The Risk Management Plan 风险管理计划

Methodology 方法论

Roles and Responsibilities 角色和责任

Budget and Schedule 预算和时间表

Risk Categories 风险类别

Risk Probability and Impact 风险概率和影响

Tracking 追踪

Risk Documentation 风险文件

Contingency Plans 应急计划

Fall-back Plans 后备计划

4. Identify Risks 定义风险

4.1 风险的特征

通过分析以下内容，确定哪些事件应被视为风险：

Probability：该事件发生的概率是否大于零？（概率大于零）

Impact：该事件对项目的影响是什么？（有影响）

Degree of control：我们是否对该事件或其结果有一定程度的控制？（可以有一定程度的控制）

Generic Risks 一般性风险

每个软件项目都会遇到的威胁或机会（例如人员流动、预算和进度压力)

Product-specific Risks 产品特定风险

产品特有的威胁或机会，只有对产品和技术有明确了解的人才能识别。

4.2 风险的种类

Project risks 项目风险

影响项目的规划

例如：Budget, Schedule, Scope, Personnel, etc.

Product risks 产品风险

影响正在开发的成果的质量或性能

例如：设计问题、实施问题、接口问题、维护问题、验证问题。

Business risks 商业风险

影响项目的经济成功

例如：对产品没有需求，失去管理支持，失去项目的外部资金等。

4.3 风险识别

Risk identification 风险识别

处理使用系统的方法来识别和创建一个可能影响项目目标的威胁和机会的清单。

Risk identification techniques 风险识别技术

Pondering 思考/审议

Interviewing 访谈/采访

Brainstorming 集思广益

Checklists 检查表

Delphi Technique

SWOT Analysis SWOT分析

Pondering 思考

这只是涉及到个人采取 "笔和纸 "的风险识别方法，这包括坐下来思考项目中可能发生的风险。

这是许多项目中使用的初始风险评估任务之一。

Interviews/questionnaires 访谈/问卷调查

采访项目利益相关者，或要求他们填写调查问卷，以利用他们对某一领域的知识.

软件项目的风险经理不可能对所采用的方法和工具有足够的了解，以提供一个全面的风险观点，所以利益相关者和领域专家的意见是必不可少的。

Brainstorming 集思广益

团队可以使用 risk framework 或工作分解结构 Work Breakdown Structure（WBS）来识别威胁和机会.

关键是鼓励每个人的贡献。

然后小组讨论和评估。

Checklists 检查表

这涉及到使用从经验中整理出来的可能的风险驱动因素的标准检查清单。

这些checklists被用作专家思考该领域可能存在的风险类型的触发点 triggers。

Delphi Technique Delphi技术

要求一组专家确定风险和它们的影响

他们的回答是互相匿名提供给对方的

然后要求专家们根据其他专家的回答更新他们的回答——反复进行，直到达成共识。

SWOT Analysis (Case study) SWOT分析（案例研究）

Strengths, Weaknesses, Opportunities and Threats 优势、劣势、机会和威胁。

这个技巧也能发现优点和缺点。

4.4 Risk Identification - Example

第三方软件应用程序的风险

考虑使用第三方软件应用程序来提供一个正在开发的系统的某些功能的例子。第三方应用软件是与该系统平行开发的。

Risks:

应用程序的交付时间可能晚于计划，从而延迟了整个系统的交付。
一旦完成，第三方应用程序可能不够可靠，这意味着需要寻找或开发一个新的第三方应用程序来提供该功能。
第三方应用程序可能提供的行为与系统开发者的期望不一致，这意味着需要寻找或开发一个新的第三方应用程序来提供该功能。

项目规模和复杂程度

工作时间

日历时间

估算的预算

团队和规模（资源数量）

场地数量

业务单位的数量

与其他项目的依赖关系的数量

业务变化的程度

需求

不稳定的需求

不现实的质量需求

复杂的需求

变化的影响

更换新系统

对业务政策的影响

对组织结构的影响

对系统运行的影响

利益相关者

没有确定所有的关键利益相关者

缺少关键利益相关者的 "买入"。

没有完全确定利益相关者的需求

关键利益相关者没有充分参与

组织机构

项目目标的改变

缺少优先权

缺乏项目管理人员的 "买入 "和支持

项目资金不足

资源分配不当和管理不善

范围

摸索

跃进

蠕变

时间表

估算的假设并不真实

预定的应急措施不充分

估算不充分或不足

5. analyze and assess risks 分析和评估风险

Risk analysis and assessment 为评估（evaluate）风险提供了一个系统的方法

Risk analysis 风险分析

识别每个已识别的风险的概率和影响

Risk assessment 风险评估

对风险进行优先排序，以便制定有效的风险战略

分析和评估的两种方法

用于分析——Qualitative 定性：基于经验/直觉的主观评估
用于评估——Quantitative 定量：数学和统计技术

5.1 Risk Analysis 风险分析——Qualitative 定性

风险分析的重要步骤是：

1. 估计风险概率 risk probability (P)

