信管筆記--風險管理

一、風險管理計劃編制
1、名稱及定義
風險管理計劃編制是決定如何採取和計劃一個專案的風險管理活動的過程。風險管理的水平、型別和可見度不僅要與風險相稱，也要與專案對組織的
重要性相稱.為了保證這一點，對隨後進行的各種風險管理過程做好計劃是非常重要.[@more@]

2、輸入
①專案章程
②專案範圍說明書
③組織範圍說明書
④專案管理計劃
⑤環境和組織因素

3、工具和技術
計劃會：專案團隊召開計劃編制會議來制訂風險管理計劃。與會人員包括專案經理、專案團隊的負責人、組織中任何對風險計劃編制和應對措施負有管理責
任的人員、關鍵的專案干係人，以及其他使用風險管理模板和其它適用的輸入的必要人員。
4、輸出
風險管理計劃包括：
①方法論
②角色和職責
③預算
④制訂時間表
⑤風險類別
⑥風險機率和影響力的定義
⑦機率及影響矩陣
⑧已修訂的專案干係人對風險的容忍度
⑨報告的格式
⑩跟蹤

二、風險識別
1、名稱及定義
風險識別是確定何種風險可能會對專案產生影響，並將這些風險的特徵形成檔案。
一般而言，風險識別的參與者儘可能地包括以下人員:專案團隊、風險管理小組、來自公司其它部分的某一問題的專家、客戶、終端使用者、其他專案經理、專案干係人和外界的專家等。
風險識別是一個反覆重複的作業過程。第一次反覆可能是由專案團隊的某一部分或由風險管理小組進行的。專案團隊整體和主要專案干係人可能做第二次複查。為了取得一個不帶偏見的客觀分析，可能由沒有參與專案的人員進行最終的複查。
風險識別的主要內容包括：
①識別並確定專案有哪些潛在風險；（風險識別的第一目標）
②識別引起這些風險的主要因素；（風險識別的第二目標）
③識別專案風險可能的後果。（風險識別的第三目標，採用定性分析）
2、輸入
①專案章程 ； ②專案範圍說明書； ③專案管理計劃；
④組織過程資產；⑤環境及組織因素
3、工具和技術
①檔案稽核：專案團隊通常採取的第一個步驟是從專案整體和詳細的範圍層次兩個方面對專案計劃和假設、以前的專案檔案及其它資料進行一次結構性的稽核。
②資訊收集技術：在風險識別中使用的資訊收集技術，舉例來說包括:頭腦風暴法、德爾菲法、訪談和優/劣勢/機會/威脅(SWOT)分析。
③檢查表： 從以往類似專案和某些其它資訊來源中積累的歷史資訊和知識，可以用於編制風險識別檢查表。使用檢查表的一個優點是它使風險識別工
作快而簡單。它的不足之處在於我們不可能編制一個詳盡的風險檢查表，檢查表的使用者可能會被表中的條目所侷限。要注意發現那些在標準檢查
表中未列出的，而又似乎與某一特定專案相關聯的風險。檢查表應詳細列出專案所有可能的風險類別。將稽核檢查表作為每一專案收尾程式中的一
個正式步驟，來完善可能風險的清單和風險說明是非常重要的。
④假設分析：每一個專案都是從一系列假設、設想、推測中孕育和發展而來。假設分析是分析假設有效性的一種技術手段。它從不準確、不連貫、
不完整的假設中識別專案的風險。
5.圖解技術：
⊙因果分析圖（魚骨圖）：用於確定風險的起因；
⊙系統或作業流程圖：反映某一系統內部各要素之間是如何互相聯絡的，並反映發生因果關係的機制。
⊙影響圖：一種用圖解表示問題的方法，反映變數和結果之間因果關係的相互作用、事件的時間順序及其他關係。
4、輸出
①風險記錄
風險記錄的最初條目是由風險識別的輸出構成的，最終則包括風險分析的結果、優先順序。
其資訊包括： ⊙已識別的風險列表；
⊙風險的徵兆或警告訊號；
⊙潛在風險應對方法列表；
⊙風險根本原因；
⊙更新的風險分類
②專案管理計劃（更新）

