什么是风险管理？ - 软件工程 

软件工程中的风险管理被定义为识别、分析、排序和处理可能威胁软件工程项目成功的风险的过程。它是一系列为降低风险及其影响的可能性而采取的行动和策略，目的是实现既定的项目目标。风险管理的主要目的是控制风险的发生范围，并提高决策质量，因为它会考虑潜在的威胁，并将它们转化为战略性的关注点，防止其演变成严重的问题。

风险管理的重要性

• 项目成功：风险管理有助于在风险变得严重之前识别并处理它们，从而有助于使项目按时、按预算、按预期标准完成。
• 资源优化：风险管理使一些资源的有效利用，避免浪费，并将注意力集中在关键的项目方面。
• 利益相关者信心：前瞻性的风险管理是有效的。它可以增强利益相关者的信心，因为它强调交付可靠的产品。
• 适应性：风险管理有助于团队更好地为可能出现的任何场景变化和不便情况做好准备，从而使项目保持在正轨上并稳步前进。
• 成本控制：识别和管理风险以避免可能导致加班并从而超出项目预算的负面后果。

风险管理过程概述

软件工程中的风险管理过程通常包括以下步骤。

1. 风险识别：第一步是识别可能损害项目的风险。这包括使用头脑风暴、清单、历史数据分析和 SWOT 分析来识别风险。
2. 风险分析与评估：识别风险后，对其进行评估以了解其潜在后果和发生概率。此步骤可以是定性的，使用概率和影响矩阵等评估工具；也可以是定量的，使用蒙特卡洛模拟和决策树分析。
3. 风险排序：根据风险发生的可能性及其对业务的影响对风险评估结果进行排序。总而言之，高概率风险代表可能发生并需要立即关注的关键风险。
4. 风险应对规划：在此步骤中，管理策略包括采取措施来控制上述风险。
   • 规避：改变项目计划，以最大限度地降低风险。
   • 减轻：为降低威胁的可能性或严重程度而可采取的措施。
   • 转移：这创造了风险规避和风险转移的双重风险划分，通常是保险和外包的特点。
   • 接受：认识到可能发生不利事件，并制定在发生时减轻影响的计划。
5. 风险监控与控制：由于风险始终存在，风险管理必须在整个项目生命周期中进行监控。这意味着需要定期进行风险分析、风险审查和风险审计，以获得更新的风险管理计划，覆盖所有新出现的风险。
6. 风险沟通：为了在组织内管理风险，各部门之间必须进行良好的沟通。它保持在处理风险方面的开放性、为防止其发生而制定的计划措施以及它们状态的变化。

软件工程中的风险类型

1. 技术风险

技术风险与将要在软件开发中使用的技术选择、使用和方法相关。这些风险可能与技术选择、应用程序的复杂性以及性能问题有关。

技术变革

软件行业波动很大，新解决方案层出不穷。实施现代技术有时可能是有益的，但也有风险。新技术的集成可能出现问题，与某些新兴技术存在兼容性问题，以及在适应某些新技术或新兴技术时可能会出现培训问题。当程序员在项目中期更改当前的编程语言或框架时，程序员很可能会遇到新的、不熟悉的 bug，并可能需要时间来开发解决方案。

软件复杂性

软件系统正在被使用和运行，这意味着系统变得越来越庞大和复杂，从而增加了设计和实现系统的难度。高复杂性也可能使软件难以理解、测试和修改，并且可能导致缺陷增加。

性能问题

运营风险与软件提供所需性能特征的能力有关，包括响应时间、数量化吞吐量和可扩展性。负面影响用户，系统运行不稳定，无法为高负载提供必要的处理。

2. 项目管理风险

这是项目中的一种情况，源于围绕其规划、执行和控制进行的活动。在项目风险方面，有一点应该被理解：这些威胁会影响项目的进度，消耗资源，并增加费用。

进度延误

以下因素可能导致项目时间延长：新需求、风险和问题，以及某人管理能力的不足。由于此类延误，项目总有可能耗尽时间并超出计划成本，或者更糟糕的是，利益相关者可能会失去对项目经理的信心。

资源短缺

资源短缺可定义为项目所需的人力、财力或其他资源的不可用性。缺乏资源会减缓项目内的流程，影响其质量，并给项目团队成员带来压力。

预算超支

成本控制问题可概括为项目总成本超出计划或预期预算的情况，原因是估算错误、项目范围变更或发现需要资金的新活动。超支会使项目的财务可持续性面临风险，并导致客户或用户不满。

