2风险管理

李娟lijuan@bjut.edu.cn风险管理过程风险识别风险分析风险规划风险监控2015/10/312chapter__83不断变换的需求低劣的计划和估算不可信赖的承包人欠缺的管理经验人员问题技术失败政策的变化Therac-25放射治疗仪过量辐射◦1985年-1987年，导致3个病人死亡◦软件安全设计存在严重缺陷美国爱国者导弹系统◦如F－18战斗机在海湾战争中，飞行控制软件共发生了500多次故障，爱国者导弹因软件问题误伤了28名美国士兵火星气候轨道飞行器坠毁◦1999年，损失1.25亿美元◦软件使用了错误的单位Ariane5火箭爆炸◦1996年，损失3.7亿美元◦代码复用Linux安全漏洞-本地权限提升漏洞◦自2009年以来隐藏5年之久的的Linux内核严重安全漏洞2015/10/314怎么才能控制风险？chapter__85风险是一些不利因素实际发生的可能性。风险有两个特点：不确定性和如果发生带来的影响或损失。chapter__861.一个事件2.事件发生的概率3.事件的影响天要下雨，下雨可能性为40%，影响大阅兵飞机飞行chapter__87项目风险chapter__88预测角度已知风险－Knownknown可预测风险-Knownunknown不可预测风险-unknownunknown范围角度项目风险：影响项目进度或项目资源的风险产品风险：影响开发中软件的质量或性能的风险业务风险：影响软件开发机构或软件产品购买机构的风险风险风险类型职员跳槽项目管理层变更项目硬件缺乏项目需求变更项目和产品低估了系统规模项目和产品CASE工具性能较差产品技术变更业务产品竞争业务2015/10/31910风险的客观性风险的不确定性风险的不利性风险的可变性风险的普遍性风险识别：识别可能的项目、产品、业务等类型风险。风险分析：评估这些风险出现的可能性及其后果。风险规划：制定计划，说明如何避免风险或降低风险对项目的影响。风险监控：不断进行风险评估，随着有关信息的增多及时修正缓解风险的计划。2015/10/3111风险识别风险分析风险规划风险监控潜在的风险列表优先级高的风险列表风险避免和应急计划风险评估报告chapter__812风险识别是试图通过系统化地确定对项目计划的威胁，识别已知和可预测的风险。风险类型技术人员机构工具需求估算风险类型可能的风险技术系统使用的数据库处理速度不够快人员招聘不到符合技术要求的职员核心人员生病，不能发挥作用机构机构进行调整，由不同的管理层负责项目工具CASE工具无法集成需求需求变化，主体设计返工估算低估了软件开发的时间低估了软件的规模2015/10/311314输入标识风险评审风险风险表chapter__815头脑风暴法（Brainstorming）德尔菲方法（DelphiTechnique）面谈法（Interviewing）SWOT法风险条目检查表BrainstormingisatechniquebywhichagroupattemptstogenerateideasorfindasolutionforaspecificproblembyamassingideasspontaneouslyandwithoutjudgmentAnexperiencedfacilitatorshouldrunthebrainstormingsessionBecarefulnottooveruseormisusebrainstorming◦Psychologyliteratureshowsthatindividualsproduceagreaternumberofideasworkingalonethantheydothroughbrainstorminginsmall,face-to-facegroups◦Groupeffectsofteninhibitideageneration16TheDelphiTechniqueisusedtoderiveaconsensusamongapanelofexpertswhomakepredictionsaboutfuturedevelopmentsProvidesindependentandanonymousinputregardingfutureeventsUsesrepeatedroundsofquestioningandwrittenresponsesandavoidsthebiasingeffectspossibleinoralmethods,suchasbrainstorming17Interviewingisafact-findingtechniqueforcollectinginformationinface-to-face,phone,e-mail,orinstant-messagingdiscussionsInterviewingpeoplewithsimilarprojectexperienceisanimportanttoolforidentifyingpotentialrisks18strengths,weaknesses,opportunities,andthreatsHelpsidentifythebroadnegativeandpositiverisksthatapplytoaproject2015/10/31192015/10/312021检查表法是利用检查表作为风险识别的工具检查表法是根据风险要素建立软件项目的风险条目列表列表中列出所有与风险因素有关的提问可以使管理者集中识别常见的类型中的已知和可预测的风险有研究表明：IT项目常常存在一些共同的风险源2015/10/31221.产品规模2.商业影响3.客户相关4.过程定义5.开发技术6.开发环境7.