CMMI模型中如何标识和分析风险


8.3标识和分析风险
标识和分析风险,以确定它们的相对重要性。风险的严重程度影响着处理风险需分配
多少资源,以及决定何时需要管理者的适当关注。
分析风险首先需要对已标识的内部和外部风险源进行风险识别,然后评估每一风险,判定它的概率和后果。为了实现高效处理和有效使用风险管理资源,可将相关的风险归类。
风险分类以巴建立的风险类别和风险管理策略制定的准则为基础,通过将相关的或相同的风险归类实现高效管理。

8.3.1标识风险
找出可能会对工作或计划带来负面影响的潜在问题、危险、威胁和弱点等是可靠、成功的风险管理的基础。必须先用简洁明了的方式标识和描述风险,然后才可以合适地分析和管理风险。要用简明的描述将风险文档化,包括风险发生的来龙去脉、条件和后果。

风险标识应是一种有序的、彻底的方法,以便找出在实现目标过程中可能发生的或现实的风险。利用风险管理策略中制定的风险类别和风险参数,以及已标识的风险源,可提供适用于风险标识的规范与流程。已标识的风险构成启动风险管理活动的基础。应定期审查风险清单,重新检查可能的风险源和条件的变化,以便揭示自风险管理策略前次更新以来,被忽略的或之前不存在的来源与风险。风险标识活动专注于风险的标识,而非追究责任。管理者不能用风险标识活动的结果来评价个人的业绩。
标识风险可通过以下3种方式进行,在项目实施过程中经常采用几种方式相结合的方法进行。

1)通过风险检查表对照检查
风险检查表提供历史项目中出现的典型风险,可对照检查表逐一审查,判断项目中是否存在相关或类似风险。在CMMI实施过程中应不断累积组织的风险数据,表8-4给出了一个风险检查表的示例。在项目实施过程中应逐项分析项目是否存在相,应风险,归纳出可能发生的风险事件,并将风险定位到可能发生的软件开发过程各个阶段。标识识别出的风险,并给出风险描述。
2)项目成员及利益相关方讨论确定
风险管理不是项目中少数几个管理者或专家的任务,而是要求全体成员及利益相关方共同合作。会议负责人领导项目组全部成员或挑选部分成员,采取讨论的方式共同标识项目风险。会议人员选择标准如下:

(1)是否熟悉需要评估风险的领域?
(2)是否具有风险管理经验?
(3)是否接受过风险管理方面的训练?
(4)是否包含了相关各方面的人员(如开发人员、测试人员、质量保证人员)?
(5)是否包含了当前项目关键部分的相关人员?
该方法是一种头脑风暴方法,适合在项目风险识别活动的早期进行。该方法的日的在于最大限度地发扬民主,收集来自项目各方面入员的意见,达到不遗漏任何重要信息。因此,项目负责人和技术专家不适合参加这种讨论 · 如若参加,也不适合对别人的意见做评判性结论。
3)匿名报告机制
这是一个匿名的风险报告机制,对风险的识别与跟踪有良好的效果,项目组的每一个成员都可以利用该机制向管理部门报告风险消息。

8. 3. 2
评价、分类和排序风险
分析风险首先需要对已标识的内部和外部风险源进行风险识别,然后评估毎一风险,判定它的概率和后果,对风险进行分类和排序。对风险进行评估,注明每个已标识风险的相对重要性,以确定何时需要管理者的适当关注。根据风险间的相互关系将风险分类汇集起来,并在某个汇集层次上研究处理方案,这种做法通常是有用的。当多个较低层风险向上累积而形成一个聚合风险时,必须小心谨慎,以确保不忽略重要的低层风险。评价、分类和排序风险的主要活动是计算风险系数,并根据风险系数值判断风险影响,确定风险优先级。

【活动1)计算风险系数。风险系数包含:风险发生概率、风险后果等指标因子,即风险系数一风险发生概率X风险后果。
根据风险系数值从大到小排序,依次填人《风险列表》(见第5章软件开发计划模板)。
【活动2】按照所定义的风险类别,将风险分类和分组。
将风险进行分类,提供一种按风险源或风险类别等查看风险的方法,将相关或相同的风险归为一类,说明相关风险之间的因果关系,以便对风险进行有效处理。

【活动3】确定风险优先级。
风险的优先级影响着为处理风险需仕配多少资源,以及决定何时需要管理者的适当关注。根据指定的风险参数,确定每个风险的相对优先顺序。应使用清晰的准则来确定风险优先顺序。排序的目的是确保缓解风险的资源能用在最有效的地方,使其对项目产生最大的正面影响。
根据风险系数值判断风险影响,确定风险优先级。风险的优先级根据风险系数分为低、中、高三个等级,分别对应二般风险、重要风险和关键风险,对应的风险系数值分别为1~8,9~15.16~25。风险发生概率越大、发生后影响越大,风险的优先级就越高。


点击关闭
  • CMMI认证客服

    CMMI3认证客服

    CMMI咨询

    CMMI4认证