风险管理过程域

本过程域要实现以下目标：
1）标识出项目风险，确定风险参数，进行风险排序；
2）针对较高级别的风险制定并实施风险缓解计划。
在实施GJB5000A二级的项目策划过程域和项目监控过程域时，组织可以“只专注于风险标识，以做到心中有数，并当这些风险发生时对它们的现实表现作出反应”。
而在实施GJB5000A三级的风险管理过程域时，则要求“系统地策划、预测和缓解风险，从而提前将它们对项目的影响降至最低”。
这是实施GJB5000A二级和三级水平中，风险管理的区别。二级的时候，重在“识别”和有效“应对”风险，三级的时候，更希望能够“预测”和“缓解”风险。

专用实践 1.1 确定风险源和类别
本实践要求组织分析项目风险以建立风险源和风险类别，作为组织风险库的基础。
风险管理的目标是“确保对那些可能对满足项目目标有较严重后果的风险给予适当的监督和管理关注”，在风险发生概率和风险后果这两个风险参数之中，我们更应注意风险后果这一参数。
风险源是指造成风险的基本因素，典型的内部和外部风险源包括以下方面：
1）不确定的需求；
2）无先例的工作量——无法得到估计值；
3）不可行的设计；
4）不可用的技术；
5）不现实的进度估计或分配；
6）人员和技能不足；
7）成本或资金问题；
8）分包商能力不确定或不足；
9）卖方能力不确定或不足；
10）与现实的和潜在的用户或其代表沟通不够；
11）破坏运作的连续性。
在标准给出的风险源示例中，其中大部分风险源我们都可以直接拿来作为组织的风险源。
风险类别不同于风险源，它是将风险分组归类方便管理而已。通常确定风险类别时，可考虑下列因素：
1）项目生存周期模型的各个阶段（如需求、设计、实现、测试和评估、交付、处置）。比如：需求分析阶段风险、设计阶段风险等。
2）所用的过程类型。比如：配置管理风险、需求管理风险等。
3）所用的产品类型。比如：外包产品风险。
4）项目管理（如合同、预算／成本、进度、资源、绩效、支持）的风险。 比如：进度风险、资源风险等。
“风险类别反映收集和组织风险的‘贮存柜’。标识风险类型有助于未来整合风险缓解计划的各项活动”。
在GJB5000A二级的时候我们关注更多的是风险源及风险描述，因为我们当时关注的是风险的“识别”和一旦风险发生时如何“应对”，所以对于风险类别关注得要比较少，但是在实施GJB5000A三级的时候，就要对风险类别也同样关注，因为同一风险类别的风险缓解计划可以“整合”，这会有助于我们做好风险“缓解”。

专用实践 1.2 定义风险参数
本实践要求定义两种参数：一种用于描述风险状态，一种用于确定启动缓解措施的时机。
前者，我们通常使用风险发生概率和风险发生造成的严重程度这两种参数；后者使用基于风险发生概率和风险发生造成的严重程度这两种参数所得的风险综合状态确定的阈值参数。
“没有这些参数，则很难测量风险引起的非预期更改的严重程度；在风险缓解计划中，也很难排列必要措施的优先顺序”，这就是定义风险参数的意义所在。
只有对风险准确地定义了参数，才能预测到风险的严重程度及优先处理的顺序、启动缓解措施的时机，风险管理活动才能有效进行。
要实现风险参数的准确定义，组织就应当建立一个“确定用于评价和量化风险的概率和严重程度的一致准则”。
没有准则，只靠“拍脑袋”，每个人“拍”的结果就会有较大差异；有了准则，有了衡量的砝码，可极大地缩小这种差异，风险参数的定义也会趋于准确。
通常我们会设立一个启动管理风险活动的阈值，即风险系数（一般做法是将几个风险参数的值达到某个数值时要采取缓解措施，达到某个数值时要采取应对措施）。
但是标准当中还要求针对风险类别设置阈值，这样的好处就是对同类别的风险，我们可以使用同一种阈值来启动管理活动。这也是设置风险类别的含义所在。