三、定性風險分析
1、名稱及定義
風險定性分析包括對識別風險進行優先順序排序。風險定性分析透過風險的發生機率及影響程度的綜合評估來確定其優先順序的。
風險定性分析是建立風險響應計劃優先順序的快速有效的方法，為定量分析奠定基礎。

2、輸入
①專案管理計劃
（包括風險管理計劃、風險記錄）
②組織過程資產
③工作績效資訊
④專案範圍說明

3、工具和技術
①風險機率及影響評估
②機率-影響矩陣
利用機率-影響矩陣對風險的重要性及優先順序進行評估。映象雙矩陣將會決定威脅與機會的優先權。
③風險資料質量評估
風險資料質量包括檢驗風險理解度、風險資料的精確度、質量、可信度和完整性
④風險種類
⑤風險緊急度評估

4、輸出
①風險記錄
更新的風險記錄包含在專案計劃中，包括：
⊙按優先順序（或相對等級）排列的專案風險；
⊙按種類的風險分組；
（發現風險的集中性可以提高風險響應的有效性）
⊙需要近期作出響應的風險列表；
⊙需要進一步分析和應對的風險列表；
⊙低優先順序風險監視表；
（在風險定性分析過程中不重要的風險將被放在監視列表中以備繼續監視）
⊙風險定性分析趨勢。

四、定量風險分析
1、名稱及定義
測量風險出現的機率和結果，並評估它們對專案目標的影響。
這一過程透過蒙特卡羅模擬和決策樹等技術進行分析：
①量化專案的輸出及可能性；
②評估達到特定的專案目的的可能性；
③透過量化每個風險相對專案
總體風險的貢獻來識別最需要關注的風險；
④按照專案風險情況，制定切
實可行的防算、進度安排或範圍目標；
⑤在一些情況或結果尚不確定的情況下，作出最有利的專案管理決策。
2、輸入
①專案管理計劃
②組織過程資產
③風險記錄
3、工具和技術
1． 資料收集和表示技術
①訪談
②機率分佈
③專家判斷
2． 定量風險分析和建模技術
①靈敏度分析
②期望貨幣價值分析（EMV）
③決策樹分析
④建模和模擬
4、輸出
①更新的風險記錄
②專案可能性分析
③實現成本和進度目標的可能性
④已量化風險優選級列表
⑤定量風險分析結果中的趨勢

五、風險應對計劃編制
1、名稱及定義
開發制定一些程式和技術手段，用來提高實現專案目標的機會和減少風險對實現專案目標的威脅。
2、輸入
①風險管理計劃；
②風險記錄
3、工具和技術
1、負面風險（威脅）的應對策略
①規避：風險規避就是透過變更專案計劃，從而消除風險或產生風險的條件，或者保護專案目標免受風險的影響。
②轉移：風險轉移是設法將某風險的結果連同對風險進行應對的權利轉移給第三方。轉移風險只是將管理風險的責任轉移給另一方。它不能消除風險。
③減輕：減輕是設法將某一負面風險事件的機率和/或其影響降低到一種可以承受的限度。
2、正面風險（威脅）的應對策略
①開拓 ②分享 ③強大
接受：意味著專案隊伍決定以不變的專案計劃去應對某一風險，或專案隊伍不能找到其它合適的風險應對策略。該策略可分為主動或被動方
式。最常見的主動接受風險的方式就是建立應急儲備，應對已知或潛在的未知威脅或機會。被動地接受風險則不要求採取任何行動，將其留
給專案團隊，待風險發生時相機處理。
3、同時適用威脅和機會的應對策略
4、輸出
①風險記錄（更新）
⊙已識別的風險及其描述，受影響的專案領域、風險成因以及如何影響專案目標；
⊙風險責任人及其職責；
⊙二級風險，即執行應對措施而引發的新風險；
⊙定性、定量的分析過程的結果；
⊙一致認同的應對策略
⊙應對策略執行後的殘留風險水平
⊙執行風險應對策略的預算和時間
⊙啟動應急計劃的觸發條件；
⊙應對策略所需的具體行動
⊙風險發生時的預警和訊號
⊙風險發生的回退計劃
②風險相關的合同協議
⊙需要的應急儲備量