3. 组织风险

项目风险与实施软件项目的企业的运营和组织方面有关。这些风险可能源于冲突、管理层变动和重组等活动。

利益相关者冲突

批评意见也可能来自不同利益相关者在目标、目的或规格方面的冲突或意见分歧。这些争议可能导致特定项目的延期，成本高昂，以及缺乏预期的统一愿景。

管理层变动

领导层或核心管理层的不稳定会干扰项目的连续性，并扰乱各种决策建议。当管理层发生变化时，组织焦点和方向总会发生转变，目标也会改变，有时还会缺乏项目经验。

组织重组

转型是指公司内部正式结构、业务实践或策略可能发生的重大变化，并可能影响项目。重组的常见后果是资源重新分配、项目规模的改变以及工作关系的可能恶化。

4. 外部风险

外部风险影响组织外部的项目，并且项目团队不易受其影响。这些风险可能与公司运营所受到的法规变化、市场波动以及洪水等灾害有关。

法规变化

新的政策，无论是政府的、标准的、行为准则的还是其他的，都可能影响项目要求或约束。这需要对软件进行更改，新的合规活动以及成本。

市场波动

市场指数的波动，例如，萧条或市场变化会影响项目的可行性和成功率。这就是为什么许多因素会影响项目过程，包括例如市场变化可能导致特定项目的资金波动，以及其优先级或工作范围的变化。

自然灾害

地震、洪水或飓风可能会影响项目活动。灾难可能发生并影响进度和资产，并且可能需要更多的资金来恢复和维持业务。

风险识别

风险识别是软件工程风险管理过程中的一个步骤。它包括识别可能损害相关项目的风险。因此，风险识别使项目团队能够妥善处理问题，以免其恶化。

风险识别技术

1. 头脑风暴：风险识别是一个富有想象力的过程，组织在此过程中产生关于潜在威胁的想法。重新定义目标和目的是帮助项目成功的。促进跨领域对话和思想交流。一种概述所有可能风险的方法，而无需立即对每个风险进行评估和评估。安排已识别的风险以便进一步分类。头脑风暴有助于扩大现有和独特的知识和想法，从而找到尽可能多的最初可能不明显的风险。
2. 德尔菲法：德尔菲法由不透露身份的独立专家执行，他们提出可能的风险。选择具有不同经验和编码领域信息的人员。调查应分几个周期进行，在此期间，受访者有权提出威胁和提出建议。
3. 清单是预先设定的常见危险列表，这些危险可能会影响软件项目。它们依赖于历史事实和商业世界的标准实践。在检查详细风险列表时，反思所有提出的类别。
4. 历史数据分析：历史数据分析假设对过去已完成的工作进行调查，其中可能包含已发生的风险。项目生成的原始数据，包括风险日志和项目事后总结。评估先前风险的发生、后果和可能来源。查找特定性和规律性可能表明当前项目的风险。历史数据分析利用从过去事件中获得的信息，并帮助组织避免特定危险。
5. SWOT 分析：SWOT 分析评估公司内部能力和不足之处，以识别其商业环境中影响项目的机会和威胁。

风险识别工具

1. 风险分解结构 (RBS)：风险分解结构 (RBS) 指的是按类型分类的风险树状列表。评估风险的优先级并建立基本的风险类别（技术、项目、组织）。
2. 因果图：鱼骨图或石川图将潜在原因与其后果联系起来，并有助于轻松理解它们之间的关系。
3. 风险登记册：根据当前文献，风险登记册可以描述为已识别风险及其特征和应对措施的书面记录。

风险分析与评估

定性风险分析

1. 概率和影响矩阵

概率和影响矩阵是另一种基本但有效的工具，它根据概率和影响对风险进行排序。该矩阵通常包含一个图表，风险在此图表中被绘制出来。

• 概率：风险发生的可能性。这通常用刻度（低、中、高）表示。
• 影响：面对风险实际发生可能造成的后果。这通常也用刻度（微不足道、中等、重大）表示。

2. 风险紧急度评估

风险：风险紧急度评估涉及确定风险对项目的影响潜力和风险发生的时间。它有助于识别需要紧急关注的威胁，从而对其进行排序。

定量风险分析

1. 蒙特卡洛模拟

蒙特卡洛模拟是一种预测方法，它利用项目风险影响的定量分析。当设置不同的输入并进行多次模拟时，它会提供风险的概率视图。

• 定义变量：承认并描述项目（时间、成本、质量、资源等）的驱动因素。
• 分配概率分布：在此之后，可以使用记录或依赖于启发式方法为这些变量分配概率分布。
• 运行模拟：该方法是应用软件，这意味着可以运行数千次模拟，其中输入根据其分布随机变化。

