>
风险管理模型的对比分析
以上介绍的是自风险管理概念引入软件业以来国际上
一些经典的软件项目风险管理模型，表 $ 是对这些模型的 对比分析。 表$
模型 ?/9@8 ’A(
风险管理模型对比表
特点 模型 复杂度 低 低 模型核 心活动 风险识别 通讯
识别、维护十大风险列表 持续风险管理，强调对风险的 沟通 持续风险管理；风险的定义基 于主要相关者的期望；用图形
风险识别
原始风险列表
险，并通过更新、维护基于 <-015 理论的十大风险列表来 管理风险。 ’+8 =666 风险管理标准。=666 风险管理标准定义了软件开 发生命周期中的风险管理过程。这个过程适合于软件企业 的软件开发项目也可以应用于个人软件开发。虽然这个标 准是用来管理软件项目的风险，但也同样适用于管理各种 系统级和组织级的风险。 这个风险管理过程是一个持续的过程，它系统地描述 和管理在产品或服务的生命周期中出现的风险。包括以下 活动：计划并实施风险管理、管理项目风险列表、分析风
毛明志等：软件项目风险管理模型的分析与研究 的失败，这将会把管理者推入尴尬的境地。同时，有研究 显示：!"# 的软件项目延期交付的原因和组织问题有关。 由于缺乏软件风险管理，很多软件开发项目都无法在预定 的时间和预算下交付高质量、高性能的软件产品。 不论风险管理理论多么成熟，过程多么完美，工具多 么先进，如果不能与实际的项目相结合并加以有效地利用， 一切都是枉然。风险管理对于软件企业来说关系到企业的 生存发展，应该上升到组织的高度。企业文化是企业的核 心，在企业文化的指引下确立适合企业发展的企业战略目 标。风险管理应该 是 领 导 带 头、全 员 参 与、持 续 改 进 的， 因此，企业可通过如下几个方面来加以改进。 !$% 建立规范风险管理的企业文化。企业文化是组织成员 共有的价值和信念体系，这一体系在很大程度上决定了组 织成员的行为方式。企业应当建立起规范风险管理的企业 文化，让所有员工认识到风险管理是项目管理不可或缺的 有机部分并贯穿于整个项目的始终。 !$& 建立支持有效风险管理的组织结构。企业高层管理人 员的支持与重视是进行有效风险管理的先决条件，企业各 级管理人员不仅要有强烈的风险管理意识，而且要积极参 与到风险管理中去。建立起以企业高级管理人员负责的风 险管理组织架构，制定风险管理过程、确定风险管理工具 以及管理监控风险，维护风险管理 ’ 工具库。 !$( 建立有效风险管理过程。风险管理过程包括培训、风 险识别、风险分析、风险计划、执行计划、跟踪检查、评 比更新等几个活动。有效的风险管理过程应是学习型的、 持续的和不断进化的。软件企业应建立自己的风险管理数 据 ’ 工具库以作为风险管理过程的基础，并在实施中不断地 更新与完善。风险管理过程的学习性主要体现在培训活动 上，培训的内容包括风险管理技术以及工具的使用，培训 可以取材于风险管理数据 ’ 工具库，使风险管理过程不断地 从历史经验中学习；过程的各个活动构成了循环，贯穿于 项目始终，以保证风险管理过程的持续性；过程中的每个 活动在循环中都和数据库进行交互，不断采集并更新数据， 在各个活动的循环中不断加以改进。 !$! 其他。 （%）授权。企业的管理者要勇于授权、敢于放权。制 订各级、各类人员的风险管理责任制，明确任务和职权， 各司其职，密切配 合，做 到 权 责 合 一，以 形 成 一 个 高 效、 协调、严密的风险管理系统。 （&）激励。企业的管理者应建立合理的激励机制，根 据员工的风险管理责任制对员工进行考评，作为奖罚的依 据，调动员工进行风险管理的积极性。 参考文献：
摘要：由于缺乏有效的软件风险管理，导致很多软件开发项目都无法在预定的时间和预算下交付高质量、 高性能的软件产品，软件项目常常以失败告终。本文在对经典的软件风险管理理论及风险管理模型进行分析与 研究的基础上，提出确保风险管理有效实施的改进策略。 关键词：软件项目；风险管理；模型 中图分类号：,-&%% 文献标识码：. 大风险列表，其中包括不现实的时间和费用预算、功能和 属性错误、人员匮乏等。在软件项目开始时归纳出现在项 目的十大风险列表，在项目的生命周期中定期召开会议去 对列表进行更新、评比。十大风险列表是让高层经理的注 意力集中在项目关键成功因素上的有效途径，可以有效地 管理风险并由此减少高层的时间和精力。 !2! @0/ 的 A;B（持续风险管理）模型。 @0/（软件工程研 究所）是软件工程研究与应用的权威机构，旨在领导、改 进软件工程实践，以提高以软件为主导的系统的质量。 @0/ 的软件风险管理原则： %）全局观点； !）积极的策略； &）开放的沟通环境； #）综合管理； ’）持续的过程； (）共同的目标； )）协调 工作。 @0/ 提出的 A;B 模型要求在项目生命周期的所有阶段 都关注风险识别和管理，它将风险管理划分为 ’ 个步骤， 如图 % 所示：
万方数据 基金项目： （&’""" $ #!"!""(） !""& 年广东省软件领域关键技术突破项目（!""& $ %）