六、風險監控
1、名稱及定義
在專案的整個生命期內，監視殘餘風險，識別新的風險，執行降低風險計劃，以及評價這些工作的有效性。
2、輸入
①專案管理計劃
②工作績效資訊
③批准的變更請求
3、工具和技術
①風險評估
②風險審計和定期的風險評審
③差異和趨勢分析
④技術績效評估
⑤預留管理
4、輸出
①建議的糾正措施
②變更申請
③風險記錄（更新）
④組織過程資產（更新）

------------------------------------------------------------------------------------------------------------------
1、風險的屬性
隨機性、相對性、可變性
2、面對風險的主觀承受能力

3、風險的分類
⑴按風險後果劃分
純粹風險：不能帶來機會，無獲得利益可能的風險。
（造成的損失是絕對損失，總是和威脅、損失、不幸相聯絡）
投機風險：既可能帶來機會，獲得利益，又隱含威脅，造成損失的風險。
純粹風險和投機風險在一定條件下可以相互轉化。專案管理人員應避免投機風險轉化為純粹風險。
⑵按風險來源劃分：自然風險、人為風險
⑶按風險是否可管理劃分 （風險可否管理，取決於風險不確定性是否可以消除）：可管理風險、不可管理風險
⑷按風險影響範圍劃分 ： 區域性風險、總體風險
⑸按風險後果的承擔者劃分：業主風險、政府風險、承包商風險等
⑹按風險的可預測性劃分
已 知 風險：能明確其經常發生的，一般已知風險發生機率高，但後果轉向輕微，不嚴重。
可預測風險：可以預測其發生，但不能預見後果。
不可測風險：不可預測其發生

4、風險的成本
風險損失的有形成本：直接成本、間接成本
風險損失的無形成本：風險損失減少機會、風險阻礙生產率的提高、風險造成資源分配不當
風險預防與控制費用
風險成本的負擔

