软件风险管理

XXXX网络技术(北京)有限公司风险管理规范版本：A（风险管理规范）规定项目中风险的识别与管理XXXX网络技术(北京)有限公司版本日期说明编写者审核者备注AB本文件的初稿C最终版本D第一次修改目录1风险管理概述.............................................................................................42被动和主动的风险策略.......................................................................43软件风险...........................................................................................................44识别风险...........................................................................................................54.1产品规模风险...................................................................................................64.2商业影响风险...................................................................................................64.3客户相关风险...................................................................................................64.4过程风险...........................................................................................................74.5技术风险...........................................................................................................84.6开发环境风险...................................................................................................84.7与人员数目及经验相关的风险.......................................................................84.8风险因素和驱动因子.......................................................................................95风险预测.........................................................................................................105.1建立风险表.....................................................................................................105.2评估风险影响.................................................................................................115.3风险评估.........................................................................................................116风险缓解、监控和管理...................................................................126.1安全性风险和危险.........................................................................................136.2RMMM计划...................................................................................................147软件风险的总结.......................................................................................14软件开发风险及规避措施1风险管理概述软件风险是指软件开发过程中及软件产品本身可能造成的伤害或损失。风险关注未来的事情，这意味着，风险涉及选择及选择本身包含的不确定性，在软件开发过程及软件产品都要面临各种决策的选择。风险是介于确定性和不确定性之间的状态，是处于无知和完整知识之间的状态。另一方面，风险将涉及思想、观念、行为、地点等因素的改变。当在软件工程领域考虑风险时，我们要关注以下的问题：什么样的风险会导致软件项目的彻底失败？用户需求、开发技术、目标计算机、以及所有其它与项目有关的因素的改变将会对按时交付和总体成功产生什么影响？对于采用什么方法和工具，需要多少人员参与工作的问题，我们如何选择和决策？