人工智能时代前沿技术社区

首页 > 热点

风险参数及缓解策略定义指南

作者: | 2021-01-07 16:21:27

1引言

1.1 目的

 指导项目组在进行项目识别后的风险参数定义及缓解策略制定。

 指导EPG定期对组织的风险列表进行维护。

1.2 范围

 本文主要描述风险参数及缓解策略定义。

 本指南适合公司的所有软件项目。

2风险属性定义

2.1 风险类别定义

风险分类按照不同的关注角度可以有以下几种方式:

 风险来源:按照风险来源或者损失产生的原因可将风险划分为自然风险和人为风险。

 风险的预测性:风险可以分为已知风险、可预测风险和不可预测风险三类。

 风险后果承担者:项目风险产生的后果可能由以下几类角色承担:甲方担当、乙方担当、最终用户担当或多方共担。

 风险后果:纯粹风险、投机风险/机会风险。

 风险影响:局部风险、全局风险。一般来说,局部风险影响的范围小,总体风险/全局风险影响范围大,但两者通常意义上来讲是相对的,比如在项目个别阶段进度发生滞后的风险存在,虽然是局部风险,但是如果不加以控制,该风险很可能引发成为全局进度滞后这一风险的触发条件。

 是否可管理:可管理、不可管理。

2.2 风险参数定义

 (1)风险危害等级

本公司定义风险危害等级为:大(分值:3)、中(分值:2)、小(分值:1)。

大:对项目进度、项目成本、项目质量会造成重大影响,如项目进度可能延迟30%以上,项目成本会增加30%以上,项目其它关键质量目标与初始已批准的质量目标计划偏差在30%以上。

中:对项目进度、项目成本、项目质量会造成严重影响,如项目进度可能延迟20%~30%,项目成本会增加20%~30%,项目其它关键质量目标与初始已批准的质量目标计划偏差在20%~30%左右。

小:对项目进度、项目成本、项目质量会造成一定的影响,但通常影响范围有限,或者通过及时采取预防缓解措施能够将风险产生的影响消除。

 (2)风险发生概率

本公司定义风险发生概率等级为:高(分值:3)、中(分值:2)、低(分值:1)。

高:该类风险在组织度量的类似项目中发生概率在15%以上。一般意义上,这一类风险属于已识别风险,相对的风险危害等级能够得到预先估计。比如:项目范围失控、项目需求开发无法得到客户确认、项目估计乐观等。

中:该类风险在组织度量的类似项目中发生概率在3%~15%之间。这类风险的发生是可以被有经验的项目经理或技术专家提前识别,但是其产生的影响、后果通常相当严重,且无法准确的预见后果。比如:客户不及时进行相关文档和工作产品的确认和承诺、采购或外包供应商无法及时提交符合要求的产品/产品组件或服务等。

低:该类风险虽然发生概率较低,但是仍然有可能发生,但对于有经验的项目经理或技术专家也很难预见风险的发生。通常,这类风险是组织未能积累的、组织在历史经验中未能发现的或在本项目中较晚的时候才显现出的一类情况,通常这类风险一般是外部因素作用的结果。比如:政府相关行业政策的颁布、台风、暴雨季对项目实施造成影响等。

 (3)风险优先级

如上图所示 

根据上图所示的风险优先级划定标准,风险优先级=风险危害等级*风险发生概率。

大-高(分值:9)、大-中(分值:6)、中-高(分值:6)三类属于一级优先级风险;

大-低(分值:3)、中-中(分值:4)、小-低(分值:3)三类属于二级优先级风险;

中-低(分值:2)、小-中(分值:2)、小-低(分值:1)三类属于三级优先级风险;

优先级从三级至一级逐级升高,优先级越高表明组织或项目团队需要对该类风险付出更多的识别和监控工作量。

但对于已发生的风险,在进行风险缓解措施的执行过程中,依照的执行活动优先级仅与风险危害等级相关。

2.3 风险发生条件定义

 风险转化/基础条件和风险触发条件

风险是一种带来危机的可能性,因此风险是潜在的。只有具备了一定的条件时,才有可能发生风险事件,这一定的条件称为风险转化/基础条件。但是,具备了风险成因条件,风险并不一定发生,只有具备了另外一些条件时,风险事件才会真的发生,这一部分的条件称为触发条件。

综上,只要能够正确识别风险的成因条件和触发条件,合理的控制这两种条件的形成,就能够在相当大的程度上避免实际风险的发生;同样,准确识别风险的两种条件也是做好风险缓解策略的基础。

 风险阀值

本参数也可作为风险参数的一种,也即风险参数通常分为:风险危害等级、风险发生概率、风险优先级、风险发生阀值等四种。

风险阀值的定义:通常我们定义当项目的某一属性(定性或定量)达到一定状态时,必须采取相应措施。针对不同风险,阀值可表征风险发生的概率变化及风险产生危害大小的变化,也同时对应不同的风险触发条件。

本公司风险阀值细分如下:

