CMMI3 PA之风险管理(RM)过程域解释和实施指南

有这样的说法：项目管理其实就是风险管理，把风险管理好了，项目也就管理好了。可见风险管理是多么重要啊！

在CMM的时候，还没有专门的PA是针对风险管理的。

CMMI2级的PP这个PA的SP2.2提到要识别风险，但这里的要求还是处于项目级别层次的。3级中的RSKM，已经把风险管理上升到组织层面，组织级需要对风险进行分类、定义风险的属性参数、制定风险的管理策略等。

什么是风险：是项目执行全过程中可能发生、一旦发生就会影响目标的实现并进而造成的事件。具有以下两个明显的特征：1.不确定性，事件可能发生也可能不发生（必然发生的事件应列入项目的约束的条件，而不是风险）。2.损失，事件一旦发生，就造成（成本、进度和质量等方面的）损失甚至出现严重的恶性后果等。

风险是可能性，风险的触发条件（起因和机理）要分析出来；风险在什麽时候发生；缓解措施是针对风险的触发条件；

风险来源（风险分类和分类指南）；风险属性参数（如严重度、发生频度、不易探测度、发生时间的远近等，等级高、中、低，不同项目可能不一样）；风险参数如跟进度、质量、成本等偏差的关系；风险策略：什么情况下风险规避、风险转移（外包）；评价优先级，风险缓解计划要进行跟踪；

风险管理(Risk Management, RSKM)的目的是在风险发生前，识别出潜在的问题，以便在产品或项目的生命周期中,规划风险处理活动，并于必要时启动风险处理活动，如此可将不利于完成目标的影响降低

SG 1风险管理准备

SP 1.1 确定风险来源和类别

SP 1.2 定义风险参数

SP 1.3 建立风险管理策略

SG 2识别并分析风险

SP 2.1识别风险

SP 2.2评估、分类及排序风险

SG 3缓解风险

SP 3.1制定风险缓解计划

SP 3.2执行风险缓解计划

RSKM有3个SG，SG1主要就是讲述组织级的要求，而SG2、SG3重点讲述项目如何进行风险管理活动。

SG1 准备风险管理：做好风险管理的准备。

为实施风险管理做好准备工作，通常是形成一个风险管理计划的文档，为整个风险管理提供一个战略性的文件；

SP1.1 决定风险的来源和类别（分类）。

SP 1.1确定风险的来源和风险的类别。

常见风险源包括：未确定的需求，不可预知的投入和估算不到位，不切实际的设计，不可得到的技术，不现实的进度估算和安排，人员或技术不足，成本或资金问题，子承包商能力的不确定或不足，买主能力不确定或不足，与现实的或潜在的客户或客户代表沟通不充分，打断操作的持续性。

典型的工作产品

1.风险来源清单(内部及外部)

2.风险类别清单

子实践

1.确定风险来源.

2.确定风险类别.

SP 1.2定义风险的参数。

定义用于分析和分类风险的参数，以及用于控制风险管理活动的参数。一般来说，风险会有后果严重级别、（起因和机理）发生机率、不易探测度、发生时间远近等属性

典型的工作产品

1.风险评估、分类及排定优先级的准则

2.风险管理需求(例：控制与核准层级、再评估的时间间隔等)

子实践

1.定义一致性的准则，以评估及量化风险的可能性及严重程度。

2.定义每个风险类别的阈值.

3.定义某风险类别阈值的范围。

SP 1.3建立风险管理策略：建立和维护风险管理的策略和方法。

风险管理策略通常记录于组织的文档中或项目的风险管理计划。风险管理策略由相关的干系人审查，以增进承诺和了解。

周详的风险管理策略说明的事项如下：:

风险管理投入的范围

使用于风险识别、风险分析、风险缓解、风险监控及沟通的方法及工具

项目特定的风险来源

如何组织、分类、比较及整合风险

对已识别风险采取行动的参数，包括可能性、结果及阈值

风险缓解所使用的技术，例如：原型制作、试行、模拟、备选方案设计或渐进式发展

定义风险度量，以监控风险状况

风险监控或再评估的时间间隔

典型的工作产品

1.  项目风险管理策略

SG2 识别和分析风险

识别风险并分析，以便决定其的相关重要性。

SP 2.1识别并文档化风险。

典型的工作产品

1.  已识别的风险清单，包括风险发生的内容、条件（起因和机理）及结果。

子实践

1.  识别与成本、进度及性能在产品生命周期各个阶段的风险。

2.  审查可能影响项目的环境因素。

3.  审查WBS(工作分解结构)的所有组件或元素，作为风险识别的一部分，以确保考虑到工作量投入的所有方面。

4.  审查项目计划的所有组件或元素，做为风险识别的一部分，以确保项目在各方面均已考虑。

5.  文档化风险的内容、条件及可能的潜在结果。

6.  识别与每一风险相关的干系人。

SP 2.2 对风险进行评估、分类及排序

目的是使用已定义的风险类别和参数，评价和分类每个已识别的风险，并对其进行排序。

典型的工作产品

1.  风险清单，包含各风险的优先级

子实践

1.  利用已定义的风险参数，评估已识别的风险。

2.  依照定义的风险类别，将风险分类并分组。

3.  确定每个风险的排序，已确定缓解风险的优先级，决定那些风险要优先考虑采取缓解措施。

SG3缓解风险：

适当的处理和缓解风险，以减少对达成目标的不利影响。

SG2主要讲的是识别和分析风险，SG3就是要管理风险及采取缓解措施了。

SP 3.1依据风险管理策略所定义，项对目影响大的重要风险，制定风险缓解计划.

典型的工作产品

1.  每个已识别风险之处理方案的记录

2.  风险缓解计划

3.  紧急应变计划  4.负责追踪及解决每个风险的人员清单

子实践

1.  定义风险在什么情况下是无法接受要启动风险缓解计划或紧急应变计划的风险等级及阈值。

2.  确定负责处理每个风险的个人或团队。

3.  确定实施每个风险之风险缓解计划的成本效益比。

4.  开发项目整体的风险缓解计划，用以协调和权衡个别的风险缓解计划和紧急应变计划的实施。

5.  针对选取的关键风险，开发当关键风险发生时的紧急应变计划。

SP 3.2实施风险缓解计划

周期性地跟踪监督风险状态，必要时（在需要的时候）实施风险缓解计划。

典型的工作产品

1.更新后的风险状况清单

2.更新后的风险可能性、结果及阈值的评估

3.更新后的风险处理方案清单

4.更新后的风险处理行动清单

5.风险缓解计划

子实践

1.监控风险状态

2.提供方法，以追踪未完成的风险处理措施或行动项目一直到结案。

3.当监控的风险超过定义的阈值时，调用选定的风险处理方案。

4.针对每个风险处理活动，建立进度或某段期间的绩效要求，包括起始日期和预计的完成日期。

5.对每个计划提供持续性的资源承诺，以使风险处理活动成功的执行。

6.收集风险处理活动的绩效度?数据。