- 論壇徽章:
- 0
|
來源:http://blog.csai.cn/user2/51384/archives/2009/40617.html
RISK MANAGEMENT 風險管理
A Project Management Process Area at Maturity Level 3 項目管理過程領域的成熟度第三級
Purpose 目的
風險管理(簡稱RSKM)的目的在于���,在風險發(fā)生之前識別潛在的問題��,從而策劃風險處理活動�����,必要時在整個產(chǎn)品或項目生命周期中加以實施�����,以緩解對實現(xiàn)目標的不利影響���。
Introductory Notes 簡介
風險管理是一個持續(xù)性���、前瞻性的過程,是管理的一個重要組成部分���。風險管理應該處理那些可能危及關鍵目標實現(xiàn)的問題���。應用持續(xù)的風險管理方法,可以有效地預測和緩解對項目有重要影響的風險���。
有效的風險管理��,應按照項目策劃過程域所強調的干系人參與計劃的描述��,通過與相關干系人的合作和參與���,盡早并積極地識別風險���。為建立自由����、開放的討論與揭示風險的環(huán)境�����,需要所有的相關干系人具有強有力的領導能力���。
風險管理必須從內部和外部兩個方面考慮成本�、進度�����、性能風險及其他風險�����。盡早并積極地發(fā)現(xiàn)風險相當重要,因為相比在項目的后期而言����,在早期進行變更或采取的措施,往往更加容易���、成本較低����、破壞性較少��。
風險管理可以分為三個部分:定義風險管理策略����、識別與分析風險,以及處理已識別的風險�����,包括在必要時執(zhí)行風險緩解計劃��。
如同“項目策劃”與“項目監(jiān)控”過程域所述���,組織最初可能只是關注風險的識別����,在風險發(fā)生后才做出反應。風險管理過程域描述的是這些特定實踐的發(fā)展演變��,為了將風險對項目的影響降到最低�����,進行系統(tǒng)的策劃��、預測并緩解風險���。
盡管風險管理過程域主要強調的是項目風險,但這種概念同樣適用于管理組織風險���。
特定目標和特定實踐
SG 1 Prepare for Risk Management風險管理準備
進行風險管理的準備�。
準備工作是指建立并維護用于識別����、分析與緩解風險的策略。這個策略一般被編寫成風險管理計劃���。風險管理策略說明用來控制風險管理計劃的特定措施與管理方法���、控制風險的流程���。包括識別風險來源、風險分類方案����,以及有效評估、界定和控制風險的參數(shù)��。
SP 1.1 Determine Risk Sources and Categories 確定風險來源與類別
確定風險的來源與類別���。
識別風險的來源����,將為系統(tǒng)性地檢查不斷變化的情況打下基礎��,以便揭示那些對項目實現(xiàn)其目標的能力造成不利影響的情況��。隨著項目的推進���,可能識別出一些其他的風險來源�。建立風險的類別,實際上是提供了一種機制�����,便于收集和歸納各種風險�,確保那些嚴重影響項目目標實現(xiàn)的風險,得到適當?shù)臋z查并引起管理者的關注���。
典型的工作產(chǎn)品
1.風險來源清單(外部和內部)
2.風險類別清單
子實踐
1.確定風險的來源��。
風險的來源是導致項目或組織內部風險發(fā)生的基本驅動��。對于項目來說�,風險有很多來源����,包括內部的和外部的�。風險來源會識別出風險可能發(fā)生的一些共同的區(qū)域。內部和外部的風險來源通常包括:
* 不確定的需求
* 不可預測的工作量——難以估算
* 難以實施的設計
* 無法采用的技術
* 不切實際的進度估算或分配
* 人員或技術不足
* 成本或資金問題
* 轉包商的能力無法確定或能力不足
* 供應商的能力無法確定或能力不足
