企业风险管理研究分析报告

[Step1] 风险识不 ............................ 6 [Step2] 风险分析 ............................ 7 [Step3] 风险减缓 ............................ 7 [Step4] 风险跟踪 ............................ 7

7.2.6 输出 ......................................... 7 7.2.7 结束准则 ..................................... 7 7.2.8 度量 ......................................... 8 7.3 实施建议 ........................................ 8

第7章 风险治理

风险治理（Risk Management, RiskM）的目的是在风险产生危害之前识不它们，从而有打算地消除或削弱风险。 风险治理过程域是SPP模型的重要组成部分。本规范阐述了风险治理的规程，该规程的“目标”、“角色与职责”、“启动准则”、“输入”、“要紧步骤”、“输出”、“完成准则”和“度量”均已定义。

本规范适用于国内IT企业的软件研发项目。建议用户依照自身情况（如商业目标、研发实力等）适当地修改本规范，然后推广使用。 7.1 介绍

所有可能危害项目的因素都称为风险。被刻画为风险的事件最终可能发生也可能不发生。人们对待风险有两种态度。一种是被动态度，可比作“救火模式”。另一种是主动态度，可比作“防火模式”。风险治理属于“防火模式”，目的确实是“防止

风险产生真正的危害”。

为了便于量化治理，我们给风险定义3个参数：

 风险严峻性：指风险对项目造成的危害程度。  风险可能性：指风险发生的几率。

 风险系数：是风险严峻性和风险可能性的乘积。 参数 风险 严峻性 比较高 4 等级 专门高 值 5 描述 例如进度延误大于30%，或者费用超支大于30%。 例如进度延误20%~30%，或者费用超支20%~30%。 中等 3 例如进度延误低于20%，或者费用超支低于20%。 比较低 2 例如进度延误低于10%，或者费用超支低于10%。 专门低 1 例如进度延误低于5%，或者费用超支低于5%。 表7-1 风险严峻性等级

参数 风险 可能性 等级 专门高 比较高 中等 比较低 专门低 值 5 4 3 2 1 描述 风险发生的几率为1.0 ~ 0.8 风险发生的几率为0.8 ~ 0.6 风险发生的几率为0.6 ~ 0.4 风险发生的几率为0.4 ~ 0.2 风险发生的几率为0.2 ~ 0.0 表7-2 风险可能性等级

风险 系数 风险可能性 专门高 比较高 中等 3 比较低 专门低 5 专门高 25 4 20 15 2 10 1 5 风险 5 严峻比较高 性 4 中3 等 15 12 9 6 3 20 16 12 8 4 比较低 2 10 8 6 4 2 专门低 5 1 4 3 2 1 本表灰色部分的风险系数值为10~25，应当优先处理。 表7-3 风险系数等级

风险严峻性的等级划分如表7-1所示，风险可能性的等级划分如表7-2所示，风险系数的等级划分如表3所示。 风险治理有4个要紧活动：

 风险识不：依照风险检查表，识不出本项目的风险。  风险分析：可能风险严峻性、风险可能性、风险系数。  风险减缓：关于风险系数超过“容许值”的每一个风险，

都应当采取减缓措施。

 风险跟踪：跟踪风险减缓过程，记录风险的状态。

风险识不 风险跟踪 风险分析 风险减缓 图7-1 风险治理示意图

在项目的生命周期内，上述4个活动将被循环执行，如图7-1所示。直到项目的所有风险都被识不与解决为止。 常用的风险检查表见 [SPP-TEMP-RISKM-CHECKLIST]，使用者应依照实际情况进行适当的删减或补充。风险治理过程域产生的要紧文档是《风险治理报告》，模板见 [SPP-TEMP-RISKM-REPORT]。 7.2 风险治理规程 7.2.1 目的

 在项目的生命周期内，循环执行风险识不、风险分析、风险

减缓和风险跟踪，直到项目的所有风险都被识不与解决为止。

7.2.2 角色与职责

 项目经理负责风险治理。  项目成员协助项目经理处理风险。

7.2.3 启动准则

 《项目打算》差不多制定，项目研发差不多开始。

7.2.4 输入

 《项目打算》

 项目监控过程产生的文档如《项目监控数据表》、《项目偏差

操纵报告》和《项目进展报告》等

7.2.5 要紧步骤

[Step1] 风险识不

 项目经理依照“风险检查表”[SPP-TEMP-RISKM-CHECKLIST]，

定期（例如每周一次）识不本项目的风险。

[Step2] 风险分析

 项目经理评估每个风险的严峻性、可能性和风险系数，并按

照风险系数从高到低的顺序排列风险。

[Step3] 风险减缓

 关于风险系数超过“容许值”（建议为10）的每一个风险，

项目经理应当给出风险减缓措施，并指定责任人。风险系数越高，越先处理。

[Step4] 风险跟踪

 项目经理跟踪风险减缓过程，直到风险差不多解决为止。假

如风险的性质发生变化，应当及时更新风险减缓措施

7.2.6 输出

 《风险治理报告》

7.2.7 结束准则

 所有风险都差不多解决，相关信息差不多记录到《风险治理

报告》之中。

7.2.8 度量

 项目经理统计工作量。

7.3 实施建议

 对风险治理过程域产生的所有有价值的文档进行配置治理。  项目经理依照本项目的特征，确定风险识不的频度（通常为

每周一次），适当修改“风险检查表”[SPP-TEMP-RISKM-CHECKLIST]。

 选用合适的软件工具，尽量减少风险治理过程域的工作量。  项目监控和风险治理均由项目经理负责，建议同步执行。