1、软件项目风险的识别与风险的分析摘自项目管理技术软件开发项目是一项复杂的工程,涉及的因素很多,风险的管理过程有:风险的识别、风险的管理计划的制定、风险追踪、风险控制。风险识别是风险管理的第一步,而有效的风险分析是进行风险管理的基础,因此做好这 2 个过程的工作是软件项目成功的关键。1 软件风险的识别风险识别过程的活动是将项目实施中的不确定性转变为明确的风险陈述。系统地识别风险是这个过程的关键,识别风险不仅要确定风险来源,还要确定何时发生、风险产生的条件,并描述其风险特征和确定哪些风险事件有可能影响本项目。风险识别不是一次性的活动,应当在项目执行过程中自始至终定期进行。1.1 风险识别的依据从项目
2、管理角度讲,风险识别依据有:合同、项目计划、工作任务分解 WBS、各种历史参考资料(类似项目的资料) 、项目的各种假设前提条件和约束条件。从软件开发的生命周期看,每个阶段的输出(各种文档)都是下一阶段进行风险识别的依据,许多技术风险都可据此来分析。1.2 风险识别方法和工具风险识别的方法很多,不同的方法适用于不同的场合,下表给出了常用的方法的适用情况。识别方法 适用情况专家访谈法(Delphi ) 从定性方面出发进行初步风险识别历史纪录统计法 从定性方面对新项目的风险进行预测现场调查法 对一些动态风险因素进行识别与预测风险数据库 类似项目的风险识别故障树分析法 直接经验较少的风险识别流程图法
3、分阶段进行的项目风险识别聚类分析法 具有相同或相似属性的风险识别模糊识别法 风险的形态或属性不确定软件项目的风险识别通常采用的工具为:(1) 风险核对清单:将可能出现的问题列出清单,然后对照检查潜在的风险。(2) 头脑风暴法:项目成员、外聘专家、客户等各方人员组成小组,根据经验列出所有可能的风险。(3) 专家访谈:向该领域的专家或有经验人员了解项目中会遇到哪些困难。(4) 风险数据库:一个已知风险和相关的信息的仓库,它将风险输入计算机,并分配下一个连续的号码给这个风险,同时维持所有已经识别的风险历史纪录,它在整个风险管理过程中都起着很重要的作用。在实际应用中,风险核对清单是一种最常用的工具,它
4、是建立在以前的项目中曾遇到的风险的基础上。该工具的优点是简单快捷,缺点是容易限制使用者的思路。1.3 风险种类风险识别出来后应该规整分类,分类可从多种角度定义和划分,一般可按风险引发的原因、项目开发阶段、风险严重程度、风险区东引资等进行分类。下面介绍 2 种典型的软件风险分类方法。(1) 、SEI:1993 年 SEI 发表了基于分类的风险辨识方法(TBQ) 。该分类法把系统分为三个类(Class) ,每个类又分解为若干个因素(elements) ,每个因素通过其属性来体现特征。(2) 、美国空军软件项目风险管理手册:这种方法要求项目管理者根据项目实际情况影响软件风险因素的风险驱动因子,这些因
5、素包括以下几个方面。性能风险:产品能够满足需求和符合使用目的的不确定程度。成本风险:项目预算能够被维持的不确定程度。支持风险:软件易于纠错、适应及增强的不确定程度。进度风险:项目进度能够被维持且产品能按时交付的不确定程度。笔者借鉴 SEI 的思想,在大量调查和实践的基础上,结合已有的历史文献资料,对软件项目风险进行了分类和提炼,识别出 8 类风险,共 48 个风险因素,如表所示:类型风险因素 类型风险因素项目的需求不明确,很难界定缺少大量的历史数据作为参考系统需求不正确 对项目进度估算的不够充分对系统需求识别得不够充分,有遗漏对项目资源估计的不够充分相关人员对系统需求定义存在分歧没有完善、全面
6、的项目计划系统需求变动 缺少严格的变更控制和版本控制需求风险计划和控制风险对项目执行过程监控不足项目中需要购买未使用过的设备用户不重视项目管理项目采用的是以前未曾使用过的新技术用户中部分人员对该项目比较抵触使用不成熟的技术 缺乏用户参与对单个开发工具过度依赖 用户对该项目的目标和需求不清晰项目需要开发大量的接口以连接到其他系统技术风险项目采用的开发方法(如螺旋模型、瀑布模型)不合适。用户风险团队内部人员的频繁流动 缺乏与顾客的直接沟通关键人员的离职 与合作方缺乏有效沟通开发人员缺乏所需专业技能双方缺乏信任开发人员不熟悉自己的任务外部供应商延迟交货团队内部人员难以沟通 与合作方在进度上的冲突团队