* 與實際存在或潛在的客戶或客戶代表溝通不足
* 操作的連貫性遭到破壞
上述風險來源��,在沒有充分的策劃之前��,通常有很多都會被接受�。盡早地識別內外部的風險來源,就可以盡早地識別出風險,從而盡早地執(zhí)行風險緩解計劃����,排除項目中風險的發(fā)生,或者降低發(fā)生后產(chǎn)生的影響����。
2.確定風險的類別。
風險的類別是收集并組織風險的“柜子”�。識別風險類別的原因之一,是幫助鞏固未來風險緩解計劃中的各項活動�。
確定風險的類別時,要考慮以下因素:
* 項目生命周期的階段(例如�����,需求����、設計、制造��、測試和評估���、交付和配置)
* 所使用的過程類型
* 所使用的產(chǎn)品類型
* 項目管理風險(例如���,合同風險�����、預算/成本風險���,進度風險、資源風險�����、性能風險�、保障性風險)
采用風險分類法,為確定風險的來源和類別提供基礎框架�。
SP 1.2 Define Risk Parameters 定義風險參數(shù)
定義對風險進行分析與分類的參數(shù),以及控制風險管理工作量的參數(shù)��。
評估���、分類以及排列風險優(yōu)先級的參數(shù)包括:
* 風險可能性(即風險發(fā)生的概率)
* 風險發(fā)生的后果(即風險發(fā)生的影響與嚴重性)
* 觸發(fā)管理活動的閾值
風險參數(shù)提供了共通且一致的標準,以區(qū)分需要管理的各種風險����。沒有這些參數(shù)�����,將很難估計風險造成危害的嚴重程度�����,也很難對風險緩解計劃中的必要措施進行優(yōu)先級排序�����。
典型的工作產(chǎn)品
1.風險評估����、分類與排序的標準
2.風險管理的需求(例如���,控制與批準級別����、再次評估的間隔時間)
子實踐
1.為評估與界定風險的概率和嚴重級別����,定義統(tǒng)一的標準。
采用統(tǒng)一的標準(例如�,概率和嚴重程度的界限)��,可以對不同風險的影響有統(tǒng)一的了解��,保證得到適當?shù)膶彶�,并獲得管理層的重視����。在對不同的風險進行管理時(例如,個人安全vs.環(huán)境污染)�,確保最終結果的一致性非常關鍵(例如,環(huán)境污染方面的高風險�����,相對個人安全方面的高風險來說����,同樣重要)。
2.定義每類風險的閾值��。
定義各類風險的閾值����,確認風險的可接受性和不可接受性��,風險的優(yōu)先級,以及采取風險管理措施的觸發(fā)器��。
閾值舉例如下:
* 建立項目范圍內的閾值����,產(chǎn)品成本超過估算成本的10%時,或者成本性能指數(shù)(CPIs)低于0.95時��,要上報高層管理
* 進度性能指數(shù)(SPIs)低于0.95時�,要上報高層管理者
* 指定的關鍵項(例如,處理器使用率或平均反應時間)超過預期設計的125%時���,要將性能上報高層管理者
針對識別的各類風險�����,上述閾值可能會進一步修訂���,從而確立一些點,達到這些點時����,就要部署更加強大的風險監(jiān)控,或者警告要實施風險緩解計劃��。
3.定義某類風險的閾值范圍。
無論是定量的或是定性的方式��,關于如何評估風險��,幾乎都沒有限制���。運用界限的定義(或界限的條件)��,可以幫助劃分風險管理工作的范圍����,避免耗費過多的資源�。界限可以包括某類風險排除在外的來源。這些界限也可以將低于給定頻率所發(fā)生的任何條件都排除在外����。
SP 1.3 Establish a Risk Management Strategy 建立風險管理策略
建立并維護風險管理的策略。
綜合性的風險管理策略���,強調的內容包括:
* 風險管理工作量的范圍
* 用于風險識別���、風險分析、風險環(huán)境、風險監(jiān)控以及溝通的方法與工具