2. 决策树分析

发现决策树分析是一种在风险条件下做出决策的图形技术。它包括创建各种决策树图、它们的后果以及结果的可能性和影响。

• 定义决策点：确定项目过程中可以做出的关键决策。
• 映射决策路径：我将为每个可能的决策和所有相应的后果创建分支。
• 分配概率：最后，可以估计每个可能结果的概率。
• 计算预期值：通过将可能性与结果的程度相乘来计算每个决策过程的预期价值。

3. 敏感性分析

敏感性分析分析了这些项目特性对结果的变化。它确定了影响项目风险最大的每个变量的脆弱程度和暴露水平。

• 识别变量：关键项目变量，例如项目成本和花费的时间。
• 更改变量：一次只对一个公平的条件进行系统性更改，而其他事务则不受影响。
• 衡量影响：分析这些变化对项目框架内实现结果的影响。
• 分析敏感性：确定哪些变量对项目风险的影响最大。

风险排序

因此，风险排序是风险管理策略的一部分，它有助于团队首先处理概率最高的风险。

风险排序方法

1. 风险暴露度公式

风险暴露度 (RE) 是通过风险暴露度公式数学计算得出的，它提供了风险暴露度的量化度量。它是风险事件的发生概率与风险事件对项目的影响的乘积。

• 发生概率：这是特定风险发生的近似概率，通常以百分比表示。
• 影响：结果表示风险发生时可能的损失或损害，有时以成本、时间或质量来描述。

2. 失效模式和影响分析或 FMEA

失效模式和影响分析 (FMEA) 是一个逐步识别系统中失效及其后果的过程。

• 识别失效模式：列出流程、产品或系统可能出现的所有故障场景。
• 确定影响：为了评估每种失效模式，应回答以下问题
• 分配严重性评级：将失效模式的影响按严重性等级分类。
• 分配发生率评级：也按比例估算所述失效模式的发生率。
• 分配检测评级：对每种失效模式在发生问题之前被有效预防的程度进行评级。
• 计算风险优先数 (RPN)：将严重性评级、发生频率和检测效率相乘，得出每种失效模式的 RPN。

优先级排序技术

帕累托分析

帕累托分析遵循帕累托原则（80/20 法则），使人们能够确定可能导致最多问题的少数重大风险。

• 列出风险：列出所有可能的风险也很重要。
• 量化影响：评估每种风险的影响。通常以成本、时间或事件发生的频率来表示。
• 排序风险：根据影响估计值以降序排列可能的风险。
• 累积影响：确定已识别风险的总影响。
• 识别主要风险：找出对项目影响最大的风险，并确定通常是造成约 80% 潜在损失的前 20% 的风险。

风险得分计算

风险得分计算根据概率和后果等特定因素得出多个风险得分。

• 定义标准：制定用于确定风险的指南，通常使用风险概率和严重性参数。
• 分配分数：为每个标准下的每个风险分配 1 到 5 的比例。
• 计算风险得分：对每个风险的分数进行平均/总计，得出其总风险得分。

风险应对规划

风险应对规划是识别可以提高项目目标实现可能性的措施，并应对可能阻碍项目成功的威胁的步骤。它需要评估哪些风险需要管理以及必须如何应对。

风险应对策略

• 规避：这需要修改项目计划以规避风险或风险的影响。它可以包括更改需求、改善沟通渠道或获取更多信息以规避风险。例如，特定项目可以采用数据备份和恢复方法以减少数据丢失的可能性。
• 减轻：减轻旨在降低风险的概率或其影响的严重性。这可以包括减少风险因素的影响或发生概率的实践。例如，团队可以整合其他系统并支持严格的维护计划，以避免此类系统故障。
• 转移：风险转移是风险应对策略之一，其中风险的后果被转移给第三方。这并不能消除风险，但可以确保另一家公司承担后果。这些包括购买保险、聘请第三方提供项目的某些功能，或在具有转移风险的合同条件下运营。
• 接受：它意味着理解情况的易变性，并在事情出错时选择接受它。当消除或减少的成本高于由此产生的后果时，通常会采用这种方法。例如，一个团队可能会同意接受次要产品功能中的小错误，因为这些错误并非首要问题，而修复它们的成本过高。

