【文章內容簡介】 旦離開時仍能繼續(xù)（削弱風險）； 4) 建立項目組，使所有項目成員 能即時了解有關項目活動的信息； 5) 制定文檔標準，并建立一種機制以保證文檔能及時產生； 6) 對所有工作組織細致的評審，以使更多的人能夠按計劃保持對風險因素相關信息的收集工作進度，完成自己的工作； 7) 對每一個關鍵的技術人員，要培養(yǎng)后備人員； 8) 在項目里程碑處進行事件跟蹤和主要風險因素跟蹤，以進行風險的再評估。 雖然這些步驟會給項目帶來額外的支出，并占用許多有效的項目計劃工作量，但實踐證明，所有付出都是值得的。 研究方法和手段 本部分的主要 通過查閱書籍以及相關論文收集資料， 并結合了研究的后期在 軟件公司的實地實習經驗與調研。 小結 風險管理是有關理解可能導致項目失敗的內部或外部的項目影響因素。一旦建立了項目計劃，就應該進行風險分析。最初的風險分析結果是一個風險計劃，該計劃應該定期復查并相應調整。風險管理的主要目的是識別和處理項目變動的不常見的原因。這可以通過一個正式的過程來完成，在此過程中，風險因素進行系統(tǒng)的識別、評估和提供。 在軟件領域， SEI 對風險的定義更適當：“風險是遭受損失的可能性”。在軟件開發(fā)項目中，損失指的是對項目的負面影響，可能是最終產品的質量下降、成本增加、完成時間的推遲 ，或者是項目徹底的失敗。風險是不確定性或者缺乏對一些列可能性的完整認識。 9 卡內基梅隆大學的軟件工程學院開發(fā)了一種基于 ShewhartDeming 周期的軟件風險模型。該模型提供了關于風險活動、當前風險和形成風險對項目內部或外部的信息和反饋。 圖 151 基于 ShewhartDeming周期的軟件風險模型 總的來說 有效的風險管理可以幫助 MIS 管理者抓住工作重點，將主要精力集中于重大風險防范，提高信息系統(tǒng)的成功率。 MIS 風險管理可以分為風險評估、風險控制兩個階段 。 風險確定 檢查表 決策驅動因素分析 風險評估 分解 性能模型，成本模型 風險分析 網(wǎng)絡分析，決策分析 質量因素分析 風險暴露 風險優(yōu)先次序確定 風險調整 復合風險降低 風險管理 購買信息，風險降低 風險管理計劃 風險避免，風險轉移 風險元素計劃， 計劃 集成 原型，模擬 風險解析 基準，分析 風險控制 人員安排 里程碑跟蹤，風險重新評估 風險監(jiān)督 前 10項跟蹤，糾正性操作 圖 152 Boehm 項目風險模型 10 2 信息管理系統(tǒng)開發(fā)中的風險因素分析 風險因素是指引起或增加風險事故發(fā)生的機會或擴大損失幅度的原因和條件。構成風險因素的條件越多，發(fā)生損失的可能性就越大，損失就會越嚴重。風險因素是風險事故發(fā)生的潛在原因，是造成損失的內在的或間接的原因。 根據(jù)影響損 失產生的可能性和程度，風險因素可分為有形風險因素和無形風險因素： 1. 有形風險因素 ， 是指導致?lián)p失發(fā)生的物質方面的因素。比如財產所在的地域、建筑結構和用途等。 對于信息管理系統(tǒng)開發(fā)而言，有形的風險因素主要表現(xiàn)為開發(fā)信息系統(tǒng)所用的、存在于一定的物理環(huán)境中的一些設備可能受到各種人為或自然災害的破壞，必然要承擔一定的風險。 2. 無形風險因素 。 文化、習俗和生活態(tài)度等一類非物資形態(tài)的因素也會影響損失發(fā)生的可能性和受損的程度。無形風險因素包括道德風險因素和行為風險因素兩種。道德風險因素是指人們以不誠實、或不良企圖、或欺詐行為故意促使風險事故發(fā)生，或擴大已發(fā)生的風險事故所造成的損失的因素。行為風險因素是指由于人們行為上的粗心大意和漠不關心，易于引發(fā)風險事故發(fā)生的機會和擴大損失程度的 因素。 風險因素分析方法與原則 風險因素分析方法 我們知道，對于風險分析所作的工作大多局限于任務風險分析當中。這些方法對于考慮項目風險領域的分析方法也有一定意義，風險分析方法可分為定性和定量兩種，定量的風險分析方法是在定性的基礎上而實現(xiàn)的。