* 項目特定的風險來源
* 如何將風險進行組織���、分類、比較與合并
* 對已識別的風險采取措施的參數(shù)����,包括可能性、結果和閾值
* 風險緩解所使用的技術���,包括原型建立���、試行、模擬���、備選設計或迭代式開發(fā)
* 用于監(jiān)控風險狀態(tài)的風險度量值的定義
* 風險監(jiān)控或再評估的間隔時間
風險管理策略應著眼于共同的成功愿景�����,這個愿景從交付的產(chǎn)品�����、成本�、工作適用性等角度,描述了對項目未來成果的期望�。風險管理策略往往在項目風險管理計劃中反映,并且應該與相關的干系人一起評審���,以促進對風險策略的理解和承諾的實現(xiàn)��。
典型的工作產(chǎn)品
1.項目風險管理策略
SG 2 Identify and Analyze Risks 識別并分析風險
識別并分析風險�����,確定它們的相對重要性�����。
風險的程度����,會影響到處理已識別風險的資源分配���,以及確定何時需要適當?shù)墓芾碚哧P注�。
分析風險需要從內��、外部來源來識別風險�,然后評估每個風險��,確定其可能性與后果�����。對風險進行分類����,是以風險管理策略中建立的風險類別與標準為基礎的��,它為風險的處理提供所需的信息�。為了有效地處理風險與利用風險管理資源�����,可以將相關的風險分組�����。
SP 2.1 Identify Risks 識別風險
識別風險并將其文檔化���。
對那些可能對工作量或計劃造成負面影響的潛在問題�����、危害���、威脅和弱點的識別����,是健全與成功的風險管理的基礎��。在對風險進行分析與適當?shù)墓芾碇�����,必須先識別風險��,并以一種易于理解的方式進行描述��。將風險形成簡明扼要的文件�����,包括內容�����、條件及風險發(fā)生的后果�。
風險識別應按照有組織的�����、透徹的方法���,以找出在完成目標的過程中,可能發(fā)生或實際的風險�����。為了有效起見�,不應該不顧其是否極不可能發(fā)生����,而試圖處理每一個可能的事件。運用風險管理策略中制定的類別與參數(shù)�,結合已識別的風險來源,可以提供適合于風險識別的規(guī)范與效率�。已識別的風險是啟動風險管理活動的基線。風險清單應定期評審�����,以便重新檢查可能的風險來源和變更條件���,從而進一步發(fā)現(xiàn)以前所忽視的����,或者在風險管理策略最后更新時還沒存在的來源或風險。
風險識別活動注重風險的識別����,而非追究過失。管理者不應根據(jù)風險識別活動的結果�,來評估個人的績效。
有很多風險識別的方法���,典型的識別方法包括:
* 檢查項目工作分解結構中的每個要素�,以發(fā)現(xiàn)風險
* 運用風險分類法進行風險評估
* 向相關事務專家征求意見
* 評審類似產(chǎn)品的風險管理工作
* 檢查有關的經(jīng)驗教訓的文件或數(shù)據(jù)庫
* 檢查設計規(guī)范和協(xié)議需求
典型的工作產(chǎn)品
1.已識別風險的清單���,包括內容���、條件和風險發(fā)生的后果
子實踐
1.識別與成本、進度及性能相關的風險��。
應該檢查成本�����、進度和性能風險影響項目目標的程度。在項目的目標范圍之外�,可能會發(fā)現(xiàn)潛在的風險,這些風險對客戶利益而言是至關重要的�。例如,有關開發(fā)成本�、產(chǎn)品采購成本、備用(替代)產(chǎn)品的成本�、產(chǎn)品部署(配置)的成本等風險都是隱藏的��?蛻艨赡軟]有考慮到要保障產(chǎn)品的交接或交付后的服務時所需的總成本����?蛻魬摫桓嬷@類風險�,但要積極管理這些風險可能沒有必要���。應該在項目級和組織級上檢查這種決策機制�,適當時要將其放在適當?shù)膶蛹夁M行管理���,尤其是那些影響到產(chǎn)品驗證或確認能力的風險�����。
