越来越多客户询问关于CMMI v2.0，而且这个模型不像v1.3可以免费下载，所以我们需要一些辅助资料，帮一些有兴趣的人预先了解，尤其是已经学过v1.3的，可以在此基础上学习v2.0。

我以前学习v1.3时，会借用一些好的英文参考书籍弄清要点，今次同样，借用一些以前v1.3的内容。

v2.0基于以前的不足，更清楚说明1、2、3、4、5级的区分。比如项目策划、项目监控、度量分析等，这些会在我们做3级以上都用上，v2.0强调这些过程域，到了3、4、5级，要有进一步的体现才能满足要求。所以我们开始时，以这个思路，先从2/3级，以实例来解读，也会添加一些常见问题，还有如何使用工具实现等。

大家也从过去使用CMMI的过程中积累了很多心得，也欢迎提一些宝贵建议，一起完善V2.0的解读。

1「风险与机会管理 (RSK)」

RSK 2.1 分析被识别的风险或机会。

举例: FMEA (Failure Mode and Effects Analysis ), SWOT , Poka-yoke 等

以前在V1.3二级，风险只是在项目计划(PP) 与 项目监控(PMC)里说要识别风险和监控风险，也举了一些简单例子，但不像FMEA这样具体的风险分析工具。

FMEA和我们以往的风险管理有什么不同？

2「FMEA实例分享」

大家都有过没管理好时间导致迟到的经验吧？

以坐飞机为例，从离开酒店到登上飞机，这过程中会有很多可能性，导致最后没搭上航班。

比如出发时，可以用不同的交通方式：出租车、机场大巴等。如果不能在起飞前45分钟到达机场办理登机牌，你便搭不上。但是拿了登机牌也有可能最后搭不上，因为飞机都严格执行起飞前15分钟关舱门。所以每一步都要做好，才能顺利乘机。

Fig 1 登机过程

从这个例子我们知道，赶飞机其实是个过程，中间有很多环节，所以我们可以用一个过程的视角，来看如何控制减少失败的概率。

Fig 2 FMEA 例子

Fig 3 打分参考

从以上登机的例子，可以看出FMEA是从整个过程来管理风险。

比如在出发前，查询一下各个交通工具要花费的时间，比如如果坐地铁要转车，路程要1小时以上，时间太紧，宁可多花钱打车，来控制风险。

拿了登机牌，还要经过安检，再从安检到达登机口。有时候机场很大，也要花费很多时间，就要先问好路径，提前计算好时间，才不会误点。假如从安检到登机口要10分钟以上，就要在起飞前的40分钟就要过安检，才能安全登机。

这些都可以通过FMEA的形式，把整个过程识别出来，找各个阶段会出现的问题，就知道如何控制。

其他 CMMI V2.0的二/三级部分类似V1.3 对应的 sp / gp：

RSK 2.2 监控已识别的风险或机会，并与受影响的利益相关者沟通 <-> v1.3: PMC sp1.3

RSK 3.1 识别和使用风险或机会类别  <->  v1.3: RSKM sp1.1

RSK 3.2 定义和使用风险或机会分析和处理的参数  <->  v1.3: RSKM sp1.2

RSK 3.3开发和更新风险或机会管理策略。

RSK 3.4 制定并保持最新的风险或机会管理计划。<->  v1.3: RSKM gp2.2

RSK 3.5 通过实施计划好的风险或机会管理活动来管理风险或机会。<->  v1.3: RSKM sp3.2

从上面FMEA例子，你觉得可以用在管理项目的风险吗?

可尝试画出一个关键的过程图，然后试用FMEA模板填上主要风险与控制。

因为V2.0删除了以前GP的部分，他就需要用另外2个新建的GOV、II来支撑，覆盖以前v1.3的GP， 但它又没有v1.3的死板，必须每个过程域要有12个GP，每个都实现。例如v1.3  gp3.2经验教训累积，在v2.0就到II里了。但反过来， GOV和II的实现，还是需要覆盖每个过程。

3「执行的基础 (II)」

IMPLEMENTATION INFRASTRUCTURE执行的基础 (II)

