管理風險
風險暗指實際的結果可能會與希望的結果有所差異 (有時可能會有大幅的差異)。 這些實際與希望結果之間的差異發生的機率以及差異的程度,都包含在「風險」這個名詞裡。當您管理風險時,要有策略地將您所要結果與實際結果之間的差異降到最小。
能夠識別、分類、分析與管理風險的這種組織能力是達成 Standard CMMI Appraisal Method for Process Improvement (SCAMPI) 評價第 3 級的必要條件。 如需 CMMI 的詳細資訊,請參閱 CMMI 的背景。
藉由管理這些事件驅動的風險,便能對管理在專案、系列產品和組織等不同層級的風險之整體目標,有重大的貢獻。 良好的事件驅動風險管理,能夠達到讓所有專案關係人都滿意的結果,且與原本希望的結果僅有少量脫離。 它可以達成「沒有意外」的預期!
定義風險
如此思考風險有時被稱為事件驅動風險模式。 這暗指風險的清單即是潛在未來事件的清單。 每一項風險都說明某個可能在未來發生的事件。 它可能包含一些關於事件發生機率的資訊。 它應該包含發生此事件時對專案計劃會造成何種衝擊的描述。 它也可能包含如何減少發生機率的方式,以及降低發生衝擊的方式等等的描述。 它也可能包含在發生事件之後,建議的復原形式。
請針對識別出的每一項風險,在 Team 專案中建立風險工作項目。
風險工作項目
CMMI 中的「風險管理 (RSKM)」流程區域著重於這些事件相關風險的管理。 MSF for CMMI Process Improvement 及 Visual Studio Team Foundation Server 則藉由提供風險工作項目類型使這項工作更容易。 您可以使用風險工作項目類型,定義並追蹤風險的清單。 它提供欄位來說明風險與發生的機率, 它也針對為了減少發生機率可採取的動作、降低衝擊以及發生時實作復原的應變計劃等,提供相關的欄位。
初始的專案風險應該在專案計劃期間識別。 在每個專案反覆項目開始的反覆項目規劃時,都應該重新檢視風險清單。
風險的工作項目表單會將資料儲存在如下圖所示的欄位中:
選取要採取的動作
在您建立風險清單,且充分經過分析之後,便可以決定如果要採取動作,則是將採取哪些動作來管理這些風險。 是否有任何動作是您現在想要採取或是描述在反覆項目計劃中,且這些動作將會減少風險發生的機率? 是否有任何動作是您現在想要採取或是描述在反覆項目計劃中,且這些動作可降低風險發生的衝擊? 採取動作減少或降低風險,需要花費時間和資源。 這必須與利用那些資源與可用的時間來推動專案工作到其成為可用軟體之間相權衡。 請在風險的 [降低] 索引標籤上,記錄下您計劃的風險減少和降低動作。
當您決定何時採取行動來減少機率或是降低風險的衝擊時,必須考慮專案的整體風險設定檔。 如果風險設定檔表示「無法接受任何生命損失」,則任何可能導致生命損失的風險都必須受到管理,且必須計劃並採取可減少風險發生機率及降低風險衝擊的動作。
您應該確定,風險是根據專案治理限制來進行管理,且與在可用時間和預算內,達成所有加值工作遞送的需要之間有適當的平衡。
如果選取風險以進行機率的減少或是衝擊的降低,請規劃這項活動,將它分解成工作的工作項目並且每個都連結到風險工作項目。
監視風險
應該定期視專案風險。
請使用風險查詢來監視風險。 掃描清單上的每個使用中風險,並考慮發生機率是否已增加、潛在衝擊是否已變更,以及任何能降低風險衝擊的事件是否被觸發。 如果發現某個風險的資訊有重大變更,請更新工作項目。 此外,也請考慮是否需要採取進一步的動作,來減少風險或是降低其衝擊。
專案的目前風險狀態應該要進行溝通。 報表應該包含任何最近發現之風險、任何進行中之可減少風險發生機率或降低風險衝擊的動作,以及會導致之前風險評估改變的狀態變更等項目的資訊。
建立應變計劃
對於已定義復原動作的風險,應該建立計劃,以便實作發生事件時的應變計劃。 例如,如果有伺服器可能故障的風險,而應變計劃是從另一個部門借用硬體,則您應該要有一份計劃,以便在伺服器故障時執行此動作。 事先建立計劃可以減少事件發生時協調上的困難。 較高成熟度的組織,若是對風險管理有較強的能力,則會建立應變計劃,並知道如何執行而不會對其他專案活動造成重大衝擊。 成熟度較低的組織在試圖從意外事件復原時,則會遭遇困難與混亂。 追求 SCAMPI 評價第 3 級的組織應該有書面的證明,可以顯示他們已建立應變計劃,並且在適當時已遵循此應變計劃。
將應變計劃分解成一系列的工作或是待採取動作。 評估每項工作。 建立排程和指派人員的建議清單。 說明執行應變計劃所需要的所有資源。
在 [應變計劃] 索引標籤上,將應變計劃加入風險工作項目,或是將計劃加入成附件。