下面，我們對這兩類風險分析方法作簡要的論述。 1. 定性風險分析的目的是 界定風險源， 利用已識別風險的發(fā)生概率、風險發(fā)生對項目目標的相應影響，以及其他因素，例如時間框架和項目費用、進度 、范圍和質量等制約條件的承受度，對已識別風險的優(yōu)先級別進行評價，并初步判明風險 的嚴重程度，以給出系統(tǒng)風險的綜合印象 。 下面介紹一種定性分析的具體方法。該方法 使用定性語言將風險的發(fā)生概率及其后果描述為極高、高、中、低、極低 5級。 其中風險概率描述某一風險事件發(fā)生的可能性，風險后果 描述某一風險事件如果發(fā)生將對項目目標產生的影響。風險的這兩個維度適用于描述具體的風險事件，可以幫助我們甄別出那些需要強有力地加以控制與管理的風險，但不適用于描述項目整體。 通過建立 概率 —— 后果風險評價矩陣 可以直觀的看到各種可能存在的風險發(fā)生的概率與后果。 11 1) 風險后果評價表，如表 : 圖 2111風險后果評價表 上圖 描述了各種風險導致的后果嚴重程度評價。 2) 概率 —— 后果矩陣，如下 圖 ： 后果（ I） 極高 風險值 =概率 (P)后果 (I) 高 中 低 極低 極低 低 中 高 極高 概率（ P） 圖 2112概率 —— 后果矩陣 從圖表中可以直觀的看出，圖中陰影部分的面積即為某項風險的風險值。（其中概率從 0～ 1） 2. 定量風險分析是在定性分析的邏輯基礎上，給出各個風險源的風險量化指標及其發(fā)生概率，再通過一定的方法合成，得到系統(tǒng)風險的量化值。它是基于定性風險分析基礎上的數(shù)學處理過程?，F(xiàn)發(fā)展較為成熟的方法有 PRA(概率風險評估 ),DPRA(動態(tài)風險概率評估 )及仿真通用軟件 VERT(風險評審技術 )等。 PRA 和 DPRA 都是在 FTA 分析基礎上的量化，在可靠性及運行系統(tǒng)風險分析領域內應用廣泛。稍作改造， 我們便可將其運用到項目風險分析領域。其分析步驟如下： 1) 識別項目研制過程中的困難環(huán)節(jié)，找出風險源； 2) 對各風險源考察其在項目研制中的地位，及相互邏輯關系，給出項目的風險源樹； 3) 標識各風險源后果大小，及風險概率； 4) 對風險源通過邏輯及數(shù)學方法進行組合，最后得到系統(tǒng)風險的度量。如果是用 DPRA 進12 行評估，則尚須考慮它們在時間上的關系。 另一種被廣泛運用于風險評估的方法是 VERT 。 VERT 是國外在八十年代初期發(fā)展的一通用仿真軟件，它對項目研制構造過程網(wǎng)絡，將各種復雜的邏輯關系抽象為時間、費用、性能的三元組的變化。網(wǎng)絡 模型面向決策，統(tǒng)籌處理時間、費用 、性能等風險關鍵性參數(shù)，有效地解決多目標最優(yōu)化問題，具有較大的實用價值。它的原理是通過豐富的節(jié)點邏輯功能，控制一定的時間流、費用流和性能流流向相應的活動。每次仿真運行，通過蒙特卡洛模擬，這些參數(shù)流在網(wǎng)絡中按概率隨機流向不同的部分，經歷不同的活動而產生不同的變化，最后至某一終止狀態(tài)。用戶多次仿真后，通過節(jié)點收集到的各參數(shù)了解系統(tǒng)情況以輔助決策。如果網(wǎng)絡結構合理，邏輯關系及數(shù)學關系正確，且數(shù)據(jù)準確，我們可以較好地模擬實際系統(tǒng)研制時間、費用及性能的分布，從而知道系統(tǒng)研制的風險。 風險因素分析 原則 在風險分析時，應該遵循一些分析原則。下面是進行風險分析的幾個一般性原則： 1) 風險分析是軟件設計的一部分，就像 需求 分析是傳統(tǒng)軟件設計實踐的部分一樣； 2) 風險分析是正式的、嚴謹?shù)?