7、士气低落,工作效率低下合作方的产品不符合要求合作方中途终止合约团队风险外部风险在某个关键领域依靠外部供应商双方的企业文化的差异公司资源对项目产生了限制合同类型不合适缺乏对项目成功标准的定义合同条款内容不严谨缺乏高层管理的支持 合同条款不全面项目经理缺乏经验,能力不足存在法律上的漏洞实施该项目需要大幅度改变组织结构实施该项目需要较大地改变业务流程或彻底改变部分流程组织风险该项目与企业的发展战略或政策不一致合同风险值得注意的是,尽管可以将风险进行分类,但风险之间总是互相关联的,单独的风险很少发生,因此不能孤立地考虑任何一个风险,因为一个风险类别的组成部分总是影响另一格类别。2 软件风险的分析风险分
8、析是在风险识别的基础上估计风险的可能性和后果,并在所有已识别的风险中评估这些风险的价值。这个过程的目的就是将风险按优先级别进行等级划分,以便制定风险管理计划,因为不同级别的风险要区别对待,以使风险管理的效益最大化。2.1 风险分析流程根据风险分析的内容,可将风险分析过程细分为 2 个活动:风险估计和风险评价。通常项目计划人员与管理人员、技术人员一起,进行风险分析,该过程是一个不断重复的过程,在整个生命周期都要有计划、有规律地进行风险分析,分析流程如下图:风险分析准备风险识别 / 分类风险列表 / 风险识别报告风险可能性大小估计风险损失大小估计计算风险值是否可接受评判准则去掉可接受风险风险排序
9、/ 等级划分风险等级划分风险排序清单项目过程是否结束过程结束否是2.2 风险的估计风险估计是估计已识别的风险发生的可能性和风险出现后将会产生的后果,并描述风险对项目的潜在影响和整个项目的综合风险。风险估计有以下 4 个环节:(1) 定义风险评估准则评估准则是事先确定的一个基准,作为风险估计的参照依据。准则有定性和定量两种,定性估计即将肯能性分成等级,如:很大、大、中、小、级小 5 个等级,一般以不超过 9 级为宜。定量估计则是给出一个具体的数值,如:0.7 表示风险发生的可能性为 70%,当然,定量估计还是有其它方法,用模糊数表示风险的可能性就是一种常用的方法。下表给出一个评估准则的例子:可能
10、性的评估准则可能性 说明 等级80% (0.8) 非常有可能性,几乎肯定很大60%80%(0.60.8) 很有可能性,比较确信大40%60%(0.40.6) 有时发生 中20%40%(0.20.4) 不易发生,但有理由可预期能发生小1%20%(0.010.2) 几乎不可能,但有 很小可能发生风险损失的评估准则说明损失成本 进度 性能等级0.8 成本增加20%项目延迟20%性能不能满足用户要求很大0.40.8 成本增加10%20%项目延迟10%20%性能有较严重的缺陷大0.20.8 成本增加5%10%项目延迟5%10%主要方面的性能不足中0.10.2 成本增加1%5%项目延迟1%5%性能有缺陷,
11、但基本满足用户的要求小0.1 成本增加1%项目延迟1%性能有不明显的缺陷很小(2) 估计风险事件发生的可能性根据评估准则对每个风险发生的可能性进行预测,预测的值应该是多人预测的综合结果。(3) 估计风险事件发生的损失风险对项目的影响是多方面的,因此损失的估计也应从多方面分别进行估计,通常对三个方面进行估计:进度、成本、性能。(4) 计算风险值根据估计出来的风险的可能性和损失,计算风险值(R)R=f(p,c) 式中,p 是风险事件发生的可能性,c 是风险事件发生的损失。评估者可根据自身的情况选择相应的风险计算方法计算风险值。下表是风险评估的例子:风险 可能性对进度的影响对成本的影响对性能的影响影响值需求不明确 0.5 0.3 0.3 0.4 0.5需求变动 0.9 0.5 0.4 0.2 0.99关键人员的离职0.2 0.4 0.2 0.3 0.18公司资源对项 0.6 0.4 0.2 0.3 0.54
