TSPP07P01 风险管理过程 V100.docx

TIANSU风险管理过程文件编号TSP-P07-P01生效日期2009-11-25受控编号保密级别秘密版本号V1.00修改次数0总页数17正文13附录0编制陆培审核批准南京天溯自动化控制系统有限公司（版权所有,翻版必究）变更日志编号版本修改内容修改人修改日期10.10创建初稿陆增2009-10-3020.20内部评审，建立组织方针陆增2009-11-1031.00发布陆增2009-11-251引言11. 1目的和方针11.2 适用范围11.3 定义11.4 参考资料12过程总体描述23/Jb*«33.1制定风险目理"V"f"划.B3.1.1*33.1.2角色与职责33.1.3进入准则33.1.4输入33.1.5主要步骤33.1.6结束准则43.1.7输出43.2确定风险来源和类别43.2.1概述43.2.2角色与职责43.2.3进入准则43.2.4输入43.2.5主要步骤43.2.6结束准则53.2.7111*53.3iz*53.3.1*53.3.2角色与职责63.3.3进入准则63.3.4输入63.3.5主要步骤63.3.6结束准则73.3.7输出73.4风险分析3.4.1概述73.4.2角色与职责73.4.3进入准则73.4.4输入73.4.5风险参数83.4.6主要步骤83.4.7结束准则93.4.8输出93.5制定风险缓解计划93.5.1概述93.5.2角色与职责103.5.3zf1*PIO10354103.5.510356贝IJ113. 5.7输出113. 6风险跟踪113. 6.1概述114. 6.2角色与职责115. 6.3进入准则116. 6.4输入117. 6.5主要步骤118. 6.6结束准则129. 6.7输出124相关文档134. 1引用文件134. 2使用模板131引言风险一“危险,遭受根失、伤害、不利或毁灭的可能性”。决定风险的两个因素是“可能性”和“损失”。没有100%的风险（IO0%发生的风险是项目的约束条件），也没有0%的风险。风险管理是种连续的前瞻性的过程，它是业务和技术管理过程的重要组成部分。风险管理需要处理可能危及关键目标的问题。应该采用持续风险管理方法来确保有效地抵御和缓解项目生存周期中具有关键影响的风险。1.1 目的和方针风险管理（RiSkManagCnICnt,RSKM）的目的在于识别潜在的问题，以便策划处理风险的活动（识别、分析评估和缓解）和在必要时在整个项目生存周期中实施这些活动，缓解不利的影响，实现项目目标。本过程建立组织级的风险管理策略，定义风险参数。项目经理依据本过程在项目策划阶段进行风险识别、风险评估以及制订风险缓解措施。在项目的生命周期内，应用持续风险管理的方法持续地识别、评估、监控和缓解风险，确保有效地抵御或缓解具有关键影响的风险。12适用范围本文档适用公司所有软件项目。1.3 定义无1.4 参考资料2过程总体描述风险管理就是在一个项目中通过过程和工具来对风险进行识别,跟踪和控制的手段。风险管理提供了对可能出现的风险进行持续评估，确定重要的风险以及实施处理风险的策略的一种规范化的环境。包括制定风险管理计划、确定风险来源和分类及确定风险参数、风险识别、风险分析、制定风险缓解计划、风险跟踪O合理的风险管理应尽力减少风险的发生概率；如果发生，则应尽力缩小其影响程度。识别时机：1、项目特征识别之后2、项目每个阶段启动之前再次识别3、必要地话可在任何需要的时候再次识别每次识别之后都需要进行新一轮的风险分析，分析结果补充到风险分析列表中3过程活动描述3.1 制定风险管理计划3.1.1 概述目的：制定风险管理计划，这个计划用来管理风险管理活动。3.1.2 角色与职责>项目经理：根据项目开发计划等文档制定项目风险管理列表。3.1.3 进入准则>项目开发计划等文档已经完成。3.1.4 输入>与进入准则中的文档基本相同。3.1.5 主要步骤（1）确定风险管理需要使用的资源风险管理人员根据项目的规模以及财力，确定风险管理人力资源、风险管理工具以及计算机资源。用于执行“风险管理”过程域的活动的工具主要有以下内容：> 风险管理数据库。> 风险缓解工具。> 原型设计工具。> 建模和仿真。（2）分配责任> 确定风险管理总负责人及其责任和权限。> 确定风险管理人员的责任和权限。> 确认有关的人理解分配给他们的责任和权限并且接受它们。