这是对风险发生的概率的一种估计

通常根据专家的判断来完成

2. 估算风险影响 risk impact（I）

风险将对项目产生的影响。

通常以1-5（或1-10）的尺度来衡量：

(1)无影响；(2)最小影响；(3)中度影响；(4)严重影响；(5)灾难性影响

影响可以表示为一个货币价值

3. 计算风险暴露 risk exposure（或P *I Score）

$Risk exposure= P\times I$

4. 识别根本原因

识别所有风险的根本原因是很重要的

如果能确定这个根本原因，那么所有这些风险都可以通过解决这个根本原因而得到控制

5.2 Risk Analysis 风险分析 —— Example

第三方软件应用程序的风险

考虑使用第三方软件应用程序来提供一个正在开发的系统的某些功能的例子。第三方应用软件是与该系统平行开发的。

Risks:

应用程序的交付时间可能晚于计划，从而延迟了整个系统的交付。
一旦完成，第三方应用程序可能不够可靠，这意味着需要寻找或开发一个新的第三方应用程序来提供该功能。
第三方应用程序可能提供的行为与系统开发者的期望不一致，这意味着需要寻找或开发一个新的第三方应用程序来提供该功能。

5.3 Risk Assessment 风险评估 —— Risk Matrix 风险矩阵

风险矩阵——通过考虑概率或可能性后果的严重性来定义风险的等级。
一种提高风险可见度和协助管理决策的机制。

5.4 Risk Assessment 风险评估 —— Quantitative定量

定量方法包括数学和统计技术。

它们基于对特定风险情况的建模 —— 风险的概率分布是主要考虑因素。

常见的技术：

Decision Tree Analysis 决策树分析

Simulation 模拟法

Sensitivity Analysis 敏感度分析

量化方法超出了本课题的范围

6. respond to risks 应对风险（risk strategies 风险战略）

6.1 应对风险

风险分析和评估的目的是：确定应该处理（should be addressed）哪些机会和威胁（opportunities and threats）
应对每一个威胁或机会是不可行的（或可行的），因为这需要资源，而这些资源 resources 通常会从项目中转移出来，这可能对项目产生更多的负面影响。
因此，选择适当的应对策略很重要。

6.2 风险应对策略 —— threats 威胁

处理 threats 威胁的四种常见策略：

1. Accept or Ignore 接受或忽视

这意味着我们认为风险的暴露程度是可以接受的，我们希望事件不会发生，或者风险暴露小于任何避免、减轻或转移风险的技术的成本。

2. Avoid 避免

这意味着我们完全防止风险事件的发生，要么确保其概率为0，要么确保其影响为0。

3.Mitigate 减轻

这包括使用技术来降低风险的可能性，或降低风险的影响。这就导致了残留风险——即由同一事件构成的风险，但其概率/影响较低，因此风险敞口较低。然后，我们必须像分析主要风险一样分析剩余风险。

4. Transfer 转移

这包括将风险负担转移给另一方。保险是风险转移的一个例子，在这种情况下，风险的影响通过保险公司的付款来抵消。另一个例子是将一部分工作外包给拥有更多知识和专业知识的人，这是有代价的。

6.3 Risk Response - Example

考虑使用第三方软件应用程序来提供正在开发的系统的一些功能的例子。

6.4 风险应对策略 —— opportunities 机遇

处理 opportunities 机会的四种常见策略：

1. Exploit 利用

增加工作或改变项目，以确保机会的出现。

2. Enhance 加强

增加风险事件的概率和积极影响。

3. Share 分享

将机会的所有权分配给第三方。

4. Accept 接受

这意味着我们认为利用或加强的成本是不合理的，所以不做任何处理。

6.5 Risk Response Plan 风险应对计划

一旦确定了风险和策略，就可以将它们记录下来，作为风险应对计划的一部分，也称为
风险登记册 Risk Register。

一个简单的风险登记册的模板
Risk ID 风险ID：风险的唯一标识
Trigger 触发器：标志着风险已经发生的触发器
Owner 所有人：负责监测和应对的人或团体
Response 应对：应对的策略
Resources 资源：所需资源

7. monitor and control risks 监测和控制风险

一旦建立了风险应对计划，就必须对 triggers 触发器进行监测，以跟踪各种项目风险
在项目过程中可能会出现新的威胁和机会——必须对它们进行识别、分析和应对
风险监测必须是项目整体监测和控制的一部分

监测和控制的工具

Risk Audits 风险审计：

外部团队查看识别过程的全面性，并确保其他程序和过程到位。

Risk Reviews 风险审查：

定期对风险进行内部审查，为PM和那些需要了解的人生成状态报告。

Risk status meetings 风险状况会议:

风险必须在项目状态会议上进行审查和讨论，这些会议在项目中定期举行（例如，每周一次的会议）

本文含有隐藏内容，请开通VIP 后查看

软件流程和管理（三）：Risk Management

1. 理解风险管理的基本原理

1.1 Risk vs Uncertainty

1.2 为什么要进行正式的风险管理

2. 理解风险管理流程

3. Risk Management Planning