、定量化的? 3) 風險分析的目的是為了支持決策，應當把風險分析作為系統(tǒng)軟件設計和研制過程的一部分，而不應該過遲而無法做出主要的改變和資金的壓力強迫在安全性和可靠性上妥協(xié)，而這種妥協(xié)不能接受的情況下，作為一種反省進行； 4) 風險分析可以按各種等級的詳細程度、徹底程度和精密程度來進行； 5) 風險分析詳細、徹 底、精確程度與分析項目的重要性和環(huán)境潛在的破壞程度大小相一致； 6) 在一個項目的早期概念階段，能夠而且應該實施近似的風險分析，隨著設計的逐漸開展，風險分析的精度和詳細程度也隨之提高。 信息系統(tǒng)開發(fā)重點風險因素分析 信息管理系統(tǒng)開發(fā)中 重點風險因素 可分為 產品規(guī)模風險 因素 、需求風險 因素 、相關性風險 因素 、技術風險 因素 、管理風險 因素 、安全風險 因素等。 1. 產品規(guī)模風險 因素： 項目的風險是與產品的規(guī)模成正比的。與軟件規(guī)模相關的常見風險因素有： (1)估算產品規(guī)模的方法 (包括：代碼行，文件數(shù)，功能點等 )， (2)產品規(guī)模 估算的信任度， (3)產品規(guī)模與以前產品規(guī)模平均值的偏差， (4)產品的用戶數(shù)， (5)復用的軟件有多少， (6)產品的需求變更多少等。一般規(guī)律，產品規(guī)模越大，以上的問題就越突出，尤其是估算產品規(guī)模的方法，復用軟件的多少，需求變化。 2. 需求風險因素： 13 很多項目在確定需求時都面臨著一些不確定性。當在項目早期容忍了這些不確定性，并且在項目進展過程當中得不到解決，這些問題就會對項目的成功造成很大威脅。如果不控制與需求相關的風險因素，那么就很有可能產生錯誤的產品或者拙劣地建造預期的產品。每一種情況對產品來講都可能致命的。與客 戶相關的風險因素有： (1)對產品缺少清晰的認識， (2)對產品需求缺少認同， (3)在做需求中客戶參與不夠， (4)沒有優(yōu)先需求，(5)由于不確定的需要導致新的市場， (6)不斷變化需求， (7)缺少有效的需求變化管理過程， (8)對需求的變化缺少相關分析等。 3. 相關性風險 因素 ： 許多風險都是因為項目的外部環(huán)境或因素的相關性產生的。經常我們在控制外部的相關性上做的不夠，因此緩解策略應該包括可能性計劃，以便從第二資源或協(xié)同工作資源中取得必要的組成部分，并且覺察潛在的問題。與外部環(huán)境相關的因素有： (1)客戶供應條目或信息， (2)交互成員或交互團體依賴性， (3)內部或外部轉包商的關系， (4)經驗豐富人員的可得性， (5)項目的復用性。 4. 技術風險 因素： 軟件技術的飛速發(fā)展和經驗豐富員工的缺乏，意味著項目團隊可能會因為技巧的原因影響項目的成功。在早期，識別風險從而采取合適的預防措施是解決風險領域問題的關鍵，比如：培訓、聘請顧問以及為項目團隊招聘合適的人才等。主要有下面這些風險因素： (1)缺乏培訓， (2)對方法、工具和技術理解的不夠， (3)應用領域的經驗不足， (4)新的技術和開發(fā)方法應用等。 5. 管理風險因素 ： 盡管管理問題制約了很多項目的 成功，但是不要因為風險管理計劃中沒有包括所有管理活動而感到驚奇。在大部分項目里，項目經理經常是寫項目風險管理計劃的人，他們有先天性的不足 —— 自己檢查自己的錯誤，這是最難的。然而，像這些問題可能會使項目的成功變得更加困難。如果不正視這些棘手的問題，它們就很有可能在項目進行的某個階段影響項目本身。當我們定義了項目追蹤過程并且明晰項目角色和責任，就能處理這些風險因素： (1)計劃和任務定義不夠充分， (2)實際項目狀態(tài)， (3)項目所有者和決策者分不清，(4)不切實際的承諾， (5)員工之間的溝通等。 6. 安全風險 因素： 軟 件產品本身是屬于創(chuàng)造性的產品，產品本身的核心技術保密非常重要。但一直以來，我們在軟件這方面的安全意識比較淡薄，對軟件產品的開發(fā)主要注重技術本身，而忽略了專利的保護。軟件行業(yè)的技術人員流動是很普遍的現(xiàn)象，隨著技術人員的流失、變更，很能會導致產品和新技術的泄密，