8.2建立风险管理策略
通过制定和维护用来标识，分析 和缓解风险的策略进行风险管理的准备工作。风险管理策略通常记录在风险管理计划计划中。风险管理策略说明用于控制风险的特定措施和管理方法，包括标识风险源，风险分类方案，以及用于评估、界定和控制风险以便有效处理等所需
的参数。

8.2.1确定风险源和类别

风险源可能来自项目的内部，也可能来自项目的外部。随着项目的进展，可能会发现更多的风险源。建立和确定风险类别提供了一种收集和组织风险的机制，并确保对邢些可能对满足项目目标有较严重后果的风险给予适当的监督和管理。

【活动1】确定风险源。
风险源是在项目或组织内部造成风险的基本因素，标识了可能发生风险的常见区域，揭示了影响项目达成目标的情况，风险源来自项目的内部和外部。随着项目的进展，可能会发现更多的风险源。许多风险源常常在未做充分策划的情况下即被认可。尽早标识内部和外部的风险源，可以及早标识风险，并在项目初期实施风险缓解计划，以规避风险的发生或减轻发生时的后果。

典型的内部和外部风险源包括以下方面：
(1)不确定的需求
(2)不可行的设计；
(3)不可用的技术；
(4)不现实的进度估计或分配；
(5)人员和技能不足；
(6)成本或资金问题；
( 7) 供方能力不确定或不足；
(8) 与现实的和潜在的用户或用户代表沟通不够。
【活动2】确定类别。
确定风险类别提供了一种收集和组织风险的机制，对风险进行分类管理有利于整合风险缓解计划的各项活动。可以根据不同原则对风险进行分类。根据项目生存周期，可以分为需求分析、设计、实现、测试、验收和移交等阶段i根据过程类型，可以分为需求管理过程、项目策划过程、项目监控过程、配置管理过程、质量保证过程、测量分析过程、供方协议管理过程等；按照风险因素的内容，可以分为合同风险、预算/成本风险、进度风险、资源风险、绩效风险、支持风险、性能风险等。

8.2.2定义风险参数

风险参数用来提供一致的准则，以比较需要管理的各种风险。没有这些参数，则很难测量风险引起的非预期更改的严重程度，也很难排列必要措施的优先顺序。用于风险评估、分类和排序的参数包括：
(1)风险发生的概率；
(2)风险后果(即风险发生的影响和严重性)；(3)启动风险缓解活动的阈值。
【活动门定义风险发生概率。对识别出的风险，依据表8-1给出的风险概率则，估计每个风险发生的可能性。

表8-I风险发生概率

概率

评估

可能性/爿

陈述方式

非常高

)-80

几乎肯定，非常可能

61-80

可能，估计是

41-60

怀疑，也许是

21-40

不可能，不相信

非常低

1-20

根本不可能，机会极小

【活动幻定义风险后果。对识别出的风险，依据表8-2给出的风险后果评估准计风险一旦发生可能造成的后果。

表8-2风险后果评估表评估值

评估

假设风险已成事实所产生影响的程度进度非常高关键部分任务完不成或关键里程碑不通过技术性能

不能接受 关键里程碑受到延误或关键路径受到影响关键里程碑稍稍延误，要求完成日期不能满足需要增加资源，否则，要求完成日期不能不存在任何缓解余地，影响不可接受采取重大缓解措施，影响可以接受采取一些缓解措施，影响可以接受非常低影响极小或无影响影响极小或无影响低满足

【活动31定义风险类别的阈值。对每一类风险设置阈值，以确定风险是否可接受及是否激活风险缓解措施。阈值是专业技术人员根据经验或者是历史项目的参考数据制矩的，用来衡量项目实际与项目计划所产生的偏差，以监控和指导项目开发实践。表卜3提供了常见风险类别的阈值参考取值，项目实施过程中可按照项目具体情况、风险情况定义具体风险的阈值。

高中低

高中
5