風險來源與風險分類的區CMMI 1.2的RSKM 過程域的SP1.1為:Determine risk sources and categories,在該實踐中明確區分了風險來源與風險分類。確定風險的來源和分類是為了全面、系統地識別潛在風險,合并類似風險的規避措施。
風險來源用于在項目或組織內確定風險產生的原因。對項目來講有許多風險來源,包括內部和外部的。風險來源標識了風險可能發生的常見領域。常見的內部和外部風險來源有:
• 不確定的需求
• 無法達到的工作量估算
• 不可行的設計
• 不成熟的技術
• 不切實際的進度估算與安排
• 人手或技能不夠
• 成本與資金問題
• 不可靠的或不充分的分包商能力
• 不可靠的或不充分的供應商能力
• 與實際的或潛在的客戶或他們的代理溝通不充分
對風險來源沒有進行充分的策劃會導致風險的發生。早期識別內部和外部風險來源能夠早期識別風險,這樣可以在項目的早期實施風險緩解計劃,來排除風險的發生或降低風險發生的影響。
風險類別為風險的收集和組織分門別類,是對風險的共同屬性的歸集。標識風險類別有助于在風險緩解計劃中整合將來的緩解活動。在確定風險類別時可以有多個角度:
• 按項目生命周期模型的階段分類,如需求、設計、制造、測試和評價、交付、部署
• 按過程類型分類,如需求開發過程、配置管理過程等
• 按產品類型分類,如軟件、硬件等
• 項目管理風險(Program management risks),例如,合同風險、預算和成本風險、進度風險、資源風險、性能風險、可支持性風險
當然也可以基于風險的來源進行風險的分類。比如我們對于上邊舉例的風險的來源進行風險分類為:
大類
小類
風險來源
內部風險
需求類風險
不確定的需求
技術類風險
不可行的設計
不成熟的技術
資源類風險
人手或技能不夠
成本與資金問題
管理類風險
無法達到的工作量估算
不切實際的進度估算與安排
與實際的或潛在的客戶或他們的代理溝通不充分
外部風險
分包風險
不可靠的或不充分的分包商能力
不可靠的或不充分的供應商能力
客戶風險
客戶不配合項目的實施
組織可以建立風險分類樹為識別風險提供框架。
一個風險可能屬于多個風險類別。如:由于人員比較年輕,缺乏業務經驗,可能會導致遺漏潛在需求,交付時驗收不通過。對于該風險,其風險來源是開發人員缺乏業務經驗,如果按照風險的來源這個角度來分類,可以歸結為人員風險類,如果按照開發過程分類,可以歸結為需求風險類。在考慮風險的規避措施時,可以基于風險的來源考慮,也可以基于風險的分類來考慮之,從不同的角度考慮時,獲得的風險規避措施可能相同,也可能不相同。對于上面的風險,如果基于風險來源考慮規避措施則可以識別的措施為:
選擇有業務經驗的需求分析人員進行需求獲取;
對需求分析人員進行業務知識培訓;
如果基于風險的分類來考慮規避措施則可以識別的措施為:
借鑒歷史的需求;
執行需求的正式評審;
需求要獲得客戶的正式確認;