除了識別的上述成本風險之外���,其他的成本風險可能包含與資金級別����、資金估算以及分配的預算相關的風險��。
進度風險可能包含與策劃的活動�����、關鍵事件��、里程碑相關的風險�。
性能風險可能包含以下相關的風險:
* 需求
* 分析與設計
* 新技術的應用
* 物理規(guī)模
* 外形
* 重量
* 制造和制作
* 功能性能和操作
* 驗證
* 確認
* 性能維護屬性
性能維護屬性是指,使用中的產(chǎn)品或服務表現(xiàn)出最初要求的性能的特征����,例如維護安全與保密的性能。
也存在其他不屬于成本�����、進度或性能等類別的風險。
其他風險包括:
* 與罷工有關的風險
* 日益緊縮的供應來源
* 技術周期時間
* 競爭
2.評審可能影響項目的環(huán)境因素�����。
項目經(jīng)常遺漏的風險包括那些假定在項目范圍之外的風險(即項目無法控制它的發(fā)生�,但可以緩解它的影響),例如天氣���、影響操作連貫性的天災人禍��、政變����,以及電訊溝通的失敗��。
3.作為風險識別的一部分��,評審WBS的所有要素����,這有助于確保工作量的所有方面都得到充分考慮�����。
4.作為識別風險的一部分,評審項目計劃的所有要素��,這有助于確保項目的所有方面都得到充分考慮�����。
5.將風險的內容�����、條件和潛在后果文檔化��。
通常將風險說明按照標準的格式文檔化��,其中包括風險的內容���,發(fā)生的條件和發(fā)生的后果��。風險內容追加了一些額外的信息�,從而更容易了解風險的意向�。將風險內容文檔化的同時,要考慮風險相關的時間因素���,引起關注的圍繞風險的環(huán)境或條件�����,以及任何的疑問或不確定性�。
6.識別與每個風險相關的干系人。
SP 2.2 Evaluate, Categorize, and Prioritize Risks 評估�����、分類與排列風險
根據(jù)已定義的風險類別和參數(shù)���,對識別的風險進行評估與分類��,并確定它們的相對優(yōu)先級����。
風險評估需要指定每個已識別的風險的相對重要性��,并確定何時需要引起管理層適當?shù)年P注�����。根據(jù)風險的相互關系將風險加以匯總�,并就同一個匯集等級考慮處理意見,往往是很有用的����。當某個風險匯集是由一系列低層次的風險匯總而成時,必須謹慎以確保重要的低層次風險不被忽視���。
總體來說��,風險評估���、分類與排列優(yōu)先級的活動,有時被稱為“風險評估”或“風險分析”����。
典型的工作產(chǎn)品
1.風險清單,附帶每個風險所指定的優(yōu)先級
子實踐
1.按照已定義的風險參數(shù)�����,評估識別的風險�。
按照已定義的風險參數(shù),對每個風險進行評估并賦值�����,這些值可能包括概率�����、后果(嚴重級別或影響)、閾值�。賦予的風險參數(shù)值被集成起來,形成補充的度量值���,例如風險的危害性����,根據(jù)風險的危害性可以對處理風險的優(yōu)先級進行排序���。
通常情況下���,運用3-5個值的范圍來評估概率和后果。例如概率�,可以分為“極少、不太可能��、可能�、很有可能、幾乎確定”�����。
后果舉例如下:
* 低
* 中
* 高
* 可以忽略
* 邊緣的
* 重要的
* 關鍵的
* 災難性的
概率值通常用于界定風險發(fā)生的可能性。風險的后果通常涉及到成本����、進度�����、環(huán)境影響���、人的度量(例如�����,損失的勞動時間和損害程度)
通常情況下�����,這類評估是一項困難的�、費時的工作���。必要時���,需要借助特定專家或小組的技術來評估風險�,并排列優(yōu)先級�。另外,隨著時間的推移���,可能需要重新評估優(yōu)先級�。
