1、第11章 IT軟件項目風險管理 11.1 風險與風險管理 11.2 軟件項目風險識別11.3 軟件項目風險評估11.4 軟件項目風險控制11.5 風險管理策略11.6 風險駕馭和監控2022/8/4第1頁，共62頁。1. 風險管理的意義1）風險管理被認為是IT軟件項目中減少失敗的一種重要手段，通過結構化風險管理可以發現計劃中的缺陷，從而采取行動來減少潛在問題發生的可能性和影響2）風險管理意味著危機還沒發生之前就對它處理，可以提高項目成功的機會，減少不可避免分析所產生的后果3）風險管理可以防止問題的出現，即使出現問題，也可以降低其危害程度。只有進行良好的風險管理才能有效地控制項目的成本、進度、產

2、品需求，同時可阻止意外發生2022/8/4第2頁，共62頁。第11章 IT軟件項目風險管理2. 本章要點:風險的定義、性質、分類風險的識別和分析風險的應對策略風險規劃風險控制規避、轉移2022/8/4第3頁，共62頁。11.1 風險與風險管理 11.1.1 風險的基本概念11.1.2 風險分類11.1.3 風險成本11.1.4 風險管理的基本概念2022/8/4第4頁，共62頁。引例1思考：一次重要的汽車旅行,其中按時到達是重要的（可能是一次重要的工作訪談）。試考慮旅行中可能遇到的問題。可能的問題可能的結果實施的行動計劃異常嚴重的交通堵塞車胎沒氣汽車故障或事故可能錯過訪談的開始時間可能錯過訪談

3、或遲到可能錯過訪談收聽交通廣播計劃另一條線路準備可用備用車胎無2022/8/4第5頁，共62頁。引例2項目：構建全球人力資源綜合管理系統條件：系統由兩個軟件開發商共同開發，最后集成開發過程由客戶提供專門供項目使用的工具，但不久以后該工具就發行了新版本。其中一個開發團隊是一個良好的團隊，項目經理對軟件開發做了合理的估算，團隊共有35人，在規定時間內交付了自己開發的部分軟件。另一個開發團隊未能按時完成開發，并且提供的接口不斷改變。結果：該系統晚了6個月才正式投入使用，開發公司支付了項目50%工作量的蔓延。2022/8/4第6頁，共62頁。11.1.1 風險的基本概念1風險的定義風險的定義狹義和廣義

4、狹義的風險是指“可能失去的東西或者可能受到的傷害”，即在從事任何活動時可能面臨的損失。廣義的風險是指一種不確定性，即在給定的情況和特定的情況和時間下，所從事的活動有很大的差異性，差異越大風險也越大，所面臨的損失或收益可能很大，即風險帶來的不都是損失，也可能存在機會。2022/8/4第7頁，共62頁。2. 風險的本質損失和不確定性風險強調“損失”和“不確定性”，并不認為“不確定性”是主觀的、個人的和心理上的一種觀念損失的含義：風險帶來的結果有損失也有盈利的一面2022/8/4上海海事大學計算機系第8頁，共62頁。不確定性的含義發生與否不確定發生時間不確定發生狀況不確定發生結果不確定2022/8/

5、4上海海事大學計算機系第9頁，共62頁。3. 風險的基本性質1）客觀性風險無時不有，無所不在，它潛在各種活動之中。因為決定風險的各種因素對風險主體是獨立存在的，不管風險主體是否意識到風險的存在，在一定的條件下風險就可能變為現實。2022/8/4上海海事大學計算機系第10頁，共62頁。2）不確定性風險是損失的不確定性，風險是一種概率事件，它可能發生也可能不發生3）不利性風險一旦產生時，就會使風險主體產生挫折、失敗甚至損失，對風險主體不利。對于風險的不利性，我們該怎么辦？首先，承認風險、識別風險，對風險做出客觀準確的分析其次，做好風險的應對措施，盡可能避免風險，將風險的不利性降到最低。2022/8