5、風險管理與專案管理其他過程的關係
①從專案的成本、時間和質量目標來看，風險管理把各種風險造成不良後果減到最低程度，符合各方對時間與質量方面
的要求；
②風險管理透過風險分析，對專案範圍的不確定性進行識別、估計和評價，向專案範圍管理提出任務；
③從專案管理計劃職能來看，風險管理為專案計劃的制訂提出依據，為專案計劃的準確性和可行性提供幫助；
④從專案成本職能來看，風險管理難過風險分析指出相關意外費用，為應急費用提供依據，增強成本預算的準確性和現
實性，避免專案超支；
⑤風險管理在風險分析基礎上，擬定風險應對措施，並對風險實行有效控制；
⑥專案風險管理透過風險分析，指出哪些風險同人有關，專案團隊成員身心狀態會影響專案的實施。
6、完善的風險分析對專案的最大裨益
①透過風險分析，加深對專案風險認識與理解，澄清各方面利弊，瞭解風險對專案的影響，從而減少風險；
②透過各種資訊、資料和資料，明確專案相關的前提和假設；
③提高各種計劃的可信度，改善專案組的內部和外部溝通；
④編制應急計劃更有針對性；
⑤將風險後果的各種處理方式更靈活地組合起來，在專案管理中減少被動局面；
⑥充分利用機會，把握機會
⑦為日後工作提供反饋，防止和避免風險損失
⑧為制定應急計劃提供依據；
⑨為決策提供依據，減少風險，保證專案目標的實現；
⑩可積累有關風險資料和資料，以便改進將來的專案管理。
7、專案風險產生的來源
產品定位——與要建造或要修改的軟體的總體規劃相關的風險。
商業影響——與管理或市場所加諸的約束相關的風險。
客戶特性——與客戶的素質以及開發者和客戶定期通訊的能力相關的風險。
開發體系——與軟體過程被定義的程度以及它們被開發組織所遵守的程度相關的風險。
開發環境——與用以建造產品的工具的可用性及質量相關的風險。
開發技術——與待開發軟體的複雜性以及系統所包含技術的“新奇性”相關的風險。
團隊狀況——與參與工作的開發人員的總體素質及專案經驗相關的風險。
（希賽認為的主要風險來源：需求風險、技術風險、團隊風險、關鍵人員風險、預算風險、範圍風險）
8、硬體整合專案風險產生的原因
1、產品的日趨複雜性； 2、依賴多個廠家的支援和技術來源
3、採用產品組合和功能交叉的方法； 4、專案管理與企業戰略的緊密結合
5、產品更新週期的縮短； 6、滿足顧客需求
7、市場的激烈競爭； 8、參與者的利益不同
9、多方面專業技術的整合； 10、依賴更復雜的工具
9、主要軟體專案的風險
1、 專案規模風險 ； 2. 需求風險 ；3. 外部因素風險；4. 內部管理風險 ；5. 技術風險
10、軟體專案風險產生的原因
1、產品定位錯誤（包括市場定位） ； 2. 人員流動； 3. 專案管理失敗
4. 開發目標不明確或搖擺不定 5. 開發計劃執行受到嚴重影響； 6. 技術方案有缺陷
7. 專案經費超支或不足 8. 開發環境及過程管理混亂 9. 產品質量低劣 10.需求發生變化
11、軟體專案經常遇到的 15 種可預料的（包括已知的）風險及其預防措施
（1）合同風險
預防這種風險的辦法是專案建設之初專案經理就需要全面準確地瞭解合同各條款的內容、儘早和合同各方就模糊或不明確的條款簽訂補充協議。
（2）需求變更風險
預防這種風險的辦法是專案建設之初就和使用者書面約定好需求變更控制流程、記錄並歸檔使用者的需求變更申請。
（3）溝通不良風險
預防這種風險的辦法是專案建設之初就和專案各干係方約定好溝通的渠道和方式、專案建設過程中多和專案各干係方交流和溝通、注意培養和鍛鍊自身的溝通技巧。
（4）缺乏領導支援風險
預防這種風險的辦法是主動爭取領導對專案的重視、確保和領導的溝通渠道暢通、經常向領導彙報工作進展。
（5）進度風險
預防這種風險的辦法是分階段交付產品、增加專案監控的頻度和力度、多運用可行的辦法保證工作質量避免返工。
（6）質量風險
預防這種風險的辦法一般是經常和使用者交流工作成果、採用符合要求的開發流程、認真組織對產出物的檢查和評審、計劃和組織嚴格的獨立測試等。
（7）系統效能風險
預防這種風險的辦法一般是在進行專案開發之前先設計和搭建出系統的基礎架構並進行效能測試，確保架構符合效能指標後再進行後續工作。
（8）工具風險
預防這種風險的辦法一般是在專案的啟動階段就落實好各項工具的來源或可能的替代工具，在這些工具需要使用之前（一般需要提前一個月左右）跟蹤並落實工具的到位事宜。
（9）技術風險