专用实践 1.3 建立风险管理策略
本实践要求建立组织级的风险管理策略。
风险管理策略的内容包括：
1）风险管理工作的范围。
2）风险标识、风险分析、风险缓解、风险监控和交流所用的方法和工具。
3）项目特定的风险源。
4）如何组织、分类、比较和整合风险。
5）与对已标识的风险采取措施有关的参数，包括概率、后果和阈值。
6）缓解风险所采用的技术，如原型、试点、仿真、候选设计、或者渐进式开发。
7）定义风险测量项，以监控风险状态。
8）风险监督或再评估的时间间隔。
以上标准中所列的风险管理策略的事项，组织的风险管理规程应该都能够覆盖。
通常这些风险管理策略只要在项目的风险管理计划中明确具体实施的要求即可。

专用实践 2.1 标识风险
本实践要求识别项目开发过程中各种风险。
和本实践相比，PP的SP2.2是一个简化版，它包括了标识风险，还包括了风险分析和风险排序（风险管理过程域的SP2.2的内容）；它的标识风险的方法相对来说没有什么章法。
而本实践中给出标识风险的一些具体渠道：
与成本、进度和性能有关的风险；
环境因素带来的风险；
WBS每一要素可能带来的风险等等。
如果组织建立了组织风险库，囊括了这些渠道带来的风险，那么项目组标识风险时也完全可以利用组织的这一成果。

专用实践 2.2 评价、分类和排序风险
本实践要求用定义的风险参数评估项目风险。
风险评估包括以下三种活动：
评价，就是给标识出的每个风险定义合适的风险参数（风险后果和发生概率）；
分类，就是把标识出的每个风险按照组织定义的风险类别归类分组；
排序，就是按照风险参数量化后的结果对标识出的风险进行排序。

专用实践 3.1 制定风险缓解计划
本实践要求针对已经识别的最重要的项目风险制定缓解计划。
“只有风险后果判定为高或不可接受时，才针对该风险研究制定风险缓解计划和应急计划；其它一些可能是可接受的风险，只是简单地加以监督即可”。
标准并不要求所有标识出来的风险都要制定缓解计划和应急计划。所以我们在进行风险管理计划的时候，就不要做过头了，即对那些风险后果影响小的也制定缓解和应急计划。
缓解计划和应急计划的区别是作用时间不同：缓解计划的作用时间段是风险影响发生之前，应急计划的作用时间段是风险影响发生之后。
对于用户需求变更的风险，标准建议的缓解计划的最佳手段是“及早且充分地考虑技术演示、模型、仿真、试点和原型”。
对于一些测试环境不能按时提供的风险，考虑建立仿真测试环境也是应对这种风险的恰当手段。
标准给出了一些高风险的处理方法，可以作为缓解计划和应急计划的参考：
1）储备资源，以便响应中断事件。
2）提供适当的备份装备清单。
3）关键人员的后备人员。
4）测试应急响应系统的计划和结果。
5）公布应急处理规程。
6）分发应急用的关键联络和信息资源清单。

专用实践 3.2 实施风险缓解计划
本实践要求定期监督项目风险，并在风险参数达到缓解计划启动阈值时实施风险缓解计划。
标准要求定期监督风险，可是这个“定期”究竟多少合适，就是考量组织的风险管理是否有效的关键因素之一。到底是“一个月”还是“一周”更合适？
“风险管理策略要确定重新评估风险状态的时间间隔”。组织应根据风险类别，给每一类风险制定一个参考的监督周期。
而且，当风险缓解计划启动后，这个监督周期还要适当调整，以在适当的时候执行应急计划。
为确保缓解措施成功，需要“提供方法，以追踪未完成的风险处理措施项，直至关闭”。一般组织通常的做法都是将风险转化为问题，跟踪问题直至关闭。
另外，由于处理风险需要占用项目成员的工作量，所以“在计划和基线进度中适当地调配资源和安排时间”。也就是说，在项目策划安排进度表时，要适当地留出一定的余量，以在需要的时候实施风险处理措施。