6、/4上海海事大學計算機系第11頁，共62頁。4）可變性風險的可變性表現為風險在一定條件下可以相互轉化風險事件非風險事件轉化條件第12頁，共62頁。5）相對性風險的相對性是針對風險的主體而言的，在相同的風險情況下，不同的風險主體對風險的承受能力不同，不同的組織和個人往往對風險有著不同的容忍限度。例如，一個高利潤高收益的公司也許愿意為一個10億美元的合同花費50萬美元制作一份計劃書，而一個收支相抵的公司通常不會。一個公司也許認為15%的誤差幾率是高風險的，而其他公司卻認為這個幾率風險很低。第13頁，共62頁。6）風險和利益的對稱性風險和利益是同時存在的，風險是利益的代價，利益是風險的報酬。沒有利益

7、只有風險，沒人會做；實現利益必須承擔一定的風險。第14頁，共62頁。7）可度量性風險是給定情況下一定時期可能發生的各種結果間的差異，是客觀存在、可以用客觀尺度度量的事物。若各種可能結果之間差異大，風險大；差異小，風險小若只有一個結果，則因無差異而沒有風險可言。若有多個結果，每種結果都有其發生的概率，從而形成一個反映各種結果及其概率分布，可以確定各個結果之間的差異，故風險具有概率分布的特征2022/8/4上海海事大學計算機系第15頁，共62頁。數值方差抽象概率把風險視為給定條件下各種可能結果中那種較壞的結果把風險視為給定條件下各種可能結果之間的差異把風險直接視為事情本身的不確定性把風險視為給定條

8、件下各種可能結果中較壞結果出現可能性第16頁，共62頁。解釋1與壞的結果所對應，而壞的結果往往表現為經濟損失或貨幣損失，因此，可稱之為數值風險。解釋2將好壞結果的差異視為風險。而由于不同結果被視為某一隨機變量的取值，故它們之間的差異性可用方差來刻畫。因此可稱之為方差風險。理解3是一種籠統缺乏具體特征的解釋，把風險直接說成不確定性。因此可稱之為抽象風險。解釋4與較壞結果的發生概率相對應，它雖也表現為數值，但不是一般意義上的數而是一種測度，因此把這種按照較壞結果發生可能性來理解的風險直接稱之為概率風險2022/8/4上海海事大學計算機系第17頁，共62頁。4. 風險概念總結必須存在一些活動或者事件

9、，是主體未預計到其發生或發生后結果的事件事件的發生具有不確定性，但可以根據某些方法度量，能夠預料到的一定發生或者不發生的事件不具有風險性風險發生的結果具有不確定性，可能帶來損失也可能提供機會引起風險的原因（風險源）有很多種，風險是潛在的，只有在具備一定條件下才可能發生風險的性質、結果、概率都會變化2022/8/4上海海事大學計算機系第18頁，共62頁。5. 風險的其他定義：A. Williams：風險是關于在某種給定狀態下發生的結果的客觀疑問Williams:風險是給定情況下和特定時間內，那些可能發生的結果間的差異武并勛（日）：風險是特定環境中和特定期間內自然存在導致經濟損失的變化John H

10、all:風險是一定條件下財務損失的不確定性Dorfman:風險是隨機事件可能結果的差異，或有關損失的不確定性。風險程度是指預期隨機事件發生的精確度2022/8/4上海海事大學計算機系第19頁，共62頁。M.Douglas:群體設定自己的行為模式和價值標準后，違反此模式和標準的行為即被定義為該群體的風險 Beck:風險是虛擬的現實，現實的虛擬。是應對現代化本身誘致和帶來災難與不安全的系統方法。政治上具有反思性2022/8/4上海海事大學計算機系第20頁，共62頁。6. 軟件風險的定義軟件風險是指軟件開發過程中及軟件產品本身可能造成的傷害或損失。一個軟件項目的損失可能的后果形式？軟件質量的下降成本