2.按照已定義的風險類別�,將風險進行分類并分組。
按照已定義的類別�,對風險進行分類,從而可以按照來源����、種類或項目組件這種方式了解風險。相關或等價的風險被分成一組�����,可以保證高效地處理�����。將相關風險之間的因果關系文檔化�。
3.排列緩解風險的優(yōu)先級
按照賦予的風險參數(shù),確定每個風險的相對優(yōu)先級�。應該運用明確的規(guī)則來確定優(yōu)先級�。排列優(yōu)先級的目的在于���,確定將風險緩解的資源應用到哪塊最有效的區(qū)域����,從而給項目帶來最大的積極影響�。
SG 3 Mitigate Risks 緩解風險
適當?shù)靥幚砼c緩解風險����,減少對實現(xiàn)目標的不利影響。
處理風險的步驟包括���,制定風險處理方案���、監(jiān)控風險,以及在超過已定義的閾值時實施風險處理活動��。針對已選定的風險�,制定并執(zhí)行風險緩解計劃,以降低風險發(fā)生的潛在影響�����。這也包括應急計劃,以處理所選風險萬一發(fā)生時造成的影響���。風險管理策略中����,定義了觸發(fā)風險處理活動的風險參數(shù)�。
SP 3.1 Develop Risk Mitigation Plans 制定風險緩解計劃
按照風險管理策略,針對那些對項目影響最大的風險�����,制定風險緩解計劃�。
風險緩解計劃的一個關鍵的組成部分是,制定幾種行動方案�、工作區(qū)、返回點�����,以及針對每個重要風險的一個推薦行動方案�。每個風險的緩解計劃都應包括:用以避免、降低和控制風險發(fā)生可能性的技術和方法����,以及降低和控制風險發(fā)生后造成的危害程度的技術和方法(有時稱為“應急計劃”)����,或者上述兩者����。風險被監(jiān)控,一旦超過所設定的閾值����,就將部署風險緩解計劃,以使受影響的工作回歸到可接受的風險級別上�。如果風險無法緩解����,應調用應急方案。只有那些被確定為高級別或無法接受時�����,才對所選的風險制定緩解計劃或應急計劃���,其他風險可能僅是接受或簡單的控制�。
處理風險通常包括以下幾種備選方案:
* 風險回避:在仍然滿足用戶需要的情況下,改變或降低需求
* 風險控制:采取積極的措施�,盡量減少風險
* 風險轉移:重新分配需求,以降低風險
* 風險監(jiān)控:就指定風險參數(shù)的變化�,監(jiān)察并定期重新評估風險
* 風險接受:承認風險,但不采取任何措施
特別是針對高風險�����,通常應該有一種以上的處理方法���。
在許多情況下�,對風險采取接受或監(jiān)視方式����。風險接受,通常是判斷該風險級別太低不值得正式緩解�����,或者找不到降低該風險的可行方法的情況下采用��。如果風險被接受���,應該將接受的理由文檔化�。如果存在客觀定義的、經(jīng)過驗證和文檔化的�����,有關性能����、時間或風險權重(可能性與結果的組合)的閾值,應該監(jiān)視風險����;必要時,這些閾值將啟動風險緩解計劃或應急計劃����。
應該把技術展示、模型�����、模擬���、試行、原型建立作為風險緩解計劃的一部分���,盡早給予充分的考慮�。
典型的工作產(chǎn)品
1.針對識別的各個風險的處理文件
2.風險緩解計劃
3.應急計劃
4.負責跟蹤與處理每個風險的人員名單
子實踐
1.確定風險的級別和閾值,它們定義了在什么情況下���,風險變?yōu)椴豢山邮懿⒂|發(fā)風險緩解計劃或應急方案的實施��。
風險級別(根據(jù)風險模型導出)作為一種度量��,針對達成目標的不確定性與沒有達成目標的后果����,將二者結合起來進行的�。
風險的級別和閾值,界定了計劃的性能或可接受的性能��,必須明確地了解和定義級別和閾值���,從而提供一種更好的了解風險的方式����。按照嚴重程度和相關的管理響應��,對風險進行恰當?shù)姆诸�����,也是確保適當?shù)膬?yōu)先級所必不可少的�?赡艽嬖诙喾N閾值,來決定啟動哪種不同級別的管理響應����。通常情況下,在實施應急計劃之前��,要設置實施風險緩解計劃的閾值��。
