CMMI过程域详解-风险管理（RSKM）之SG3 缓解风险

SG 3 缓解风险

风险得到适当的处理与缓解，以降低其对目标达成产生的不利影响。

处理风险的步骤包含制订风险处理方案、监督风险、当超过已定义的阈值时执行风险处理活动。对选定的风险制订并实施风险缓解计划，以主动降低风险发生的潜在影响。风险缓解计划还可包含应急计划，以应对当缓解措施未能阻止该风险的发生时所造成的影响。风险管理策略定义了用于触发风险处理措施的风险参数。

SP 3.1 制订风险缓解计划

依照风险管理策略，制订风险缓解计划。

风险缓解计划的一个关键环节就是制订备选行动方案、临时应对措施、回退点以及为每个关键风险制订推荐的行动方案。对每个给定风险的风险缓解计划包含一系列技术与方法，用于避免、减轻与控制风险发生可能性，或者风险发生时导致的损害范围（有时被称为“应急计划”），或者兼顾两者。监督风险，当其超出设定的阈值时，执行风险缓解计划，以使受影响的部分回归到可接受的风险水平。如果风险不能被缓解，可以执行应急计划。通常只针对后果为严重或不可接受的风险制订风险缓解与应急计划，对于其它风险可能是接受并仅仅监督即可。

处理风险的备选方案通常有：

• 风险规避：改变或降低需求，但仍符合最终用户的需要

• 风险控制：采取积极措施使风险最小化

• 风险转移：重新分配需求以降低风险

• 风险监督：关注风险并定期重新评价其在指定参数上的变化

• 风险接受：承认风险但不采取措施

通常，尤其是针对高影响度的风险，应制订多种风险处理方法。

例如，在破坏运行连续性的事件中，风险管理方法应包括建立：

• 资源预留以响应操作中断事件

• 可用的备用设备清单

• 关键员工的后备人员

• 应急响应系统测试计划

• 公告的应急步骤

• 公布的应急关键联络人与信息资源的清单

风险在很多情况下会被接受或关注。当判定风险很低而不必做正式地缓解时，或者似乎没有可行措施来降低风险时，该风险通常会被接受。接受风险时，应将做出该决策的理由文档化。当风险存在一个客观定义的、可验证的已文档化阈值（如对成本、进度、性能、风险暴露值），并且该阈值会触发缓解计划或者应急计划时，该风险才会被关注。

参阅“决策分析与解决”过程域，以进一步了解如何评价并选择备选方案。

作为风险缓解计划活动的一部分，应尽早充分考虑技术展示、模型、模拟、试用与原型。

CMMI模型中，RSKM过程域的工作产品实例：

1. 每个已识别风险的文档化的处理方案

2. 风险缓解计划

3. 应急计划

4. 负责跟踪与应对每个风险的人员列表

CMMI模型中，RSKM过程域的子实践：

1. 确定级别与阈值，以定义何时风险是不可接受的，以及执行风险缓解计划或应急计划的触发条件。

风险级别（通过风险模型导出）是一个结合了达成目标的不确定性与没有达成目标的后果的度量项。风险级别与阈值设定了已计划的或可接受的成本、进度或性能的边界值，应清晰地理解并定义风险级别以提供一个了解风险的方法为了确保基于严重性的风险优先级划分与来自相关管理层的响应，风险的适当分类是非常必要的。可设定多重阈值，以启动不同等级的管理者响应。通常，触发风险缓解计划的阈值会设定在触发应急计划的阈值之前。

2. 识别负责应对每个风险的人员或团体。

3. 确定执行每个风险的风险缓解计划的成本与收益。

应检查风险缓解活动所提供的收益及其会消耗的资源。正如其它任何设计活动一样，可能需要制订备选计划，并评估每个备选计划的成本与收益。选择实施最适当的计划。

4. 为项目制订总体的风险缓解计划，以协调单个风险缓解与应急计划的实施。

整套风险缓解计划的集合可能是超出负担范围的。应执行权衡分析以排定执行风险缓解计划的优先级。

5. 针对选取的关键风险，制订当其影响变为现实时的应急计划。

必要时应制订并执行风险缓解计划，以主动地在风险变为问题前降低其风险。尽管做出了很大的努力，某些风险可能仍然无法避免，并成为影响项目的问题。对于关键风险可以制订应急计划，以描述当风险的影响发生时项目可以采取的措施。其意图是定义一个主动的计划以处理风险。风险或者被减轻（缓解）或者被处理（应急）。这两种情况下，风险都得到了管理。

有些风险管理文献可能把应急计划作为风险缓解计划的同义词或是一部分。这些计划也可能作为风险应对计划或者风险行动计划一起某述。

SP 3.2 实施风险缓解计划

定期监督每个风险的状态，并适当地实施风险缓解计划。

为在工作期间有效地控制与管理风险，须遵守事先安排的计划，定期监督风险以及风险处理措施的状态与结果。风险管理策略定义了检视风险状态的时间间隔。该行动可能导致发现新的风险，或者可能需要重新计划或评估风险处理方案。在上述任何一种情况下，应比较与风险相关的可接受性阈值与风险的状态，以决定是否需要执行风险缓解计划。