11、費用的超出項目進度的推遲等2022/8/4上海海事大學計算機系第21頁，共62頁。11.1.2 項目風險1. 項目風險的特點項目的一次性特點，導致項目的不確定性大，故項目風險可預測性差項目出現問題難以補救項目的具體問題不同，不具備完全可比性2022/8/4上海海事大學計算機系第22頁，共62頁。2. 項目風險的共同點超出預算時間延遲需求變更2022/8/4上海海事大學計算機系需要項目風險分析第23頁，共62頁。3. 項目風險分析的內容量化不確定性因素的不確定性程度，量化每個分析的損失程度考慮的問題：1）風險是否會導致項目失敗2）需求、技術、目標以及其他事物是否會發生變化，發生什么樣的變化3）采

12、用什么樣的方法和工具，配備多少資源，質量上到什么樣的程度4）考慮風險類型2022/8/4上海海事大學計算機系第24頁，共62頁。總結項目風險管理就是在這些因素對項目造成破壞之前識別、處理和排除。項目風險貫穿整個項目生命周期減少損失必須在項目初期付出更多2022/8/4上海海事大學計算機系第25頁，共62頁。11.1.2 風險的分類1. 根據范圍分類：項目風險、技術風險和商業風險 1）項目風險是指由于潛在的預算、進度、個人（包括人員和組織）、資源、用戶和需求等方面的問題而導致的風險。例如：資金不足、時間和資源分配的不合理、項目計劃質量的不足、項目管理不當、缺乏必要的項目優先級等均可導致項目風險的

13、發生。第26頁，共62頁。2）技術風險：是指由于潛在的設計、實現、接口、檢驗和維護等方面的問題而導致的風險。例如：規格說明的二義性、技術上的不確定性、技術陳舊等可能導致技術風險的發生。復雜的開發技術、行業標準發生變化等也可能導致技術風險的發生。2022/8/4上海海事大學計算機系第27頁，共62頁。3）商業風險：主要有市場風險、策略風險、管理風險和預算風險等。例如：市場風險：開發的軟件不是市場真正所想要的。策略風險：開發的軟件不再符合公司的軟件產品策略。管理風險：由于對項目管理不當等問題而導致的風險，例如：進度計劃制定和資源配置不合理、計劃草率且質量控制差等。預算風險：沒有得到預算或者人員的保

14、證2022/8/4上海海事大學計算機系第28頁，共62頁。2. 根據內容分類：技術風險、管理風險、組織風險和外部風險1）管理風險在IT項目中，由于進度計劃和資源配置不合理，計劃草率且質量控制差，項目管理的基本原則適用不當等2022/8/4上海海事大學計算機系第29頁，共62頁。2）組織風險：指開發管理組織對項目認識的不確定性問題而導致的風險。例如組織內部對目標未達成一致；高層對項目不重視，資金不足；項目組織的人員結構不合理或者與其他項目有資源沖突等，都是潛在的組織風險。2022/8/4上海海事大學計算機系第30頁，共62頁。3）外部風險：指外部事件和外部環境等不可控制因素的變化問題而導致的風險

15、。例如法律法規的變化與項目相關各方的情況發生變化等。2022/8/4上海海事大學計算機系第31頁，共62頁。3. 根據可預知程度不同分類：已知風險、可預測風險和不可預測風險1）已知風險：指通過仔細評估項目計劃、開發項目的商業和技術環境以及其他可靠的信息來源之后可以發現的風險。例如：不現實的交付時間、沒有需求或軟件范圍的文檔、惡劣的開發環境等。2022/8/4上海海事大學計算機系第32頁，共62頁。2）可預測風險：指能夠從過去項目的經驗中推測出的風險。例如：人員調整與客戶之間無法溝通或溝通不暢由于需要進行維護而使開發人員精力分散等等。2022/8/4上海海事大學計算機系第33頁，共62頁。3）不

