项目 风险管理过程

                                         A - 增加  M - 修订  D - 删除

1.    目的    4

2.    适用范围    4

3.    名词术语    4

4.    概述    4

5.    过程定义    4

5.1  风险管理过程    4

5.1.1 角色和职责    5

5.1.2 入口准则    6

5.1.3 输入    6

5.1.4 过程活动    6

5.1.5 输出    8

5.1.6 出口准则    8

5.1.7 度量    8

5.1.8 确认与验证    9

6.    规程    9

7.    标准与规范    9

8.    裁剪指南    9

9.    模板与表格    9

10.    实施指导    9

1.目的

1.1 规范公司风险管理过程。

1.2 提供项目经理进行风险管理过程的说明和行动指南。

2.适用范围

2.1 机构

研发中心。

2.2 业务

项目实施过程中的风险管理，贯穿整个项目生命周期。

3.名词术语

3.1 RSKM( Risk Management):风险管理。

3.2 项目干系人（Stakeholder）：在一定程度上，对项目的实施和成果负责，或受其影响的群组或个人。项目干系人可能包括项目团队成员、提供商、客户、最终用户等。

4.概述

风险管理是贯穿项目整个生命周期的一系列持续性活动，分别为风险识别、风险分析、风险减缓、风险跟踪、风险控制以及风险状态通报。

项目风险控制小组有必要在项目组例会或其它场合，与项目组骨干或项目组全体成员一起对项目风险管理进行交流，收集项目组成员对项目风险的意见和建议。对于不便公开的风险，项目经理需要控制项目组内部了解的范围。对各个项目形成的风险统计数据一并贡献到组织级资产库。

5.过程定义

5.1  组织级风险管理过程

考虑到项目级风险管理的有效性，组织层面需要建立相应的活动来提供项目风险管理一定的指导，活动频率定义为不低于1季度1次。具体活动如下所示：

5.1.1角色和职责

组织级风险管理是一个循环的过程，可以在每半年或每季度的开始执行相应的过程活动；

如果有必要及时更新体系文件或相应指南，也可以随时启动组织级风险管理过程；

5.1.3 输入    

组织资产库

风险来源及分类指南

公司质量目标或年度发展纲要等

5.1.4 过程活动

    组织级风险管理是周期性活动，一般情况下，每季度或半年至少需进行一次完整的组织级风险管理活动；对于年内公司有重大的活动安排或商业目标转变等（如公司上市安排，公司商业范围扩展或主营业务转变等），需要立即重新进行组织级风险管理活动。

1）建立、维护组织的风险来源及分类指南

    EPG通过对行业内部及组织风险列表的分析和总结，更新组织的风险来源及分类指南文件。

    需要特别说明的是，针对每年公司的商业目标或年度发展纲要等变化，需要识别出相应的特定风险。例如，年内公司要进行IPO上市计划，则需要提前识别在该年度内可能新增的相应风险，比如人力、财力在这项活动上的投入可能导致其他工作资源得不到很好的保证等等。

2）建立、维护组织的风险参数定义指南

    EPG建立、维护组织的风险参数列表，对于风险发生的危害等级及可能性定量描述需根据组织的相关质量目标变化而变化，例如针对组织目前定义的进度偏差小于15%属于正常范围，我们初步定义风险对于项目进度偏差的影响在30%以上的属高度危险，但该数值需随未来各项质量目标变化而变化。

3）建立、维护组织的风险缓解策略制定指南

     略。

4）建立、维护组织的风险缓解措施

     EPG建立、维护组织可能发生的风险的参考性缓解措施，这里给出的所有缓解措施必须具备以下几个条件之一：

1.从以往实施过的项目风险有效缓解措施中收集得到；

2.具有可操作性；

3.可以属于公司的项目风险管理最佳实践活动；

4.属于行业内或合伙公司收集到的最佳风险管理缓解措施案例等；

5.得到所有EPG的共同认可并允许放入组织风险缓解措施列表中；

5）收集项目有效风险至组织风险列表

    项目在执行过程中、项目结项、项目异常终结等多个时间点均可向组织提交共性风险。需要说明的是，共性风险是对其他项目经理具有参考价值的风险类别，例如，A项目的某部分产品组件为外包开发，因此该组件开发好后与整体系统的接口是否能够适配成为该项目的一个风险，但应该识别出的共性风险为，项目中如果有相应的外包工作，相应工作产品的接口适配问题。

6）必要的质量保证活动

组织级QA检查EPG团队维护的组织风险相关内容并收集相关过程改进建议。

5.1.5 输出

更新的风险管理体系文件

更新的组织风险库

更新的其他组织资产库内容

5.1.6 出口准则

完成本轮组织级风险管理活动-所有共性风险已收集，更新了相关组织级风险管理指南文件，所有工作产品已得到评审并重新发布（对于可能造成重大影响的文件升级可临时发布，待整个体系文件下次过程改进后再纳入到新的OSSP版本）。