对软件质量要达到什么程度才是“足够的”？当没有办法消除风险，甚至连试图降低该风险也存在疑问时，这些风险就是真正的风险了。在我们能够标识出软件项目中的真正风险之前，识别出所有对管理者和开发者而言均为明显得风险是很重要的。2被动和主动的风险策略被动风险策略是针对可能发生的风险来监督项目，直到它们变成真正的问题时，才会拨出资源来处理它们，更普遍的是，软件项目组对风险不闻不问，直到发生了错误才赶紧采取行动，试图迅速地纠正错误。这种管理模式常常被称为“救火模式”。当补救的努力失败后，项目就处在真正的危机之中了。对于风险管理的一个更聪明的策略是主动式的。主动策略早在技术工作开始之前就已经启动了――标识出潜在地风险，评估它们出现的概率及产生的影响，对风险按重要性进行排序，然后，软件项目组建立一个计划来管理风险。主动策略风险管理的主要目标是预防风险。但是，因为不是所有的风险都能够预防，所以，项目组必须建立一个应付意外事件的计划，使其在必要时能够以可控的及有效的方式作出反应。3软件风险软件风险包含两个特征：不确定性——刻划风险的事件可能发生也可能不发生，没有100％发生的风险。损失——如果风险变成了现实，就会产生恶性后果或损失。进行风险分析时，重要的是量化不确定的程度和与每个风险相关的损失的程度。为了实现这点，必须考虑不同类型的风险。项目风险：项目风险是指潜在的预算、进度、人力（工作人员和组织）、资源、客户、需求等方面的问题以及它们对软件项目的影响。项目风险威胁项目计划，如果风险变成现实，有可能会拖延项目的进度，增加项目的成本。项目风险的因素还包括项目的复杂性、规模、结构的不确定性。技术风险：是指潜在地设计、实现、接口、验证和维护等方面的问题。此外规约的二义性、技术的不确定性、陈旧的技术、以及“过于先进”的技术也是风险因素。技术风险威胁要开发的软件的质量及交付时间。如果技术风险变成现实，则开发工作可能变得很困难或者不可能。商业风险：商业风险威胁到要开发软件的生存能力。商业风险常常会危害项目或产品。五个主要的商业风险是：（1）开发一个没有人真正需要的优秀产品或系统（市场风险）；（2）开发的产品不再符合公司的整体商业策略（策略风险）；（3）建造了一个销售部门不知道如何去卖的产品；（4）由于重点的转移或人员的变动而失去了高级管理层的支持（管理风险）；（5）没有得到预算或人力上的保证（预算风险）。另外风险分为以下方式：（1）已知风险,是通过仔细评估项目计划、开发项目的商业及技术环境、以及其它可靠的信息来源（如：不现实的交付时间，没有需求或软件范围的文档、恶劣的开发环境）之后可以发现的那些风险。（2）可预测风险，能够从过去项目的经验中推测出来（如：人员调整，与客户之间无法沟通，由于需要进行维护而使开发人员精力分散）。（3）不可预测风险，它们可能、也会真的出现，但很难事先识别出它们来。4识别风险识别风险是试图系统化地确定对项目计划（估算、进度、资源分配）的威胁。通过识别已知和可预测的风险，项目管理者就有可能避免这些风险，且当必要时控制这些风险。每一类风险可以分为两种不同的类型：一般性风险和特定产品的风险。一般性风险对每一个软件项目而言都是一个潜在地威胁。特定产品的风险只有那些对当前项目的技术、人员、及环境非常了解的人才能识别出来。为了识别特定产品的风险，必须检查项目计划及软件范围说明，从而了解本项目中有什么特殊的特性可能会威胁到项目计划。一般性风险和特定产品的风险都应该被系统化地标识出来。识别风险的一个方法是建立风险条目检查表。该检查表可以用来识别风险，并可以集中来识别下列常见子类型中已知的及可预测的风险：产品规模——与要建造或要修改的软件的总体规模相关的风险。商业影响——与管理或市场所加诸的约束相关的风险。客户特性——与客户的素质以及开发者和客户定期通信的能力相关的风险。过程定义——与软件过程被定义的程度以及它们被开发组织所遵守的程度相关的风险。开发环境——与用以建造产品的工具的可用性及质量相关的风险。建造的技术——与待开发软件的复杂性以及系统所包含技术的“新奇性”相关的风险。人员数目及经验——与参与工作的软件工程师的总体技术水平及项目经验相关的风险。风险条目检查表能够以不同的方式来组织。与上述话题相关的问题可以由每一个软件项目来回答。这些问题的答案使得计划者能够估算风险产生的影响。4.1产品规模风险项目风险是直接与产品规模成正比的。下面的风险检查表中的条目标识了产品（软件）规模相关的常见风险：是否以LOC或FP估算产品的规模；对于估算出的产品规模的信任程度如何；是否以程序、文件或事务处理的数目来估算产品规模；产品规模与以前产品的规模的平均值的偏差百分比是多少；产品创建或使用的数据库大小如何；产品的用户数有多少；产品的需求改变多少？交付之前有多少？交付之后有多少？复用的软件有多少。4.2商业影响风险销售部门是受商业驱动的，而商业考虑有时会直接与技术实现发生冲突。下面的风险检查表中的条目标识了与商业影响相关的常见风险：○本产品对公司的收入有何影响；○本公司是否得到公司高级管理层的重视；○交付期限的合理性如何；○将会使用本产品的用户数及本产品是否与用户的需要相符合；○本产品必须能与之互操作的其它产品/系统的数目；○最终用户的水平如何；○必须产生并交付给用户的产品文档的质与量如何；○政府对本产品开发的约束；○延迟交付所造成的成本消耗是多少；○产品缺陷所造成的成本消耗是多少；对于待开发产品的每一个回答都必须与过去的经验加以比较。如果出现了较大的百分比偏差或者如果数字接近过去很不令人满意的结果，则风险较高。4.3客户相关风险客户有不同的需要。一些人只知道他们需要什么；而另一些人知道他们不需要什么。一些客户希望进行详细的讨论，而另客户则满足于模糊的承诺。客户有不同的个性。一些人喜欢享受客户的身份，而另一些人则根本不喜欢做为客户。一些人会高兴地接受几乎任何交付的产品，并能充分利用一个不好的产品；而另一些人则会对质量差的产品猛烈抨击。一些人会对质量好的产