CMMI2.0之我见-风险与机会管理RSK

编者按：

CMMI2.0之我见系列将通过系列文章形式介绍CMMI2.0所涉及到的其中20个实践域，笔者将通过系统性的梳理、浅显易懂的文字描述，同时结合笔者的思考和观点，对每个实践域的目标以及所基本涵盖的内容进行描述，希望能抛砖引玉、相互碰撞，燎原出契合读者各自心中的答案。

目录：

01 策划PLAN

02 风险与机会管理RSK

03 估算EST&监视与控制MC

04 组织级培训OT&供应商协议管理SAM

05 需求开发和管理RDM

07 验证和确认VV&同行评审PR

08 技术解决方案TS&产品集成PI

09 原因分析和解决CAR&决策分析和解决DAR

10 配置管理CM

11 过程管理PCM&过程资产开发PAD

12 管理性能和度量MPM

13 治理GOV&实施基础条件II

14 过程质量保证PQA

---

CMMI2.0之我见-风险与机会管理RSK

俗话说“生于忧患，死于安乐”，企业管理中安而忘危的事例太多太多；俗话也说未雨绸缪，因此管理中的危机意识、风险意识永远都不应缺失。

CMMI2.0中强调风险与机会的管理，旨在识别潜在的风险或机会，以便策划处理风险或机会的活动，并在必要时在整个项目生存周期中实施这些活动，缓解不利的负面影响，提升有利的积极影响，提高实现目标的可能性，它是一个连续的、前瞻性的过程，是业务和技术管理过程的重要组成部分。

“风险”一词指可能对实现目标产生负面影响的不确定性。“风险”经常会与“问题”相提并论，其实两者并不是一回事，简单理解：只有当风险发生了才会转变成问题。风险管理是一项具有前瞻性的活动，而问题管理则是对问题的解决过程进行管控。

“机会”一词指可能对实现目标产生积极影响的不确定性。机会管理更注重的是投入产出比，也就是我们俗称的成本投入和预期收入。如果执行某一项活动的预期收入远远大于成本投入，那就需要我们好好利用好这样的机会，通过有限的成本投入，最大化地增加预期收益。

持续的风险管理方法可以有效预测并降低对项目有重大影响的风险。有效的风险管理是通过相关干系人的合作与参与，及早且积极地识别风险，需要具备领导相关干系人的优越领导能力，以建立自由、公开及讨论风险的环境。风险管理需同时考虑有关成本、进度、绩效及其它风险的内部及外部来源。

软件风险管理指的是“试图以一种可行的原则和实践，规范化地控制影响项目成功的风险”，其目的是“辨识、描述和消除风险因素，以免它们威胁软件的成功运作”。

风险管理应考虑到内部与外部、技术与非技术、成本来源、进度、性能以及其它方面的风险。尽早、积极地发现风险是很重要的，因为在项目早期阶段采取变更与纠正措施，相对于在项目后期才采取措施，往往更加容易和经济，风险产生的破坏性也可能降低。例如，与系统架构相关的决定，有时在充分理解相关的影响前，就已经做出了，因此必须要审慎考虑此类选择所蕴含的风险。

行业标准有助于确定如何预防或缓解在某一特定行业中经常出现的特定风险。通过对这些行业最佳实践与经验教训的回顾，可以主动地管理与缓解某些特定的风险。

我们通常也会将风险进行分级管理，实时关注风险的一系列参数，如：风险的发生概率、严重程度、优先级别等，这些都是风险管理的重要指标，根据这些风险指标来综合判断风险的处理级别并制定相应的风险管理策略。

对于风险管理的一个更聪明的策略是主动式的。主动策略早在基础工作开始之前就已经启动了，标识出潜在的风险，评估它们出现的概率及产生的影响等，对风险按重要性进行排序，然后软件项目组建立一个计划来管理风险。

针对风险优先级低的风险，我们定期监控，制定相应缓解措施，避免风险升级，尽可能把风险控制在一个可接受范围内；针对中、高风险，这类风险发生概率和严重程度都是相对比较高，要重点关注，最重要的是需要提前制定相应的应急计划，一旦风险发生或等级升级，我们需要及时采取应急计划，尽可能将风险带来的影响降至最低。

纵观RSK这个实践域，我们可以进行提炼，风险管理的主要历程可以大致分为3个阶段：潜伏阶段、发生阶段、总结阶段。

风险的潜伏阶段，风险往往在未发生前比较隐秘，这个阶段风险管理的重点是预防，用尽一切办法识别潜在的风险，这是预防风险的重要动作，识别不了后期就很难预防。识别风险的一个重要手段是历史数据和历史风险库，即风险识别一方面可以通过感性认知和历史经验来判断，另一方面也可通过对各种客观数据和历史风险记录表来分析、归纳和整理，甚至需要向经验丰富的专家请教，从而找出各种明显和潜在的风险及其损失预判。

风险是持续变化的，所以风险识别是一项持续性和系统性的工作,要求项目管理者密切注意风险的变化,并随时发现新的风险，而规避和转嫁风险是预防潜在风险发生的另一个有效办法。

 风险规避，是改变项目计划来消除特定风险事件的威胁。通常情况下，我们可以采用多种方法来规避风险。例如，如果识别出软件项目开发过程中存在的技术风险，我们可以通过采用成熟的技术，团队成员熟悉的技术或迭代式的开发过程等方法来规避风险。

 风险转嫁，是将风险责任转移给更有能力和意愿管理风险的内部或外部方。例如：常见的就是外包方式，由第三方供应商执行项目。

最后是风险缓解和应急方案，这是预防风险的核心内容。一旦风险和危机来临，有应对预案就可以有效地降低风险的损失和危机的灾难。

 风险的发生阶段，风险已经发生，风险产生的影响已经成为事实，只有积极应对，这个阶段的风险管理重在应对：选择和实施风险应对预案，事先准备的预案可以大大提高风险应对的决策效率，把决策简化到抉择。

例如，在关键技术负责人突然辞职的时候；在客户因故拖延付款的时候；在主要供应商突然宣布提高价格的时候。如果你能够事先准备好应付的预案，你就会有更多的选择余地，有充分的应对时间，就不会在突然降临的风险打击下束手无策，应急的权宜措施最能考验一个管理者的应变能力。

风险的总结阶段，风险造成的损失成为既成事实，这个阶段的风险管理重在应急和复盘。应急实际上和风险应对没什么区别，因为危机时刻没有时间给你深思熟虑，只能选择过去准备好的计划。最重要的是风险发生之后，我们重点需要做的事情是反思和总结教训，这是复盘要做的最后一件事情，但是它常常被忽略忘记，需要将这些积累和经验进行团队分享和资产入库，不断丰富组织财富，持续为组织做贡献。

在以往的CMMI版本中都是描述风险管理，在2.0版本中增加了机会管理。风险是计划之外的坏事，机会是计划之外的好事，风险是忧，机会是喜。这需要我们充分利用好机会，系统地处理好风险。

风险和机会都是不一定会发生的，是0和1的关系。风险与机会都是事先的，不是事后的，在项目实际进展中一旦风险发生要尽早报告，及时处理，不可瞒报或者不报，否则后面处理风险的成本会成倍上升，不可犯捡了芝麻丢了西瓜的错误，此乃管理大忌。同时，对风险与机会的管理，也要平衡成本和收益，不是所有的风险和机会都需要提前采取措施，项目管理者更是需要懂得其中的道理和逻辑，不可盲目投入。

作者：唐三