（3）培训计划制定对风险管理总负责人、风险管理人员的培训计划。培训包括风险管理的概念培训和专题培训I。主要培训专题如下：> 风险管理概念和实践（如：风险识别、评价、监督、缓解）。> 风险管理用的度量项目选项。（4）确定风险管理的共利益者，并确定其介入时机这里明确列出与风险管理相关的具体的共利益者清单和介入时机，以便共利益者适时介入。共利用者介入的活动主要有如下内容：> 建立自由、开放的讨论风险的合作环境。> 参加风险识别、分析和缓解活动。> 通报和报告风险管理状态。(5)制定审批规程此规程计划是关于风险管理列表的审批规程。3.1.6 结束准则风险管理列表文档制定完成并已得到批准。3.1.7 输出风险管理列表风险定义部分3.2确定风险来源和类别3.2.1概述了解风险来源，将为系统性地检查不断变化的情况打下基础，以便揭示那些将对项目实现其目标的能力造成不利影响的环境。风险来源存在于项目的内部和外部。随着项目的推进，还可能发现新的风险来源。风险分类实质上是提供一种机制，便于收集和归纳各种风险，以及确保这些风险得到适当的推敲和引起管理者的关注。这些风险将对项目的目标实现产生更严重的后果。同时定义、分析和归类风险和风险管理工作的参数。评估、分类和风险排列顺序包括以下因素：> 风险的可能性> 风险的因果关系(如：风险发生的影响和严重性)> 引发管理活动的域值3.2.2角色与职责>项目经理：根据项目开发计划、风险管理列表等文档，确定风险的来源和风险的类别。对用于分析和归类风险的参数和用于风险管理工作的参数加以定义。3. 2.3进入准则>项目开发计划、风险管理列表等文档已经完成。3. 2.4输入>与进入准则中的文档基本相同。3.2.5主要步骤(1)确定风险来源一些重要的风险来源如下：> 需求不确定。> 没有先例，难以估计。> 不切实际的设计。> 难以获得的技术。> 进度的估计或安排不切合实际。> 不充分的人员和技能。> 成本和资金有问题。> 次承包方的能力不可预测和不充分。> 卖方的能力不可预测和不充分。如果不经过充分策划就接受那些单一的、有限的和日趋萎缩的供应来源，往往会收纳许多外部风险来源。早期识别内部和外部风险来源能够通过实施简单的风险缓解方案在项目的早期排除风险或减少风险以后发生的机会。（2）确定风险类别风险分类即为风险的收集分门别类，又为评价每个风险建立共性的层次（类别）。识别风险的一个是帮助将来在风险缓解计划中进行巩固活动。决定风险类别时，可以考虑以下因素：> 项目生成周期模型（如：需求、设计、制造、测试和评估、交付、处置）。> 使用的过程类型。> 使用的产品类型。> 规划管理风险（如：合同风险、预算/成本风险、进度风险、资源风险、执行风险、承受风险）。（3）为评估和认定风险可能性和严重性级别规定一致的判据对判据的一致运用可以使不同风险的影响得到共同的理解，得出相应的严重性级别并且得到管理者的关注。在管理不同级别的风险时，注意确保最终结果的一致性是很重要的。（4）规定每类风险的阈值可以针对每类风险建立阈值（或控制点），以便确定风险的可接受度或不可接受度、风险顺序、或管理行动的出发点。阈值（或控制点）主要有以下几点：> 把产品成本超过目标成本的10%或执行成本指数（CPIs）低于0.95定为项目的目标阈值，当达到该阈值时，进入高级管理状态。> 把进度执行指数低于0.95定为进度阈值，当达到该阈值时，进入高级管理状态。3. 2.6结束准则风险管理列表等文档已经完成。4. 2.7输出风险管理列表风险分类部分5. 3风险识别6. 3.1概述风险识别应遵循有组织的通盘考虑的思路，以便找出在实现目标的过程中的异常的或符合常规的风险。为了有效进行风险识别，不应该不顾其重要性而试图处理每一个可能事件。配合所识别的风险来源，运用风险管理策略中拟定的风险类别和参数，可以提供适合于风险识别的类目，并且使风险识别的效率提高。所识别的风险将是启动风险管理活动的基线。应定期审查风险一览表，以便重新检查可能的风险来源和调整条件，从而进一步发现以前没有注意到的或者是在拟定风险管理策略时还不存在的风险来源和风险。风险识别活动致力于风险的识别，而不是追究过失。管理者不应该将风险识别活动的结果用于评价个人的表现。风险识别的方法一般包括如下内容：> 检查项目分解结构的每个元素，以发现风险。> 向相应主题领域的专家征询意见。> 审查类似产品的风险管理工作。> 查找有关的经验教训文件或数据库。