8.3标识和分析风险

标识和分析风险，以确定它们的相对重要性。风险的严重程度影响着处理风险需分配
多少资源，以及决定何时需要管理者的适当关注。
分析风险首先需要对已标识的内部和外部风险源进行风险识别，然后评估每一风险，判定它的概率和后果。为了实现高效处理和有效使用风险管理资源，可将相关的风险归类。
风险分类以巴建立的风险类别和风险管理策略制定的准则为基础，通过将相关的或相同的风险归类实现高效管理。

8.3.1标识风险

找出可能会对工作或计划带来负面影响的潜在问题、危险、威胁和弱点等是可靠、成功的风险管理的基础。必须先用简洁明了的方式标识和描述风险，然后才可以合适地分析和管理风险。要用简明的描述将风险文档化，包括风险发生的来龙去脉、条件和后果。

风险标识应是一种有序的、彻底的方法，以便找出在实现目标过程中可能发生的或现实的风险。利用风险管理策略中制定的风险类别和风险参数，以及已标识的风险源，可提供适用于风险标识的规范与流程。已标识的风险构成启动风险管理活动的基础。应定期审查风险清单，重新检查可能的风险源和条件的变化，以便揭示自风险管理策略前次更新以来，被忽略的或之前不存在的来源与风险。风险标识活动专注于风险的标识，而非追究责任。管理者不能用风险标识活动的结果来评价个人的业绩。

标识风险可通过以下3种方式进行，在项目实施过程中经常采用几种方式相结合的方法进行。

1)通过风险检查表对照检查
风险检查表提供历史项目中出现的典型风险，可对照检查表逐一审查，判断项目中是否存在相关或类似风险。在CMMI实施过程中应不断累积组织的风险数据，表8-4给出了一个风险检查表的示例。在项目实施过程中应逐项分析项目是否存在相，应风险，归纳出可能发生的风险事件，并将风险定位到可能发生的软件开发过程各个阶段。标识识别出的风险，并给出风险描述。
2)项目成员及利益相关方讨论确定
风险管理不是项目中少数几个管理者或专家的任务，而是要求全体成员及利益相关方共同合作。会议负责人领导项目组全部成员或挑选部分成员，采取讨论的方式共同标识项目风险。会议人员选择标准如下：

(1)是否熟悉需要评估风险的领域?
(2)是否具有风险管理经验?
(3)是否接受过风险管理方面的训练?
(4)是否包含了相关各方面的人员(如开发人员、测试人员、质量保证人员)？
(5）是否包含了当前项目关键部分的相关人员?
该方法是一种头脑风暴方法，适合在项目风险识别活动的早期进行。该方法的日的在于最大限度地发扬民主，收集来自项目各方面入员的意见，达到不遗漏任何重要信息。因此，项目负责人和技术专家不适合参加这种讨论 · 如若参加，也不适合对别人的意见做评判性结论。

3)匿名报告机制

这是一个匿名的风险报告机制，对风险的识别与跟踪有良好的效果，项目组的每一个成员都可以利用该机制向管理部门报告风险消息。

8. 3. 2

评价、分类和排序风险

分析风险首先需要对已标识的内部和外部风险源进行风险识别，然后评估毎一风险，判定它的概率和后果，对风险进行分类和排序。对风险进行评估，注明每个已标识风险的相对重要性，以确定何时需要管理者的适当关注。根据风险间的相互关系将风险分类汇集起来，并在某个汇集层次上研究处理方案，这种做法通常是有用的。当多个较低层风险向上累积而形成一个聚合风险时，必须小心谨慎，以确保不忽略重要的低层风险。评价、分类和排序风险的主要活动是计算风险系数，并根据风险系数值判断风险影响，确定风险优先级。

【活动1)计算风险系数。风险系数包含：风险发生概率、风险后果等指标因子，即风险系数一风险发生概率X风险后果。

根据风险系数值从大到小排序，依次填人《风险列表》(见第5章软件开发计划模板)。
【活动2】按照所定义的风险类别，将风险分类和分组。
将风险进行分类，提供一种按风险源或风险类别等查看风险的方法，将相关或相同的风险归为一类，说明相关风险之间的因果关系，以便对风险进行有效处理。

【活动3】确定风险优先级。
风险的优先级影响着为处理风险需仕配多少资源，以及决定何时需要管理者的适当关注。根据指定的风险参数，确定每个风险的相对优先顺序。应使用清晰的准则来确定风险优先顺序。排序的目的是确保缓解风险的资源能用在最有效的地方，使其对项目产生最大的正面影响。

根据风险系数值判断风险影响，确定风险优先级。风险的优先级根据风险系数分为低、中、高三个等级，分别对应二般风险、重要风险和关键风险，对应的风险系数值分别为1～8，9～15.16～25。风险发生概率越大、发生后影响越大，风险的优先级就越高。