风险监控与控制

风险监控和控制是软件工程风险管理系统中的关键部分。它们确保已识别的风险不仅在 SDLC 的初始阶段和结束阶段，而且在整个过程中进行监控、评估和管理。由于其与传统方法的显著区别，它在维持项目目标、质量和时间考虑方面至关重要。

1. 持续风险监控

风险评估侧重于定期观察和评估可能影响特定软件项目的潜在风险。这是一种前瞻性方法，旨在确保组织中可能发生的所有风险从一开始就得到妥善处理。

• 风险跟踪：定期修改风险登记册，更新已识别风险的状态。
• 环境扫描：跟踪项目领域内可能发生的不利变化，这些变化可能对正在进行的工作构成新风险。
• 趋势分析：对风险进行评估，以识别未来可能出现的问题，并将它们与现有风险相适应。

2. 风险审计

风险审计是企业旨在评估特定项目范围内风险管理组织和效率的主动活动。

• 合规性检查：确保风险管理活动符合标准和政策。
• 有效性评估：评估风险应对措施的有效性和已实施风险管理策略的有效性。
• 改进建议：明确了制定建议和需要改进的流程领域。

3. 状态会议和审查

这种沟通形式还应包括有关风险管理职责的定期状态会议和审查。这些法定会议能够提供信息并确保所有利益相关者都得到通知。

• 进度报告：通报风险状态的变化以及为减轻风险而采取的行动的有效性。
• 利益相关者参与：向项目的重要利益相关者通报风险及其对项目的影响。
• 决策：基于当前的风险数据及其分析提供决策支持。

4. 风险重新评估

风险审查是定期检查风险登记册的过程，以便在新进入项目环境的风险或指示方面添加新记录或法令。这使得风险管理计划能够保持最新和高效。

• 定期审查：定期更新风险登记册，以纳入新风险并重新评估旧风险。

5. 绩效指标和 KPI

绩效指标用于评估风险管理效率，而关键绩效指标 (KPI) 是一种特定类型的绩效指标。它提供了量化数据，可用于衡量应对风险的有效性。

• 风险暴露度：估算已识别风险对项目的威胁或潜在损害。
• 风险减轻成功率：衡量成功减轻风险的原始发生率。
• 风险缓解时间：衡量处理和响应风险的平均天数。
• 风险管理成本：衡量已实施风险管理活动的投资回报。

风险管理工具和技术

风险管理软件

特别是，风险管理软件旨在在软件开发的任何阶段引入、评估和控制风险。

• RiskWatch：一些关键的风险评估功能包括实时数据以及工具系列中内置的强大风险管理工具和功能。
• Active Risk Manager (ARM)：领先地将风险管理流程集成到项目管理流程集成中。
• Palisade 的 DecisionTools Suite 具有风险评估和决策能力，例如蒙特卡洛模拟和风险概率。

具有风险管理方面的项目管理工具

如今，大多数 PMS 都具有内置的风险管理功能，该功能将此过程纳入整体 PM 框架。

• Microsoft Project：在全面的项目规划工具中集成了风险管理功能。
• JIRA：在所有可用工具中，JIRA 通常用于敏捷开发，它配备了风险跟踪功能，可用于管理项目和问题。
• Trello：它基于看板和卡片来处理任务和风险，并具有可扩展模块以实现最终增强的风险管理。

风险跟踪协作工具

信息技术改善了团队成员之间的沟通过程，并增强了对现有威胁和适当措施的理解。

• Slack：有频道和线程用于团队讨论，并可与风险管理工具集成。
• Confluence：一个开放访问平台，允许团队记录风险、报告更改并协作处理应对风险所需的措施。
• Microsoft Teams：它通过插入文档共享和项目管理选项来增强沟通和协作。

结论

软件工程中的风险管理涉及诸如特殊风险管理软件之类的工具，以及具有风险管理功能的项目管理工具等其他工具，以及用于跟踪风险的协作工具。这些工具有助于团队提前预防和解决风险，保证项目的成功实施并保持所开发软件的质量。