风险管理

概述

软件项目的用户和开发者都十分关心以下两个问题：什么样的因素会导致软件项目的失败?这些因素的改变对项目的成本、质量、进度会产生什么样的影响?这些都属于风险管理应考虑的范围。然而，在项目管理中，风险管理是一个常常被遗忘的领域。项目管理过程中，经常会出现这样那样的不确定事件，项目负责人必须制定相应的措施去降低这些不确定事件发生的概率，因此风险管理显得尤为重要。良好的风险意识、规范的风险管理制度会在很大程度上促进项目朝着正确的方向发展。

确定某一事件是不是风险项，可以按照该事件是否满足风险的三个要素来判断：
(1)不确定性：事件可能发生，也可能不发生。
(2)未发生：事件当前还未发生。
(3)对目标的达成有影响：事件一旦发生，就会造成损失，甚至会出现严重的后果。例如，项目中存在这样一个事件：在系统设计阶段可能因为缺乏有经验的分析人员和设计人员而导致分析和设计的结果不能直接用于程序员开发。该事件到底是不是风险呢? 根据该事件是否满足上述三个要素来进行判断。系统分析人员和设计人员分析、设计的结果可能能够直接用于程序员开发，也可能不能直接用于程序员开发；分析和设计的活动还未发生；一旦出现分析和设计的结果不能直接用于程序员开发，则会对整个项目的成本、质量、进度产生不利的影响。在制定项目计划时虽然还是假设分析和设计的结果能直接用于程序员开发，但是对于该事件还必须作为风险项进行管理，评估其重要程度，确定应对策略，如有必要还需要制定应对计划。如果制定项日计划时已得出分析和设计的结果不能直接用于程序员开发，则不是一项风险，而是制定项目计划的一项先决条件，必须重新安排有经验的分析人员、设计人员进行分析和设计。如果分析和设计的结果不能直接用于程序员开发的事
件已经发生了，则该事件也不需要再作为风险项进行管理，而需要制定问题解决措施对问题进行处理。

由此可见，风险是在项目开始后才可能对整个项目的成本、质量、进度产生不利的影响，所以，风险分析不到位，或是项目实施过程中风险缓解措施不得力，都有可能造成项目的失败。风险管理的目的是在风险发生前标识出潜在的问题，以便在产品或项目的整个生存周期中规划风险预防活动，并于必要时启动这些活动，以缓解对目标实现的不利影响。风险管理是一个持续的、前瞻的过程，是业务和技术管理的重要部分。风险管理应处理可能危及关健目标实现的问题。持续的风险管理方法可以有效地预测并缓解对项目有关键影响的风险。
风险管理需要考虑成本、进度、绩效和其他风险的内部和外部来源。及早并主动地评估风险至关重要，因为在项目初期进行变更和纠正工作，通常比项目后期容易，代价较低，且破坏性较小。风险管理过程域描述如何系统地识别、评估和缓解风险，从而前瞻地将它们对项目的影响降至最低。

风险管理过程域共包含3个主要任务：
(1)建立风险管理策略。通过制定和维护用来标识、分析和缓解风险的策略，进行风险管理的准备工作。风险管理策略通常记录在风险管理计划中，在计划中还应说明用于控制风险的特定措施和管理方法，包括标识风险源，风险分类，以及用于评估、界定和控制风险所用的参数等。

(2)标识和分析风险。风险的严重程度影响着处理该项风险需分配多少资源，以及决定何时需要管理者的适当关注。分析风险首先需要对已标识的内部和外部风险源进行风险识别，然后评估每一个风险，判定它的概率和后果。为了实现高效处理风险和有效使用风险管理资源，可将相关风险分类进行管理。

(3)风险缓解。处理风险的步骤，包括制定风险处理策略、监控风险，以及在超过所定义的阈值时执行风险处理活动。对选定的风险，应制定和执行风险缓解计划，前瞻地缓解风险的潜在影响；除采取风险缓解措施，还要制定应急计划，以处理风险发生时的影响。

风险管理过程主要任务之间的关系如图8-1所示。