16、可預測風險：是可能、也會真的出現、但事先很難識別出來的風險。例如：突發性的災難事件，不可抗力事件等通常將不可控制的“不可抗力事件”不作為風險對待，這些事件往往作為災難防御。注意：項目管理者只對已知風險和可預測風險進行規劃，不可預測的風險只能靠企業的能力來承擔。2022/8/4上海海事大學計算機系第34頁，共62頁。11.1.3 風險的成本1.定義：風險成本：指為防止風險的發生或者減少風險發生時造成的損失，而必須采取一些預防措施和應對策略時所產生的費用。風險管理是要付出代價的，一般只有當風險的不利后果（損失）超過風險管理而付出的代價時，才進行風險管理。2. 構成：風險成本包括有形成本、無形成本以

17、及為預防和控制風險所發生的費用。第35頁，共62頁。1）有形成本：指風險發生時所付出的有形的可以用貨幣直接來衡量的代價。風險的有形成本包括風險發生時造成的直接損失和間接損失。直接損失：指風險發生時，人員、經費、設備等的直接流失；間接損失：指風險發生時，直接損失以外的人、財、物、知識等的損失。第36頁，共62頁。2）無形成本：指由于風險所具有的不確定性而使項目在風險發生時所付出的無形代價。主要表現在以下幾個方面：風險的發生減少了項目成功的機會；風險阻礙了生產率的提高和新技術的應用；風險會造成資源分配的不當，使人們將更多的資源投入到風險較小的行業或者項目中。2022/8/4上海海事大學計算機系第3

18、7頁，共62頁。3）為預防和控制風險所發生的費用：指為了預防和控制風險的發生與損失，必須在項目的各個階段采取必要的預防措施而產生的費用。例如：在項目的前期階段增加人力資源和經費的投入向保險公司投保向有關部門或者專家咨詢合理分配資源配備合適和必要的人員購置用于預防和控制風險的設備加強人員培訓等，這些活動都需要經費的支持。第38頁，共62頁。11.1.5 項目風險管理1. 風險管理定義風險管理是指在項目進行過程中不斷對風險進行識別、評估，制定策略，監控風險的過程2. 項目風險管理的意義通過風險識別、風險分析和風險評價去認識項目的風險，并以此為基礎合理地使用各種風險應對措施、管理方法、技術和手段對項

19、目的風險進行有效的控制，妥善處理風險事件造成的不利后果，以最小的成本保證項目總體目標的實現2022/8/4上海海事大學計算機系第39頁，共62頁。2. 風險管理的地位提高項目的成功率：項目就應該進行必要的風險分析；提前對風險制定對策。增加團隊的健壯性抓住工作重點：將被動轉換為主動防御2022/8/4上海海事大學計算機系第40頁，共62頁。3. 風險管理階段風險分析和風險管理風險分析：風險識別、風險估計、風險評價風險管理：風險規劃、風險控制、風險監督有效的風險管理要求根據風險管理計劃對項目風險實時監控2022/8/4上海海事大學計算機系第41頁，共62頁。風險分析1） 風險識別減少項目的不確定性

20、，弄清楚項目的組成、各種可變因素的性質、相互間的關系、外部環境、可能形成項目風險的因素和作用范圍方法：專家法，財務報表法，流程圖法等等2）風險估計對風險的種類、性質、發生概率、影響范圍、發生后果進行估計，盡可能量化和度量風險，同時明了風險事件發生時可能出現的各種后果及彼此之間的關系，弄清楚可以增加或者減少風險概率的因素。2022/8/4上海海事大學計算機系第42頁，共62頁。3）風險評價對各種風險事件的后果進行評價，并按嚴重程度進行排序，確定該風險的經濟意義及處理費用/效益分析，找出各種風險的危害程度，確定采取的應對措施。常用方法：概率分布、外推、多目標分析等4）總結風險識別、估計和評價不是截

