SG 2 识别并分析风险

风险得到识别与分析，以决定其相对重要性。

风险等级会影响到为应对该风险所投入的资源，以及提请管理者适当关注该风险的时机。

风险分析，需要从已定义的内、外部风险来源中识别出风险，并对每个已识别的风险进行评价以确定其可能性与后果。基于按照风险管理策略建立的风险类别与准则进行的评价，风险分类能够提供应对风险所需的信息。

对相关的风险进行分组，能够实现风险应对的高效和风险管理资源的有效利用。

SP 2.1 识别风险

识别风险并将其文档化。

项目中潜在的问题、危险、威胁及漏洞会对项目成果或计划产生负面影响，对它们的识别是充分、成功地管理风险的基础。在适当地分析和管理风险前，应以易于理解的方式来识别与描述风险。并简单明了地将风险文档化，包括风险发生的背景、条件以及风险导致的后果。

风险识别应该是一个有组织的、全面的方法，以找出目标达成过程中可能发生的或现实存在的风险。为有效起见，风险识别不应试图去说明所有可能的事件利用在风险管理策略中制订的类别、参数以及识别的风险来源，可以使风险识别更加规范和高效。已识别的风险构成了启动风险管理活动的基线。应定期评审风险，以重新检视可能的风险来源和状态的变更，从而发现在风险管理策略最近一次更新时尚不存在的或者被忽略的来源和风险。

风险识别应关注于风险识别本身，而不是对风险的追责。管理层决不能将风险识别的结果用于个人绩效的评价。

风险识别有很多方法。典型的有：

• 检查项目工作分解结构的各个子项。

• 基于风险分类进行风险评估。

• 访谈该专题领域的专家。

• 回顾相似产品的风险管理工作。

• 检查经验教训文档与资料库。

• 检查设计文档与协议需求。

CMMI模型中，RSKM过程域的工作产品实例：

1. 已识别的风险列表，包括背景、条件和风险发生的后果

CMMI模型中，RSKM过程域的子实践：

1. 识别与成本、进度和性能相关的风险。

应检查与成本、进度、性能以及其它业务目标相关的风险，以了解其对项目目标的影响。也可能发现那些在项目范围之外但却对客户利益至关重要的可能的风险。例如存在于开发成本、产品采购成本、产品备件成本（或更换成本）以及产品的处置（或废弃）成本等中的风险。

客户可能并未充分考虑到产品现场支持或者使用某一服务的全部成本。客户应当被告知这些风险的存在，但未必需要主动地去管理它们。在项目和组织层面应检查其决策机制，如果觉得合适，就应将其落实到位，尤其是当风险会影响到对产品进行验证和确认的能力时，更应如此。

除了上述的成本风险以外，可能还有与拨款级别、拨款估算以及预算分配相关的其它成本风险。

进度风险包含了与已经计划的活动、关键事件与里程碑等相关的风险。

性能风险可能与以下内容相关：

• 需求

• 分析与设计

• 新技术的使用

• 物理尺寸

• 形状

• 重量

• 生产制造

• 与功能或质量属性相关的产品表现与操作

• 验证

• 确认

• 性能维护属性

性能维护属性是指那些能令使用中的产品或服务提供其所需性能的特性，如维护安全性和保密性水平。

有些风险不属于成本、进度或性能类风险，而是与组织运营的其它方面相关。

例如，其它类风险可能包括与如下因素相关的风险：

• 罢工

• 供应来源的减少

• 技术周期

• 竞争

2. 评审可能影响项目的环境因素。

项目经常会忽略那些被认为不在项目范围内的风险（即项目不能控制该风险的发生，但能够降低其影响），这些风险包括天气或自然灾害、政局变化以及通讯中断。

3. 评审工作分解结构的所有子项，将其作为风险识别的一部分，以确保这些工作内容得到了全方位的考量。

4. 评审项目计划的所有子项，将其作为风险识别的一部分，以确保项目得到了全方位的考量。

参阅“项目计划”过程域，以进一步了解如何识别项目风险。

5. 将每个风险的背景、条件与潜在的后果文档化。

风险描述通常以标准的格式记录，包括风险背景、条件与产生的后果。对于那些引发关注、疑虑或不确定性的风险，风险背景提供了风险的额外信息，例如风险的相关时间范围、风险所处的形势与条件。

6. 识别与各个风险相关的相关干系人。

SP 2.2 评价、分类风险并划分风险优先级

用已定义的风险类别与参数，对识别出的每个风险进行评价与分类，并确定其相对优先级。

需要进行风险评价，以指定各已识别风险的相对重要性，并决定何时需给予其适当的管理层关注。依据风险的相互关系将风险聚集起来，并在一定的聚集层级上开发方案，往往会起到一定作用。当一个风险是由较低层级的风险向上聚集而成时，必须小心谨慎以确保未忽视重要的低层级风险。风险评价、分类及优先级划分活动有时也被统称为“风险评估”或“风险分析”。

CMMI模型中，RSKM过程域的工作产品实例：

1. 风险及其优先级的清单

CMMI模型中，RSKM过程域的子实践：

1. 用定义的风险参数评价已识别的风险。

依据已定义的风险参数评价每个风险并赋予其特定的参数值，这些参数可包含可能性、后果（即严重性、影响）以及阈值。可对这些赋予的风险参数值进行整合，以产生额外的度量项，如风险暴露值（即可能性与后果的结合）等，可用于确定处理风险的优先顺序。通常会用一个有3到5个数值的标尺来评价可能性与后果。

例如，可能性可以分为微乎其微、不太可能、可能、非常可能、近乎确定。

后果的类别实例有：

• 低

• 中

• 高

• 可忽略的

• 轻微的

• 重大的

• 关键的

• 灾难性的

经常采用概率值来对可能性进行量化。后果通常与成本、进度、环境影响或人员的度量项相关（如损失的工时、人身伤害的严重程度）。风险评价往往是一项困难和耗时的工作，可能需要特定的专业知识或分组技术来评估风险和达成比较可信的优先级划分。另外，随着时间的变化，可能需要重新评价优先级。可以将风险的后果货币化，以提供一个对已识别风险变成现实后的影响进行比较的基础。

2. 依照已定义的风险类别，将风险分类并分组。

将风险按定义的风险类别分类，提供了一个按照风险的来源、类别或项目组件来评审风险的方法。可将相关或等效的风险归为一组，以便提高处理效率。应将相关风险间的因果关系文档化。

3. 划分风险的缓解优先级。

根据每项风险被赋予的风险参数，确定风险的相对优先级。应使用清晰的准则来确定风险优先级。风险优先级有助于确定将风险缓解的资源投入哪个领域最为有效，能够最大化对项目的正面影响。

【RSKM过程域相关文章】

CMMI过程域详解-风险管理（RSKM）之概述

CMMI过程域详解-风险管理（RSKM）之SG 1

CMMI过程域详解-风险管理（RSKM）之SG 2

CMMI过程域详解-风险管理（RSKM）之SG 3