預防這種風險的辦法是選用專案所必須的技術、在技術應用之前，針對相關人員開展好技術培訓工作。
（10）團隊成員能力和素質風險
預防這種風險的辦法是在用人之前先選對人、開展有針對性的培訓、將合適的人安排到合適的崗位上。
（11）團隊成員協作風險
預防這種風險的辦法是專案在建設之初專案經理就需要將專案目標、工作任務等和專案成員溝通清楚，採用公平、公正、公開的績效考評制度，倡導團結互助的工作風尚等。
（12）人員流動風險
預防這種風險的辦法是儘可能將專案的核心工作分派給多人（而不要集中在個別人身上）、加強同型別人才的培養和儲備。
（13）工作環境風險
預防這種風險的辦法是在專案建設之前就選擇和建設好適合專案特點和滿足專案成員期望的辦公環境、在專案的建設過程中不斷培育和調整出和諧的人文環境。
（14）系統執行環境風險
預防這種風險的辦法是和使用者簽定相關的協議、跟進系統整合部分的實施進度、及時提醒使用者等。
（15）分包商風險
預防這種風險的辦法一般是指定分包經理全程監控分包商活動、讓分包商採用經認可的開發流程、督促分包商及時提交和彙報工作成果、及時審計分包商工作成果等。
12、專案管理中蒙特卡羅模擬方法的一般步驟是：
蒙特卡羅模擬是一種有效的統計實驗計算，蒙特卡羅方法需要大量的實驗。實驗次數越多，所得到的結果才越精確。
蒙特卡羅方法實現了兩大優點：
一是簡單，省卻了繁複的數學報導和演算過程，使得一般人也能夠理解和掌握；
二是快速。簡單和快速，是蒙特卡羅方法在現代專案管理中獲得應用的技術基礎。
⑴對每一項活動，輸入最小、最大和最可能估計資料，併為其選擇一種合適的先驗分佈模型。
⑵計算機根據上述輸入，利用給定的某種規則，快速實施充分大量的隨機抽樣。
⑶對隨機抽樣的資料進行必要的數學計算，求出結果。
⑷對求出的結果進行統計學處理，求出最小值，最大值及數學期望值和單位標準偏差
⑸根據求出的統計學處理資料，讓計算機自動生成機率分佈曲線和累積機率曲線（通常是基於正態分佈的機率累積 S 曲線
⑹依據累積機率曲線進行專案風險分析
13、怎樣做好軟體專案風險計劃
風險計劃的要素有：
⑴風險描述 對於風險情況的介紹。
⑵可能性 風險發生的可能性。風險不是必然要發生的，如果一個對專案存在危害的事件是必然要發生的，那這個事件就不能作為風險。對於風險可能性的標識有助於對那些高可能性的風險投入更大的關注。
⑶嚴重性 風險如果發生對於專案的危害程度。
⑷危害值 一個綜合考慮可能性和嚴重型後對風險的一個評估，這個評估反應了風險應該被關注的程度。
⑸對策 對策分為兩個部分：一是對於採取預防措施以阻止風險的發生，另一方面也要考慮如果風險發生後需要採取什麼措施。這兩方面的計劃構成了完整的風險對策。
⑹觸發標誌 風險是一種可能性，並且制定風險主要的出發點是預防它，但也要考慮到風險發生後情況。對於風險發生後的應對策略，需要爭取一定的提前時間以啟動必要的各項工作，設立觸發標誌是為設立一個判別標識，在該觸發標誌所標明的條件具備時，說明風險已經越來越可能成為現實了。
⑺風險責任人 風險預防和跟蹤需要有人的參與，在風險計劃中責任明確是一個重要的原則，對每一個列入了視線的風險都要指定對風險預防和跟蹤負責的人員。
13、風險管理可以分為四個步驟：識別風險、衡量風險、管理風險、監控專案程式與狀態。
（1）風險識別：風險識別包括確定風險的來源，風險產生的條件，描述其風險特徵和確定哪些風險事件有可能影響本專案。風險識別不是一次就可以完成的事，應當在專案的自始至終定期進行。
（2）風險量化：涉及對風險及風險的相互作用的評估，是衡量風險機率和風險對專案目標影響程度的過程。風險量化的基本內容是確定那些事件需要制定應對措施。。
（3）風險應對計劃制定：針對風險量化的結果，為降低專案風險的負面效應制定風險應對策略和技術手段的過程。風險應對計劃依據風險管理計劃、風險排序、風險認知等依據，得出風險應對計劃、剩餘風險、次要風險以及為其它過程提供得依據。
（4）風險監控：涉及整個專案管理過程中的風險進行應對。該過程的輸出包括應對風險的糾正措施以及風險管理計劃的更新。
每個步驟所使用的工具和方法詳見表 ：
風險管理步驟
所使用的方法、工具
風險識別
頭腦風暴法、面談、Delphi法、核對表、SWOT技術
風險量化
風險因子計算、PERT估計、決策樹分析、風險模擬
風險應對計劃制定
迴避、遷移、緩和、接受
風險控制
核對表、定期專案評估、增值分析