可忽略阀值:达到该阀值时,风险发生概率较小或风险不能对项目产生较大影响,通常可不采取措施。

需跟踪阀值:风险状态活跃,需进行风险跟踪。

需警告阀值:风险发生概率显著增高,需通报相关干系人,采取预防措施,尽量将风险转化为不可发生,同时也要为未来执行风险缓解措施做好相应准备。

警报阀值:风险实际发生,执行风险缓解措施。

3制定风险缓解策略

风险缓解策略从风险是否发生考虑,可以分为预防类计划和缓解/应急类计划。

3.1 风险预防措施

从风险的类别我们发现,风险可以分为纯粹风险和机会风险(投机风险),按照风险发生条件的细分,有成因条件和触发条件两种。本公司所有识别的二级以上风险,需根据成因条件和触发条件的不同制定预防计划。

对于不同的风险预防,消除成因条件或触发条件的任意一条均可实现风险的预防。

方法一:防止风险因素出现。对于未来维护工作量巨大这一类风险,可以在项目开发或技术实现阶段加强验证活动,在产品的每一个质量注入阶段都努力提升产品品质,从而间接地降低风险发生的可能性。

方法二:减少已存在风险因素。对于公司待遇偏低、组织架构频繁调整可能导致的项目团队成员大量离职这一风险,项目经理需要尽量向组织申请活动经费,开展丰富多彩的团队活动,减少因为组织层面所带来的负面影响,从而降低重要技术、开发人员的变动。

方法三:将风险可能造成影响的人、财、物等进行时间、空间隔离。对于重要工作产品的泄密风险,一般情况下我们可以采用实验室物理隔绝的方式将工作环境与外部网络隔绝,减小该类风险。

虽然预防措施能够起到一定的作用,但是以上提到的各类风险预防措施都需要较大的投入,因此在执行预防措施前需要进行充分的考虑;另外,通过制定严格的工作规章制度和流程,或通过各项培训手段提升项目团队成员工作能力等,也能够对预防各类风险的发生起到很好的作用。

3.2 风险缓解策略

对于项目风险管理表中的所有优先级处于二级以上风险,必须制定风险缓解计划,另外要注意帕累托的二八原则,即项目所有风险中只有一小部分对项目成败威胁最大,因此需要将风险缓解的工作量用在威胁最大的那几个风险上。

 缓解策略

降低风险发生的概率或减少风险发生后果的不利影响。对于已知风险,通常项目组可直接采取措施进行风险发生概率的降低或直接减小风险造成的影响。

 接受策略

对于风险无法控制但项目又必须进行的,项目团队则只有将风险事件的不利后果自愿承担下来。如果先期已经对风险有了准备,一旦风险发生就执行相应的缓解措施,则称为主动接受;如果风险事件造成的损失不大,并非全局风险,则项目团队也可以被动的接受并在未来的开发过程中逐步消减风险带来的损失。例如阶段的项目进度延迟,项目团队只有自觉通过自我约束和加班加点来弥补进度延迟对整个项目成败的影响。

 转嫁策略

转嫁策略又称为合伙分担策略,主要目的并不是降低风险发生的概率,而是通过合同或协议的提前约束将风险一旦发生产生的损失的部分或全部转移到组织以外的第三方,以此降低风险造成的影响。

 规避策略

当项目团队对于风险潜在威胁发生可能性较大,而造成的后果又十分严重的情况下,没有其他风险缓解策略可产生作用,应该主动放弃项目或改变项目目标、范围与行动计划,从而规避风险。一般情况下对于以下三类情况项目或公司层面需要采用规避策略以应对风险:

(1) 客观上不需要的风险:类似的研发型项目,公司已经有了比较成熟的开发技术和手段,不需要付出较大的人力、物力、财力来进行新技术的预研活动。

(2) 仅为了获取名义上的提升而没有实质意义的项目:项目本身成功可能性较小,比如我们中小型公司为了提升实力而争取省、部级重大项目,在本身资质不能够满足的情况下投标活动就可以视为没有意义的。

(3) 一旦造成影响,公司和项目团队无法承担后果的项目:与甲方签订较为苛刻而又实际无法满足的协议或合同,一旦造成影响,对公司会造成非常严重的影响,这时采用规避策略,或者重新修改合同,或者放弃该项目。

3.3 风险缓解措施执行评价

项目结项时,项目经理、QA以及EPG、公司高层等需要参加项目结项会议,期间对项目过程中的风险情况进行总结,将评价后的风险连同缓解措施等有效数据更新至组织风险列表。

风险缓解措施执行后的效果共分为三级:

有效:由于风险预防措施的执行,风险没有发生;虽然风险发生,但由于执行了风险缓解措施,整个项目得以正常运行,各项质量目标正常;

基本有效:风险发生后的危害性处于可接受水平,项目各项数据表征基本正常;

失败:风险缓解失败表明该风险严重影响了项目的进度、工作量或成本等关键因素,对项目本身或组织带来较大的损失性后果。