RSK 2.1 分析被识别的风险或机会。

在CMMI v1.3，经验教训、累积是GP3.2每个过程域都有，在v2.0，就到II里了：

II 2.1 为开发过程提供足够的资源、资金和培训

II 2.2 开发和更新流程，并验证它们是否被遵守

以上面风险的例子，例如公司有FMEA过程，模板，有相关的培训，并在项目使用，也可满足。

II 3.1使用组织过程和过程资产来计划、管理和执行工作

II 3.2评估组织过程的依从性和有效性 <->  v1.3: RSKM gp2.9

II 3.3向组织提供与流程相关的信息或过程资产 <->  v1.3: RSKM gp3.2

3级需要有公司级过程，也需要定期查看按照公司的过程去做，跟以前v1.3 类似，需要有度量收集，有经验教训或者过程的建议，

风险管理V2.0三级的例子：用上面登机的风险为例，因为过去常有赶不上飞机的问题出现，为了避免就定一些具体的目标，最终希望把误点减到0，引起的中间量化目标包括度量项，每次到达机场的时间45分钟关闭前，也度量一下到闸口的时间，比如我有一次真正延误前是两次是刚刚赶到闸口的，如果我有把经验教训记下来，如果下次要改好时间管理的话，就会避免后面的延误：

Fig 4 上面是机场柜台关闭（45分钟）前到达时间，下面是关闸口前到达时间 （分钟）

从FMEA风险管理来讲，公司发现某些类的风险常常出现，就需要回顾，找出原因，避免再次出现。

这一点我非常认同。

以误机的风险为例，我自己好几次赶不上飞机，很多原因，但回顾一下都是习惯没改导致。

如果以CMMI的方式，第一次差点误机就进行风险回顾，确保控制好每一个过程，就不会再出现第二次、第三次。

这和企业做风险管理一样：收集一些实际的度量数据，进行实实在在具体的风险管理，人和公司都一样，很多做的事情好像是自己主动去想，其实很多都是潜意思习惯，如果你没有定的一些量化的控制目的手段，就不会提高这方面风险意识，还是会有搭不上飞机的风险，并经常出现

在CMMI v2.0的II 3.3贡献过程相关的信息和资产，里面提到例如最佳实践、度量、经验教训和过程改进建议等。

在产出物、最佳实践经验教训方面，它举例说哪些有效？哪些有问题？哪些可以改进？

概念与我们现在流行的复盘、回顾道理相同。

以误机风险为例，可依据过去的问题，回顾过程的不足。

例如可以使用FMEA风险分析去更细地分析风险。

现在写回顾文章也是个有效的经验教训方式，写故事的过程中就能逼自己认真想。

在登机环节，有什么有效工具可用来改善？

在多次没登上飞机后，我发现平常的手表没有正负5分钟的概念，但是用电子钟，我们的感觉就达到了1分钟，就能够更好把控时间。

fig 5 平常用于培训 / 评估计时的电子钟

经过这次误机，我就买了个电子手表，取代传统针式手表，希望对日后不迟到有帮助。

所有的过程改进都要有公司级的目标，所以在GOV2.1就强调这点。

4「GOVERNANCE 治理 (GOV)」

大家都有过没管理好时间导致迟到的经验吧？

GOV 2.1 高层根据组织的需求和目标，定义、更新和沟通过程实施和改进的组织方针

GOV 2.2 高层确保为开发、支持、执行、改进和评估符合预期过程提供资源

GOV 2.3 高层识别他们的信息需求，并利用收集到的信息为有效的流程实施和改进提供政府监督

GOV 2.4高层要求员工对遵守组织指令和实现过程实施和改进目标负责

与V1.3一样，也需要提供资源(gp2.3)，需要相关的度量(gp2.8)。GOV2.4需要高层对那些相关人问责，确保可以达成公司目标，GOV 3级部分后面再讲。

练习：

从上面FMEA例子，你觉得可以用在管理项目的风险吗?

可尝试画出一个关键的过程图，然后试用FMEA模板填上主要风险与控制。

刚刚在成都结束一个CMMI评估，就有评估组成员问，后面我们如何可以继续学习，觉得还是很多未弄透。

我说后面会有一些分享文章，公司的wiki上也会有详细的解读作为参考，也可以让想学习的人写下自己的心得。

以上分享源自宋世杰老师的过程改进分享。