风险与机会管理,简写为RSK,在以往的CMMI版本中都是描述为风险管理,在2.0中增加了机会管理。风险是意料之外的坏事,机会是意料之外的好事,风险是惊吓,机会是惊喜。我们要抓住机会,规避风险,趋利避害。风险与机会都不是一定发生的,发生的概率都是大于0小于1的。
基本理念
1 风险与机会是事先的,不是事后的,事后的是事件管理,问题管理。
2 要尽早报告风险,处理风险。
3 风险与机会在项目或任务执行过程中是持续的,不是一次性的,是贯穿始终的。
4 对风险与机会的管理,要平衡成本与收益,不是所有的风险或机会都事先采取措施。
实践列表
| RSK |
1.1 |
Identify and record risks or opportunities and keep them updated. |
识别、记录风险或机会,并保持更新 |
| RSK |
2.1 |
Analyze identified risks or opportunities. |
分析所识别的风险或机会 |
| RSK |
2.2 |
Monitor identified risks or opportunities and communicate status to affected stakeholders. |
监督识别的风险或机会并和受影响的干系人沟通状态 |
| RSK |
3.1 |
Identify and use risk or opportunity categories. |
识别并使用风险或机会分类 |
| RSK |
3.2 |
Define and use parameters for risk or opportunity analysis and handling. |
为风险或机会的分析和解决,定义和使用参数 |
| RSK |
3.3 |
Develop and keep updated a risk management strategy. |
制定和保持更新风险或机会管理策略 |
| RSK |
3.4 |
Develop and keep updated a risk or opportunity management strategy. |
制定和保持更新风险或机会管理计划 |
| RSK |
3.5 |
Manage risks or opportunities by implementing planned risk or opportunity management activities. |
通过实施已计划的风险或机会来管理风险或机会 |
通俗解释
RSK1.1识别、记录风险或机会,并保持更新
1级的实践只是要求了识别、记录风险与机会,是否对风险采取应对措施没有做要求。
RSK2.1分析所识别的风险或机会
这条实践两层含义:首先要是识别风险或机会,其次要分析风险或机会。
如何识别风险或机会呢?有多种方法,如:
分类法:把风险与机会进行分类,针对每一类风险或机会,思考在本项目或任务中是否存在;
头脑风暴法:群策群力,大家一起开会讨论存在哪些风险或机会;
调查问卷法:制定调查问卷,分发给团队的人员,让大家思考是否存在某些风险或机会;
检查单法:列出历史上各种类型的风险或机会,让相关人员考虑是否在本项目或本任务中是否存在这些风险或机会;
WBS驱动法:针对任务列表中的每项任务,思考是否存在风险;
……
对识别出的风险或机会进行描述时,要描述清楚前因后果与环境,便于理解风险或机会,制定应对措施。
对风险或机会进行分析时,往往要从三个维度进行分析:
影响的严重性、发生的可能性、发生时间的远近紧迫性。
风险分析的结果是对风险或机会划分了优先级,优先级高的要制定应对措施。
RSK2.2监督识别的风险或机会并和受影响的干系人沟通状态
这条实践也是有两层含义:
一是监督风险或机会状态的变化,此时也可能识别出新的风险或机会;
二是要和相关人员沟通状态的变化。
上述的两个活动通常都是周期性的,比如按周或月等。
RSK3.1识别并使用风险或机会分类
两层含义:
一是对风险或机会进行分类,分类的目的是为了把相近的风险合并应对措施,以节约成本,因此通常是按照风险或机会的来源进行分类。
二是要按照统一的分类定义对识别风险进行类别划分。
RSK3.2为风险或机会的分析和解决,定义和使用参数
本实践也包含了两层含义:
一是对风险或机会分析的三个参数进行统一的定义:
影响的严重性:何谓高、中、低?或者是不同等级的分值,怎么划分这些分值?
发生的可能性:概率到底有多大,划分成几个等级?
时间的紧迫性:远,中,近期,如何划分?
二是在实践中要使用这些参与的定义,按定义执行。
RSK3.3制定和保持更新风险或机会管理策略
风险与机会的管理策略包含了:
风险与机会管理的责任分配;
风险与机会管理的时机;
风险与机会管理的方法;
三个参数的统一定义;
划分优先级的方法;
应对措施的启动条件;
常见风险或机会的应对措施;
风险或机会的跟踪频率;
采集哪些与风险与机会有关的度量数据;
等等。
RSK3.4制定和保持更新风险或机会管理计划
风险的管理计划包括:
缓解措施:用来降低风险发生的概率或延迟风险发生时间的措施;
应急措施:当风险即将发生或已经发生后,用来降低风险危害的措施;
以及上述措施的责任人,触发时机等。
机会的管理计划其实也包括两种措施:
创造机会的计划:没有机会创造机会,增加其发生概率。
应对计划:即一旦来了机会,如何充分使其利益最大化,做哪些事情?
RSK3.5通过实施已计划的风险或机会来管理风险或机会
在对风险或机会的管理计划中定义相关措施,本实践就是对照计划落实那些措施。
