plan), 以处理可能发生的风险冲击。在风险管理策略中,定义启动风险处理活动的风险参数。
SP 3.1 制订风险降低计划
根据风险管理策略所定义的对项目影响最大的风险,制订风险降低计划。
针对每个关键性的风险,制订可选择的活动、替代方案、返回点,并对每个风险皆有建议的行动过程,是风险降低计划的关键组件。特定风险的风险降低计划包括规避、降低及控制风险发生可能性的技术和方法,或风险发生时遭受的损失程度(有时称作「紧急应变计划」),或上述两者。监控风险,当风险超过设定的阈值时,展开风险降低计划,以使受冲击的部分回归到可接受的风险等级。只有风险结果评定为高或无法接受时,才对该风险制订风险降低计划和紧急应变计划,其它的风险可能仅是接受,并简单地监控。
风险处理方案,通常包括下列各种备选方案:
• 风险规避:改变或降低需求,但仍符合使用者需要
• 风险控制:采取主动的步骤,以降低风险
• 风险移转:重新配置设计需求,以降低风险
• 风险监控:就指定之风险参数的变化,观察并定期重新评估风险
• 风险接受:对风险有认知,但不采取任何动作
通常,特别针对「高」风险,应产生一种以上的风险处理方法。
在中断营运持续力的案例中,风险管理的处理方法举例如下:
• 保留资源以因应中断事件
• 适当可使用的支持设备清单
• 主要的备援人员
• 紧急应变系统的测试计划及结果
• 紧急事件的后续程序
• 紧急事件中,主要联络人及信息资源的散播清单
在很多情况中,风险会被接受或被观察。若风险被判定太低而不需正式的风险降低计划,或当似乎没有降低风险的可行方法,则通常接受该风险。假如接受一个风险,就必须记录决定的理由。在绩效、时间或风险曝光程度(可能性和结果的组合)的阈值能客观定义、验证及记录之后,风险才可观察。必要时才能启动风险降低计划,或紧急应变计划。
应尽早且充分地考虑技术的展示、模型、仿真及原型,作为风险降低计划的一部分。
典型的工作产品
1. 每个已识别风险之处理方案的纪录
2. 风险降低计划
3. 紧急应变计划
4. 负责追踪及解决每个风险的人员清单
子实践
1. 决定风险的等级及阈值,以定义风险在什么情况下是变成无法接受,并启动风险降低计划或紧急应变计划。
风险等级(利用风险模型导出)是一种度量,由达成目标的不确定性和无法达成目标的结果所组成。
必须清楚了解并定义风险程度和阈值,因风险程度和阈值会限定规划的或可接受的绩效范围,以提供方法来了解风险。为了确保适当的排序(根据严重性)和相关管理响应,正确的风险分类是必要的。可设定多重阈值,以启动不同等级的管理响应。通常在设定执行紧急应变计划阈值之前,会先设定好执行风险降低计划的阈值。
2. 识别负责处理每个风险的个人或团队。
3. 决定实施每个风险之风险降低计划的成本效益比。
应检验风险降低活动产生的效益相对于将耗用的资源。就如同其它的设计活动,需要开发替代计划,并评价每个替代计划的成本与效益,而后选择最佳的计划来实行。有时,风险可能很重大且效益很小,但仍需降低风险,以减少无法接受之结果的发生机率。
4. 开发项目整体的风险降低计划,以协调个别的风险降低计划和紧急应变计划。
完整的风险降低计划可能无法负担。所以,应作取舍分析,以对风险降低计划排定优先级。
5. 针对选取的关键风险,制订当其发生时的紧急应变计划。
需要时,在风险变成问题前,制订和实施风险降低计划,以主动降低风险。尽管有最佳的努力,有些风险可能无法避免且成为冲击项目的问题。对关键的风险制订紧急应变计划,描述项目在冲击发生时,可能采取的行动。定义处理风险的预先动作计划的意图,不是降低风险(风险降低计划),就是响应风险(紧急应变计划),但无论那一种,都是管理风险。
有些风险管理文献可能把紧急应变计划当作风险降低计划的同义词或一部分,这些计划也可能与风险处理计划或风险行动计划一起说明。
SP 3.2 执行风险降低计划
定期监控每一风险的状况,并适当地执行风险降低计划。
为了在工作期间有效控制和管理风险,需遵守事先安排的计划,定期监控风险及其状况,以及风险处理活动的结果。风险管理策略定义风险状况应再评价的间隔。这个活动可能导致发现新风险,或可能需要重新规划或重新评价新风险的处理方案。在任一情况,风险可接受的阈值应与风险状况比较,以决定是否需要执行风险降低计划。
典型的工作产品
1. 更新后的风险状况清单
2. 更新后的风险可能性、结果及阈值的评价
3. 更新后的风险处理方案清单
4. 更新后的风险处理行动清单
5. 风险降低计划
子实践
1. 监控风险状况。
风险降低计划启动后,仍然要监控风险。评价阈值以检查是否要执行紧急应变计划。应使用定期监控的机制。
2. 提供方法,以追踪未完成的风险处理行动项目,一直到关闭。
有关追踪行动项目,请参考项目监控过程域,以获得更多信息。
3. 当监控的风险超过定义的阈值时,引用选定的风险处理方案。
风险处理经常只对判断为「高等」或「中等」的风险。对于已知风险,风险处理策略可能包括避免、降低及控制风险可能性的技术和方法,或控制风险(预期的事件或情况)发生时,遭受损失程度的技术和方法,或上述两者。因此,风险处理包括风险降低计划和紧急应变计划。
开发风险处理的技术,以避免、降低及控制不利项目目标的冲击,并根据可能的冲击,提出可接受的结果。处理风险的活动,需要适当的资源并安排于计划与基线进度表之中。重新规划的工作需要密切考虑前后相接的或有相依性之工作启动或活动的影响。
有关修订项目计划,请参考项目监控过程域,以获得更多信息。
4. 针对每个风险处理活动,建立进度或某段期间的绩效,包括起始日期和预计的完成日期。
5. 对每个计划提供持续性的资源承诺,以使风险处理活动成功的执行。
6. 收集风险处理活动的绩效度量。
相关资源:CMMI标准文档模板(最全)
1471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