21、然分開的，往往是結合在一起進行分析2022/8/4上海海事大學計算機系第43頁，共62頁。風險管理1）風險規劃對各種可能出現的風險事件，制定各種風險應對計劃和應對策略，以及風險規避方法2）風險控制實施風險規避的控制計劃，可能需要修改項目計劃，對項目經費、進度進行調整方法：控制法：主動采取措施避免風險，消滅風險，中和風險自留法：風險量不大時可以余留風險轉移法2022/8/4上海海事大學計算機系第44頁，共62頁。3）風險監督實施風險控制后，檢查和檢驗決策的結果是否與預期相同，并尋找細化和改進風險管理計劃的機會。包含了對風險監督和對風險管理的監督4）總結：風險管理的成功取決于如何計劃、執行、檢驗每

22、一個步驟。2022/8/4上海海事大學計算機系第45頁，共62頁。Boehm的風險工作任務分解風險工程風險分析風險管理風險標識風險估計風險評價風險規劃風險控制風險監督風險指導風險人員配置2022/8/4第46頁，共62頁。11.3 風險識別1. 概述要進行項目風險管理，首先必須對存在的風險進行識別。即，查明項目中的不確定性因素和可能帶來的后果，以明晰項目構成威脅的因素，便于制定和降低風險的計劃和策略。2022/8/4上海海事大學計算機系第47頁，共62頁。11.3.1 風險識別及其方法1. 特點風險識別是風險管理的基礎和起點，也是風險管理者首要的或許是最困難的一項的工作。風險識別不是一次性行為

23、，而應有規律地貫穿在整個項目開發過程中2. 任務查明項目的不確定因素辨認項目所面臨的風險及其來源確定風險的性質分析可能發生的損失及機會2022/8/4上海海事大學計算機系第48頁，共62頁。3. 意義：如果不能準確地辯明所面臨的各種風險，就會失去切實地處理這些風險的機會，從而使得風險管理的職能得不到正常的發揮，自然也就不能有效地對風險進行控制和處理采用系統化的方法，識別出項目中已知的和可預測到的風險分類：一般性風險和特定性風險。一般性風險對每一個軟件項目而言都是一個潛在的威脅特定性風險是對當前項目的技術、人員及環境而言的威脅第49頁，共62頁。內在風險和外在風險。內在風險是指項目工作組能夠加以

24、控制和影響的風險，如人事任免和成本估計等。外在風險是指超出項目工作組控制能力和影響力之外的風險，如市場轉向或政府行為等。4. 一般性方法：通過對“因”和“果”（將會發生什么和導致什么等）的認定來實現。通過對“果”和“因”（什么樣的結果需要予以避免或促使其發生以及怎樣發生等）的認定來實現。第50頁，共62頁。5. 風險識別的流程2022/8/4上海海事大學計算機系輸入：WBS及相關信息輸出：風險列表標識風險評審風險風險分類排序第51頁，共62頁。風險識別的輸入：項目的工作分解結構、項目相關信息、項目計劃的假設、歷史項目數據，其他項目經驗文件、評審報告、公司目標等；標識風險：利用風險識別方法來標識

25、風險；風險分類排序：按一定標準（如重要程度）對風險進行分類和排序；風險識別的輸出：風險列表。 第52頁，共62頁。6. 風險識別的常用方法有：頭腦風暴法專家訪談法（Delphi方法）歷史資料法風險條目檢查表法評估表法分解分析法專家法查表法第53頁，共62頁。主要方法：1. 準確使用風險條目檢查表，根據經驗列出項目可能發生的所有潛在損失2. 以一套系統的方法從有關分析用表中找到項目潛在損失2022/8/4上海海事大學計算機系第54頁，共62頁。1. 風險條目檢查表法風險條目檢查表法是利用一組提問來幫助管理者了解項目在各個方面有哪些風險。在“風險條目檢查表”中，列出了所有可能的與每一個風險因素有關的提問，使得風險管理者集中來識別常見的、已知的和可預測的風險（如產品規模風險、依賴性風險、需求風險、管理風險及技術風險等）。 第55頁，共62頁。1）產品規模風險檢查表。項目風險是直