專案風險管理過程：風險識別----&gt風險量化----&gt風險計劃----&gt風險監控----&gt風險識別……

--------------------------------------------------------------------------------------------
資訊系統安全風險的評估：
一、安全威脅的分類
風險型別

1、自然事件風險

2、人為事件風險
⑴意外的人為事件風險 ⑵有意的人為事件威脅
3、軟體系統風險
⑴相容風險；⑵維護風險；⑶使用風險
4、軟體過程風險
⑴軟體需求分析階段的風險； ⑵設計階段的風險；⑶實施階段的風險； ⑷維護階段的風險
5、專案管理風險
⑴應用軟體產品的不可預見性； ⑵軟體的生產過程不存在絕對正確；⑶資訊系統應用專案的獨特性；
6、應用風險
⑴安全性；⑵未授權訪問和改變資料；⑶未授權的遠端訪問；
⑷不精確的資訊；⑸錯誤或虛假的資訊輸入；⑹授權的終瑞使用者濫用；⑺不完整的處理；⑻重複資料管理；⑼不及時管理；⑽通訊系統失敗；⑾不充分的測試；⑿不充分的培訓；⒀不充分的支援；⒁不充分的文件
7、使用者使用風險
⑴不充分的使用資源；⑵不相容的系統；⑶冗餘系統；⑷無效的應用；⑸職責不分明；
⑹使用者開發可能會對開發階段的分析不全面； ⑺非授權訪問資料與程式；⑻侵犯版權；⑼病毒破壞資訊

二、專案管理的職責劃分
參與者
職責
專案經理
把握全域性，側重於專案的商務方面，負責專案組與客戶的正式交流；
專案負責人
制定專案開發計劃和策略，參與專案核心系統的分析設計；並保證開發計劃的按時按質完成；保證開發策略的貫徹實施；
行業專家
在軟體分析階段，幫助分析人員界定系統實現邊界和實現功能，對特定檢測點進行演算法稽核，同時對測試策略和軟體操作介面提出參考意見。
質量監督組
⊙編制軟體質量控制計劃，並負責落實；
⊙控制必要文件的生成，透過文件，監督專案實施過程中的軟體的質量；
並提供軟體進行報告，提請專案經理和專案負責人審閱；
⊙對於專案中出現的質量問題，主持召開質量複審會議。
系統分析員
⊙協同專案負責人進行系統分析和設計工作；
⊙編寫軟體需求分析和系統設計相關文件；
⊙在軟體實現階段，進行測試策略的編制和效能測試和指導；
程式設計師
⊙協助分析員進行詳細設計，負責軟體系統的程式碼實現；
⊙進行適當的白盒測試
測試員
⊙對軟體元件，構件或系統進行正確性驗證測試，進行系統效能測試等；
⊙書寫測試報告和測試統計報告，並提請質量監督組複審查；
技術支援
⊙協同系統分析員聽取使用者需求，對需求分析進行參考性複審。
⊙協同測試人員進行測試
⊙書寫操作手冊和線上幫助；
⊙在專案交付後進行跟蹤服務
文件組
⊙對各部門產生的文件進行格式規範、版本編號和控制、存檔檔案的檢索；
⊙協助質量監督組進行軟體質量監督；
⊙透過適當的人員配備和職責劃分，有效降低軟體開發的失控的可能性。
⊙設法降低對軟體對某些關鍵人員的依賴性；

三、資訊保安與安全風險關係示意圖