5.1.7 度量

组织级QA（度量人员）对以下数据进行度量：

EPG成员风险管理相关工作量度量

风险按类别进行分类数量统计

组织风险的缓解措施执行有效性

5.1.8 确认与验证

1、更新后的过程体系文件需要进行正规的技术评审才能发布；

2、相应的组织风险指南更新活动需要进行EPG内部评审和技术评审后才能完成；

3、组织风险库的更新需要填写相应入库单，得到EPG成员过半通过后才能更新；

4、PMO负责人负责检查相应的过程活动执行情况。

5.1  项目级风险管理过程

风险管理是贯穿项目整个生命周期的一系列持续性活动，包括制定风险管理计划、识别风险、应对风险、监控风险。

5.1.1 角色和职责

项目已经完成启动过程。

5.1.3 输入    

项目技术要求

项目合同

组织资产库

5.1.4 过程活动

1）制定风险管理计划

项目风险管理计划描述整个项目生命周期中风险的识别、定性和定量分析、应对计划、监督等活动。项目风险管理计划是项目计划的一个重要组成部分，由项目风险管理小组在项目策划阶段，根据项目章程、客户需求和风险计划模板，制定完成，并同其他项目计划一起纳入配置管理中。风险管理计划主要包括以下内容：

标识风险项以及与之对应的减缓计划和应急计划

确定项目干系人，并确定其介入时机

2）识别风险

识别风险就是在风险发生前识别并定位风险的存在，具体包括：项目的潜在的风险、引起这些风险的主要因素以及风险可能引起的后果。由项目风险管理小组定期，或在制定项目计划或修订项目计划阶段负责执行。

风险识别常用的方法：

a)头脑风暴法

b)经验法

c)情景分析法

风险识别的结果：

a)项目风险清单

b)项目风险的征兆

3）评估风险

评估风险是将风险数据转换为决策信息，包括评价风险造成的影响大小以及风险发生可能性大小，并且综合这两种因素最终评定风险优先级。

定性风险分析    

定量风险分析    

定量风险分析是量化分析每一个风险的发生概率及其对项目目标造成的后果。

定量分析一般是在定性分析之后进行，两种分析过程可以单独或都采用。

风险严重性分为：高、中、低。

     高：对项目进度、项目成本、项目质量会造成重大影响，如项目进度可能延迟30%以上，项目成本会增加30%以上。

中：对项目进度、项目成本、项目质量会造成严重影响，如项目进度可能延迟20%以上，项目成本会增加20%以上。

低：对项目进度、项目成本、项目质量会造成一定的影响。

 根据风险概率计算表，风险的等级=风险发生的严重性-风险的可能性所形成的类型来判定的，大-高、大-中、 中-高三类属于一级风险；大-低、中-中、小-低三类属于二级风险；中-低、小-中、小-低三类属于三级风险；

4）应对风险

风险应对计划主要是对经风险评估确定的所有中高两级风险的项目制定的，对优先级较低的风险可以不制定风险应对计划。应对风险计划主要有以下两类：

风险缓解计划

风险应急计划

5）监督风险

风险监控

风险监控是指监视风险状态，并执行相应得风险减缓行动，并在实施的过程中修正。

风险状态通报

项目经理将项目风险报表和风险优先级前5名(如果有)的风险项目作为项目风险管理报告的一部分，每周提交公司PMO。

6）更新组织风险列表

     在项目结束后，EPG根据该项目中发生的各项风险情况，决定哪些风险可以补充到组织风险列表中。

5.1.5 输出

项目风险跟踪表

5.1.6 出口准则

项目已结项

5.1.7 度量

项目经理（度量人员）对以下数据进行度量：

识别的各类风险（参照风险列表）的数目和总数

识别的风险在开发各个阶段状态的分布；（Issue表示该风险已在计划中发布；Active代表风险项目正在或已经变为现实；Close表示风险项目已经不存在；）

实际发生的风险，以及其中得到控制的风险和未得到控制的风险

5.1.8 确认与验证

1、QA定期或事件驱动的评审项目风险管理的执行情况，并向PMO汇报。

2、项目经理需要制定风险管理计划及追踪；

3、高层经理协助项目经理中处理项目中发生的重大风险，并跟踪其处理情况。

6.规程

无

7.标准与规范

7.1 《SP-RSKM-C01风险管理检查单》

8.裁剪指南

无。

9.模板与表格

9.1 《SP-RSKM-T01项目风险跟踪表模板》

10.实施指导

项目的后续工作均会涉及风险管理。以下是对“风险管理”过程实施时的进一步指导说明：

1）、管理配置项

 对“风险管理”过程产生的所有有价值的文档应纳入配置管理的适当层次。主要文档示例如下：

项目风险管理计划

项目风险列表

项目风险应对计划

项目风险管理报告

2）、培训人员

    组织应该对所有或部分参与“风险管理”过程的相关人员进行培训。主要培训专题示例如下：

风险估计原理

风险识别和分析

   3）、使项目干系人适时介入

对于合同项目，应根据具体情况决定客户介入“项目风险管理”的程度；

4）、QA根据计划和控制“风险管理”过程，并且采取适当的纠正措施。

5）、项目组在执行“风险管理”过程中，应注意收集对过程的改进建议，并提交给组织EPG。

6）、项目执行过程中，项目经理应不断识别、控制风险。