毛明志等：软件项目风险管理模型的分析与研究 行模板，包括活动描述、进入标准、输入、输出、采用的 方法和工具、责任、资源、退出标准。 !"#$"% 方法的特点： &、提供风险的明确定义：损失的定义建立在期望的基 础上，即项目的实际结果没有达到项目相关者对项目的期 望的程度； ’、明确定义目标、限制和其它影响项目成功的因素； (、采用图形化的工具 !"#$"% 分析图对风险建模，定性 地记录风险； )、使用应用性损失的概念排列风险的损失； *、不同相关者的观点被明确建模。 !"#$"% 风险管理过程如图 ’ 所示，在项目生命期内，这 些活动可以重复多次。
校正风险缓解 计划中的偏差 在风险转化 为问题前识 别分险 评估风险的影 响、可能性、耗 费时间， 对风险 分类和排序 各部分加强对 风险的沟通
%
引言
/000 给出了风险的定义：一种事件、状态发生的可能 性，这种可能性会带来严重的后果或者潜在的问题。风险 是一种客观存在，风险与效益同存，只有正视风险才能有 效地规避风险。我们要学会在风险带来的负面影响和潜在 的收益中找到平衡点。由于软件项目开发和管理中的种种 不确定性，使软件业成为高风险的产业。有调查显示，有 %’1 —&’1 的软件项目被中途取消，剩下的项目不是超期 就是超出预算，或者无法达到预期的目标。对很多失败的 软件开发项目进行事后分析说明：如果在项目刚开始时就 关注于识别或解决项目中的高风险因素，那么就会很大程 度地减少甚至避免这种失败。软件风险管理是一种软件工 程实践，它包括过程、方法和工具。利用这些过程、方法 和工具去完成以下工作：持续评估风险、确定风险优先级、 实施策略处理风险。
图*
"###
层管理者制订标准；可以管理 项目级或组织级风险 持续 的、前 瞻 性 的 风 险 管 理；
中
管理风险 描述表
’(("
持续过程改进 持续的、主动的风险管理；持
中
风险库
()3
续过程改进
中
学习
!
软件项目风险管理的改进策略
软件业目前有这么一种现象，那就是：避而不谈风险。
现在的风险管理文化是：承认风险 B 失败主义。如果在风 险计划中考虑到某种风险，而最终这种风险又导致了项目
$%& ’(("（软件能力成熟度模型集成）的风险管理过程 域。’((" 是由 )#" 在 ’(( 基础上发展而来，并在全世界推 广实施的一种软件能力成熟度评估标准，主要用于指导软 件开发过程的改进和进行软件开发能力的评估。风险管理 过程域是在 ’((" 第三级—已定义级中的一个关键过程域。 ’((" 认为风险管理是一种连续的前瞻性的过程。它要识别 潜在的可能危及关键目标的因素，以便策划应对风险的活 动和在必要时实施这些活动，缓解不利的影响最终实现组 织的目标。 ’((" 的风险管理被清晰地描述为实现三个目标，每个 目标的实现又通过一系列的活动来完成，如图 * 所示：
!
经典风险管理模型
!2% 34556 3789: 理论。!" 世纪 +" 年代，软件风险管理之 父 3789: 将风险管理的概念引入软件界。 3789: 认为：软件 风险管理这门学科的出现就是试图将影响项目成功的风险 形式化为一组易用的原则和实践的集合，目标是在风险成 为软件项目返工的主要因素并由此威胁到项目的成功运作 前，识别、描述并消除这些风险项。他将风险管理过程归 纳成二个基本步骤：风险评估和风险控制。其中风险评估 包括风险识别、风险分析、风险排序；风险控制包括制定 风险管理计划、解决风险、监控风险。 3789: 用公式：;0 < -（=>）! ?（=>） 对风险进行度量，其中 ;0 表示风险的影响， -（ =>） 表示令人不满意结果发生的概率；?（=>）表示令人不满的 结果带来的损失。 3789: 风险管理理论的核心是维护和更新十大风险列 表。他通过对一些大型项目进行调查总结出了软件项目十
收稿日期：!""# $ %! $ !!
监控风险指标和 风险缓解行动 在风险信息基 础上做出决策 采取行动
图%
@0/ 风险管理模型 C A;B D
!2& ;EFGEH 方法。如果组织在项目早期采用系统化的风险 管理过程和技术，那么组织就有能力避免很多问题。 ;EFGEH 方法就能提供这种系统化的风险管理过程和技术，它是由 B456I4JK 大学提出的，旨在对风险的起因、触发事件及其影 响等进行完整的体现和管理，并使用合理的步骤评估风险。 对于风险管理中的每个活动， ;EFGEH 都提供了详细的活动执
&)>
表 & 列出了 !"#$"% 方法的各活动功能概述以及各活动的 主要产出物。 !"#$"% 方法将近乎完美的理论溶入可靠的过程和技术。 根据在一些组织中的研究调查显示， !"#$"% 方法在实践中被 认为是可行的，它可导致更详细的风险分析和描述，也可 以改善风险管理过程的结果。 ’+) ,-.%!"#$ 风 险 管 理 模 型。,-.%!"#$ 模 型 是 由 /0#123. 和 43#1"5 提出的，它基于这样一种观念：记录并将注意力集 中在高可能性和高破坏性的风险上是进行风险管理的有效 途径。这样可以节省软件开发过程中的时间成本和人力成 本，并可以有效地减轻风险的破坏性。此模型确保在软件 项目进行中持续地进行风险管理，详见图 (，步骤如下： &）风险识别； ’）风险发生的可能性和由此造成的损失估计； (）文档化识别的风险； )）风险评估。依据公式：!6 7 风险发生的概率 ! 风险 造成的损失； 8）排序。按照上述公式对风险排序，找出十大风险； *）监控。利用图形表示风险的级别、状态； 9）控制。再估计 : 再评估 : 再排序； ;）统计操作。如果有新的风险，则再转到步骤 &。