从拼多多“薅羊毛”,看风险管理

昨天,拼多多薅羊毛事件,一夜之间资损千万。黑灰产的蓄意是一方面,另一方面也说明,拼多多在风险管理上,的确存在巨大的Bug。

其实东方航空、小米、京东等线上平台也都出现过类似的问题。

作为IT管理圈子的人,在这些事件的背后,不仅仅看到的是经济损失,更是风险管理没做好,而转化成的问题

风险作为一门科学诞生于16世纪的文艺复兴时期,它源于意大利的“risicare”,意思是“敢于”。1955年,美国宾夕法尼亚大学沃顿商学院——施耐德教授,第一次提出了“风险管理”的概念,且适用于各行各业。

随着软件行业的飞速发展,20世纪80年代,COCOMO模型之父——Boehm开始在软件项目管理里使用风险管理。这之后,虽然软件行业对风险管理表现了极大的兴趣,也做出了不少努力,但似乎很少有软件企业真正积极地在软件开发过程中,践行风险管理的方法。

为什么?IWSED (International Workshop on Software Engineering Data) 给出了答案:

“风险管理没有得到广泛应用的原因,并不是大家不相信这种风险管理的实效性,而是对风险管理的流程和方法缺乏了解。”

翻译一下,就是大家都知道管理风险很重要,但是不知道怎么管。不过以我的视角来看,IWSED的观点貌似太乐观了。大多数IT圈中的管理者,都存在这样的侥幸心理:“风险发不发生,尚且未可知,花那么多精力做风险管理,没这个必要吧”。也就是说,他们居然对“风险管理的实效性”表示怀疑。

风险管理到底重不重要呢?

风险,即“损失的可能性”,在整个项目管理过程中是不可避免的,只能尽量降低损失的可能性。

因此,风险管理的主要目标是为了预防风险的发生。也就是在潜在问题发生前,对其进行识别,以便在整个产品或项目的生命期中,计划并在需要时启动风险的处理行动,从而降低这些潜在问题对达成目标产生的不利影响。

CMMI Risk Management

从概率学的角度来看,风险不能100% 的避免,也不会100%的发生。正因这样的不确定性,才滋生了风险管理的侥幸心理。风险管理就像买保险,可买可不买,甚至还让人反感,但基本每个人都至少有一份。不怕一万,怕万一,这是风险管理的基本意识。

那么既然要对风险进行管理,总要投入资源吧。提前为没有发生的问题买单,这才是让IT管理者迟迟下不了决心进行风险管理的真正绊脚石。在风险变成问题发生之前,没人有实锤证明,前期风险管理与后期风险应对,到底哪个花费了更多的资源。BUT!仅仅从资源投入的角度去衡量风险管理的价值,这个角度明显了!

拿消防员做个类比。也不是天天有火情,为啥消防员要天天训练呢?因为,训练有素的效率更高、效能更大。

想想昨天的拼多多,凌晨出现的优惠券直到早上9点才被下架。如果事件发生的第一个小时就处理了呢?这才是管与不管最大的差别。

我们之前就说过,一个好汉三个帮,一个项目靠大家风险管理的目的,在于问题发生时,可以让各个相关人员,按照风险预案,有条不紊的处理问题,通过高效的协作,缩短问题持续的时间,降低问题所带来的损失。

因此,风险管理,非!常!重!要!

风险管理的流程怎么设计?又有哪些方法呢?

风险管理三步走:

仅仅三个简单的步骤,很多公司却连“依葫芦画瓢”都做不到。除了不重视外,就是缺方法。问题的多样性,导致识别和分析风险的方法有难度,不过最难的,是需要时间的积累。

第一步:风险识别与分析

  • 按照《风险检查表》进行识别,如下表。是不是觉得好简单。但是这张表花了两年,才完善到111条风险。《风险检查表》不是越长越好,而是需要大家群策群力,贡献项目中遇到的问题,并在实际项目中不断地更新。经验的沉淀带来的价值是超出想象的。

  • 如果没有《风险检查表》,也好办。在项目策划阶段,让干系人进行风险识别的头脑风暴。几个项目过后,也就能累积起一张有效的《风险检查表》了。

第二步:风险跟踪

风险识别完了,怎么跟踪呢?结合前面讲过的项目监控:我们要在监控的各个点(一般至少是跟着项目例会的频率走的)进行风险的跟踪,来分析风险发生的可能性。

下表所示的金融在线平台2月识别了一个服务连续性的风险:由于区域线路检修可能会导致电力中断,该风险的优先级分数达到了15分,是一个重点关注的高风险,需要进行全面的规避措施。

风险跟踪到什么时候才能结束呢?下表里有一个重要参数“预计发生阶段”,过了这个阶段还没发生的话,风险跟踪就可以结束了。例子中的“预计发生阶段”是整个阶段,那么这条风险的跟踪,就要一直进行下去。

每当进行例行风险跟踪的时候,也是新风险识别的时候。随着实际情况的不断变化,我们需要不断地发现新风险、更新已识别的风险,以及关闭不会发生的风险。

第三步:风险应对

大家有没有注意到,在上面那张《风险跟踪表》里,有一项“计划应对策略”。这是风险发生时,干系人有条不紊开展应对工作的依据。

针对重要的风险,要制定全面规避的应对策略。而对那些优先级不高的风险,可以不制定应策略——不处理,接受它的发生,以减少风险管理在资源上的投入。

风险管理的过程,是风险的可视化过程。风险可能无处不在,但风险管理更应有的放矢。

凡奉首页    管理实践    CMMI管理实践    从拼多多“薅羊毛”,看风险管理
创建时间:2019-01-21 00:00
收藏