人员数目及经验chapter__82324RequirementsStabilityCompletenessClarityValidityFeasibilityPrecedentScaleDesignFunctionalityDifficultyInterfacesPerformanceTestabilityHardwareConstraintsNonDevelopmentalsoftwareCodeandUnittestFeasibilityTestingCoding/ImplementationIntegrationandTestEnvironmentProductSystemEngineeringSpecialtiesMaintainabilityReliabilitySafetySecurityHumanFactorsSpecification25ManagementProcessPlanningProjectOrganizationManagementExperienceProgramInterfacesManagementMethodsMonitoringPersonnelManagementQualityAssuranceConfigurationManagementDevelopmentprocessFormalitySuitabilityProcessControlFamiliarityProductcontrolDevelopmentSystemCapacitySuitabilityUsabilityFamiliarityReliabilitySystemSupportDeliverabilityWorkEnvironmentQualityAttitudeCooperationCommunicationMorale2015/10/3126ResourcesScheduleStaffBudgetFacilitiesContractTypeofContractRestrictionDependenceProgramInterfacesCustomerAssociateContractorsSubcontractorsPrimeContractorCorporateManagementVendorsPolitics27风险分析需要逐一对每一个风险评估发生的可能性以及如果发生所产生的后果。风险评估的结果一般不是精确的数字，是一个范围。出现的可能性非常小（10%)、小（10%-25%)、中等（25%-50%)、大（50%-75%）、非常大（75%）。风险的严重性灾难性的、严重的、可容忍的、可忽略的。建立风险表，根据风险的严重程度进行排序（见下表）。发生的可能性大、影响严重的风险才会得到进一步的关注，列入随后的风险管理中。2015/10/3128风险样本可能性影响因开发机构出现财务问题，必须缩减项目预算小灾难性招聘不到符合技术要求的职员大灾难性项目的非常时期，关键性职员生病中等严重复用的软件有缺陷，限制了项目的功能中等严重需求发生变化，主体设计要返工中等严重开发机构管理层变化大严重低估了软件开发所需时间大严重CASE工具不能被集成大可容忍客户不了解需求变更对项目造成的影响中等可容忍培训跟不上中等可容忍低估了软件规模大可容忍CASE工具产生的代码效率低中等可忽略29确定优先次序按风险的严重性排序确定最需要关注的TOPN风险例如TOP1030定性评估风险概率及后果风险概率值：没有可能（0）确定（1）风险概率度量：高、中、低极高、高、中、低、极低不可能，不一定，可能和极可能等等chapter__831风险后果风险影响项目目标的严重程度从无影响到无穷大风险后果度量高、中、低极高、高、中、低、极低灾难，严重，轻微，可忽略等等AssessthelikelihoodandimpactofidentifiedriskstodeterminetheirmagnitudeandpriorityRiskquantificationtoolsandtechniquesinclude:◦Probability/impactmatrixes◦TheTopTenRiskItemTracking◦Expertjudgment32Aprobability/impactmatrixorchartliststherelativeprobabilityofariskoccurringononesideofamatrixoraxisonachartandtherelativeimpactoftheriskoccurringontheotherListtherisksandthenlabeleachoneashigh,medium,orlowintermsofitsprobabilityofoccurrenceanditsimpactifitdidoccurCanalsocalculateriskfactors◦Numbersthatrepresenttheoverallriskofspecificeventsbasedontheirprobabilityofoccurringandtheconsequencestotheprojectiftheydooccur333435TopTenRiskItemTrackingisaqualitativeriskanalysistoolthathelpstoidentifyrisksandmaintainanawarenessofrisksthroughoutthelifeofaprojectEstablishaperiodicreviewofthetoptenprojectriskitemsListthecurrentranking,pre