SG 1 准备风险管理

风险管理的准备工作得以进行。

建立并维护风险识别、分析与缓解的策略，以进行风险管理的准备。该策略通常会在风险管理计划中得到文档化。风险管理策略说明了应用与控制风险管理计划的具体措施与管理方法。该策略通常会包含风险来源的识别、风险分类的方案以及用以有效处理风险的风险评价、界定与控制的参数。

SP 1.1 确定风险来源与类别

确定风险来源与类别。

风险来源的识别奠定了基础，以系统地检查随时间变化的形势，从而揭示影响项目目标达成能力的情况。风险既来源于项目内部，也来源于项目外部。随着项目的进展，可以识别出风险的其它来源。建立风险的类别􁨀供了一种机制，以收集与整理风险，对于那些会严重影响项目目标达成的风险，确保给予适当的监察与管理层关注。

CMMI模型中，RSKM过程域的工作产品实例：

1. 风险来源清单（外部与内部的）

2. 风险类别清单

CMMI模型中，RSKM过程域的子实践：

1. 确定风险来源。

风险来源是项目与组织中导致风险的基本因素。项目有很多内部与外部的风险来源。风险来源识别了风险可能的起源。

典型的内部与外部风险来源有：

• 不确定的需求

• 无先例可循的工作（即无可用的估算）

• 不可行的设计

• 会影响方案选择与设计的、相互冲突的质量属性需求

• 不具备的技术

• 不切实际的进度估算或安排

• 不充足的人员和技能

• 成本或预算问题

• 不确定或不充分的分包商能力

• 不确定或不充分的供方能力

• 与实际或潜在的客户或其代表间不充分的沟通

• 运行连续性的中断

• 管理的约束（如保密、安全、环境）

这些风险来源中有许多种在未经充分计划之前就被接受了。对内部与外部风险来源的早期识别，有助于及早识别风险。从而，风险缓解计划也能够在项目中及早实施，以预防风险的发生或者减轻其发生时所造成的后果。

2. 确定风险类别。

风险类别提供了一个用于收集与组织风险的“储物柜”。识别风险类别有助于未来对风险缓解计划中的各项活动进行整合。

在确定风险类别时，可考虑以下因素：

• 项目生命周期模型的阶段（如需求、设计、制造、测试与评价、交付、废弃处置）

• 所使用的过程类型

• 所使用的产品类型

• 项目管理风险（如合同风险、预算风险、进度风险、资源风险）

• 技术性能风险（如与质量属性相关的风险、可支持性风险）

风险分类可用于为风险来源与类别的确定提供一个框架。

SP 1.2 定义风险参数

定义用于对风险进行分析、分类以及用于控制风险管理工作的参数。

用于风险评价、分类与优先级划分的参数有：

• 风险的可能性（即风险发生的概率）

• 风险的后果（即风险发生时产生的影响及其严重性）

• 触发管理活动的阈值

风险参数用于提供公共的、一致的评价准则，以比较需要管理的各项风险。如果没有这些参数，就很难衡量风险导致的负面变化的严重性，也难以为风险缓解计划中的各项措施排定优先级。项目的形势会随时间发生变化，因此项目应记录这些用于风险分析与分类的参数，使其在整个项目生命期内都能提供参考作用。在变更发生时当情况发生变化时，可以方便地利用这些参数对风险进行重新分类与分析。项目可以使用诸如失效模式与影响分析（failure mode and effects analysis，FMEA）等技术，来考察产品或选定的产品开发过程中的潜在失效风险。此类技术有助于规范风险参数的使用。

CMMI模型中，RSKM过程域的工作产品实例：

1. 风险评价、分类与优先级划分准则

2. 风险管理要求（如控制与审批级别、重新评估的时间间隔）

CMMI模型中，RSKM过程域的子实践：

1. 定义一致的准则，以评价与量化风险的可能性、严重性水平。

一致使用的准则（如可能性与严重程度的界定），使得对于不同的风险的影响，能够达成共同的理解，并得到适当级别的监察以及有保障的管理层关注。在管理不同的风险时（如人身安全风险与环境污染风险），保证最终结果的一致性是很重要的。（例如，严重的环境污染与严重的人身安全风险同样重要）。为比较不同风险􁨀供公共基础的方法之一，就是赋予这些风险相应的经济价值（例如通过一个风险货币化的过程）。

2. 定义每个风险类别的阈值。

可以对每个风险类别定义阈值，以决定该风险是否可以接受、风险的优先级或者启动管理措施的触发条件。

阈值的实例有：

• 项目阈值可以设置为：当产品成本超出目标成本10%或者成本绩效指数（cost performance index，CPI）低于0.95 时，需要高层管理人员的参与。

• 进度阈值可以设置为：当进度绩效指数（schedule performance index，SPI）低于0.95 时，需要高层管理人员的参与。

• 性能阈值可以设置为：当规定的关键指标（如处理器利用率、平均响应时间）超过预期设计值的125%时，需要高层管理人员的参与。

3. 定义阈值在某风险类别内外的适用范围。

对于哪些风险能采用定性分析，哪些能采用定量分析并无多少限制。范围边界值的界定（或者边界条件）有助于确定风险管理工作的范围和避免资源的过度浪费。设定范围边界值时，可以将􁸀类风险来源排除在外，也可以将发生频率低于一定程度的情况排除在外。

SP 1.3 建立风险管理策略

建立并维护用于风险管理的策略。

一个全面的风险管理策略应说明以下内容：

• 风险管理工作的范围

• 用于风险识别、风险分析、风险缓解、风险监督与沟通的方法与工具

• 项目特定的风险来源

• 如何组织、分类、比较与整合风险

• 用于对所识别的风险采取措施的参数，包括可能性、后果及阈值

• 所使用的风险缓解手段，如原型法、试用、模拟、备选方案设计或渐进式开发

• 用于监督风险状态的风险度量项定义

• 风险监督或重评估的时间间隔

风险管理策略应遵循共同成功愿景的指导，该愿景通过交付的产品、成本以及任务的适用性，描述了预期的未来项目结果。风险管理策略通常会在组织或项目的风险管理计划中得到文档化。应与相关干系人共同评审该策略，以增进对该策略的承诺与理解。

应在项目初期就制订风险管理策略，从而主动地识别和管理相关风险。对于关键风险的尽早识别与评估，能使项目规划风险的应对方法，并基于关键的风险调整项目资源的定义与分配。

CMMI模型中，RSKM过程域的工作产品实例：

1. 项目风险管理策略

【RSKM过程域相关文章】

CMMI过程域详解-风险管理（RSKM）之概述

CMMI过程域详解-风险管理（RSKM）之SG 1

CMMI过程域详解-风险管理（RSKM）之SG 2

CMMI过程域详解-风险管理（RSKM）之SG 3