2.確定負責處理風險的人或小組��。
3.確定每個風險實施風險緩解計劃后的成本效益比�����。
應該針對風險緩解活動的效益與所耗費的資源進行檢查��。和其它的設計活動一樣��,可能需要制定備選的計劃����,以及針對每個備選計劃進行成本效益評估,從而選擇最適合的計劃來實施�����。有時風險可能很嚴重����,收益可能會很小,但是必須緩解風險���,以降低造成無法接受的后果的概率����。
4.制定項目的整體風險緩解計劃�,以協(xié)調個別風險緩解計劃與應急計劃的實施。
可能無法提供完整的風險緩解計劃��。應該進行折衷分析���,對風險緩解計劃進行優(yōu)先級排序并實施����。
5.針對某事件所選擇的關鍵風險����,制定應急計劃�。
必要時制定并實施風險緩解計劃�,從而在風險演變成問題之前,提前降低風險���。盡管做出最大的努力���,有些風險還是無法避免的,最終變成影響到項目的問題��。應急計劃的制定是針對關鍵風險�,描述了為處理這種影響,項目可能采取的措施�����。目的是制定一項處理風險的前瞻性的計劃���,或者是降低風險(緩解計劃)或者對風險進行響應(應急計劃)��,都是對事件中的風險進行管理��。
有些風險管理文獻��,可能將應急計劃視為風險緩解計劃的同義詞或子集�����。這些計劃也一起被強調為風險處理或風險措施計劃����。
SP 3.2 Implement Risk Mitigation Plans 實施風險緩解計劃
定期監(jiān)督每個風險的狀態(tài)���,適當時實施風險緩解計劃�����。
為了在整個工作期間����,有效地控制與管理風險�,需要遵循預先制定的計劃,定期監(jiān)督風險��,以及風險處理措施的狀況與結果��。風險管理策略定義了檢查風險狀態(tài)的時間間隔�����。該活動可能發(fā)現(xiàn)新的風險,或需要再次策劃與評估新的風險處理方案����。無論哪種情況,風險可接受的閾值應該與風險狀況相比較���,以確定是否需要實施風險緩解計劃�。
典型的工作產(chǎn)品
1.最新的風險狀態(tài)的清單
2.風險的可能性��、后果和閾值的最新評估結果
3.最新的風險處理方案清單
4.最新的風險處理措施的清單
5.風險緩解計劃
子實踐
1.監(jiān)督風險的狀態(tài)���。
啟動風險緩解計劃之后�����,仍然要監(jiān)督風險����。評估閾值��,檢查是否有實施應急計劃的可能性。
應該采用定期監(jiān)督的機制�。
2.提供方法,以跟蹤未完成的風險處理方案�,直到關閉。
3.當所監(jiān)控的風險超過所定義的閾值時�,調用已選擇的風險處理方案��。
風險處理往往只針對“高”和“中”級別的風險���。對給定的風險進行處理的策略可能包括采用技術和方法�,避免���、降低��、控制風險發(fā)生的概率�����,或者是風險(預期的事件或情形)發(fā)生后�����,降低損害的程度����,或者是包括上述兩種情況。在這種情況下��,風險處理包括風險緩解計劃和應急計劃���。
采用風險處理技術�,避免�����、降低和控制對項目目標的不利影響����,并針對可能的影響,帶來可接受的結果��。形成處理風險的方案��,需要在計劃或基線進度以內��,安排和調度適當?shù)馁Y源�����。重新策劃時,需要仔細考慮相近的或有依賴關系的措施或活動的影響����。
4.針對每個風險處理活動,制定進度表或某段時間的效果�����,包括從起始日至預計的完成日�。
5.就每項計劃做成持續(xù)性的資源承諾�,保證風險處理活動的成功實施。
6.收集風險處理活動的效果度量值��。 |
|
免費注冊
發(fā)表于 2011-01-27 23:33