軟件項目風險管理研究

1、軟件項目風險管理研究內(nèi)容摘要隨著軟件產(chǎn)業(yè)的迅速發(fā)展，軟件的規(guī)模越來越大，復雜性也越來越高，風險變得更加難以控制，最終導致軟件項目失敗的結(jié)果越來越常見。如何對軟件項目風險因素進行分析并有效地規(guī)避風險，從而致使項目順利成功是進行軟件風險管理的主要課題之一。只有充分地理解和學習軟件風險管理的理論知識，同時在實踐中不斷地積累經(jīng)驗才能有效地進行風險防范和控制，達到減少風險的影響程度和實現(xiàn)利益最大化追求的目的。本文從分析國內(nèi)外軟件風險管理的發(fā)展現(xiàn)狀入手，詳細地按照軟件生命周期各階段將軟件項目風險進行分類，并總結(jié)對比分析了國外經(jīng)典軟件風險管理模型，同時介紹了軟件風險管理全過程，同時基于經(jīng)典軟件風險管理模型，

2、提出了改進的軟件風險管理模型和方法，并根據(jù)自身經(jīng)驗對如今國內(nèi)企業(yè)提出軟件風險管理一些建議和意見。關(guān)鍵詞項目管理；軟件風險；風險管理 1.研究背景隨著經(jīng)濟全球化的不斷深入，以信息技術(shù)為依托的知識經(jīng)濟初見端倪，各國都在實施信息化帶動工業(yè)化的發(fā)展戰(zhàn)略，軟件行業(yè)成為許多國家的支柱產(chǎn)業(yè)，軟件業(yè)的發(fā)展程度從某種意義上體現(xiàn)了該國的綜合國力，決定著國家未來的國際競爭地位。軟件是一種特殊的邏輯產(chǎn)品，不具備實體的可見性，它是人經(jīng)過智力勞動而產(chǎn)生出來、具有特殊性質(zhì)的復雜事物川。一些調(diào)查表明，約的軟件項目開發(fā)超出估計時間，大型項目平均超出交付時間，以上的軟件項目開發(fā)費用超出預算。軟件項目成功的幾率要遠遠低于其它任何工

3、程項目，軟件行業(yè)面臨著所謂的“軟件危機”。在軟件產(chǎn)品開發(fā)過程中存在著眾多不確定因素，這些因素使得軟件項目比其它工程項目具有更高的風險。從學科發(fā)展角度來看，軟件工程的形成得益于人們用工程化思想看待軟件產(chǎn)品的開發(fā)，軟件工程的產(chǎn)生又使得軟件項目管理學科應運而生。軟件項目管理的出現(xiàn)使所謂的“軟件危機”得到了一定程度的緩解和控制。項目管理的目標是在有限資源標注條件下，保證項目時間進度、質(zhì)量、成本達到最優(yōu)化。軟件項目管理的主要目標是確保軟件產(chǎn)品能夠按預期方案交付，同時還要滿足用戶需求。軟件項目風險管理的目的是要找出導致項目需求不明晰、不能按進度計劃及時交付、產(chǎn)品質(zhì)量存在缺陷、開發(fā)費用超支等各種不良后果的風

4、險因素，對風險因素及可能造成的后果和危害進行定性和定量分析，從而為軟件項目管理人員等提供有效的風險控制方案和措施，使其對軟件項目的損失或影響降到最低程度或使決策者可以接受的程度。因此，軟件項目風險管理是軟件項目管理的重要部分。軟件項目風險管理經(jīng)過近三十年發(fā)展，已從理論、方法乃至實踐都取得了一定進展。隨著軟件工程實踐深入和軟件企業(yè)的不斷成熟，軟件項目風險管理逐漸成為當前軟件工程領(lǐng)域研究的熱點問題，受到廣泛關(guān)注。2國內(nèi)外研究現(xiàn)狀2.1軟件項目風險管理理論框架模型研究情況美國學者Barry Boehm在1989年出版的著作軟件風險管理奠定了軟件項目風險管理的理論基礎。在隨后的時間里，隨著計算機技術(shù)和

5、軟件工程的的深入發(fā)展，軟件項目風險管理的發(fā)展逐漸趨于體系化。下面簡要介紹幾種軟件項目風險管理的理論框架模型。2.1.1Boehm和Charette的風險管理框架Boehm在其著作軟件風險管理中將軟件項目風險管理分為風險評估和風險控制兩大部分，其中風險評估又分為風險識別、風險分析和風險的優(yōu)先級排序，風險控制又分為風險管理計劃、風險解決和風險監(jiān)控。Boehm和Charette風險管理框架表如下：在此框架中，風險識別主要指出一個潛在破壞項目成功的風險列表，這個風險列表將作為風險控制的基礎。風險分析是指評估每個風險出現(xiàn)的可能性及其影響，判定風險的級別。風險優(yōu)先排序是指按風險影響大小排出一個風險優(yōu)先級。

6、風險控制是由風險管理計劃、風險化解和風險監(jiān)控組成。風險管理計劃是指制定一個應對每個重要風險的方案，同時應確保每一個單獨的風險管理計劃之間以及與整體項目計劃之間相一致。風險化解是指每個重要風險所對應計劃的執(zhí)行。風險監(jiān)控是指對解決風險的過程進行監(jiān)控，風險監(jiān)控還可以包括識別新的風險并將其反饋到正在進行的風險管理過程中。2.1.2Higuera和Haimes風險管理框架Higuera和Haimes提出的軟件項目風險管理框架是美國卡內(nèi)基·梅隆大學軟件工程研究所提出的風險管理理論體系的一部分。它將風險管理分為風險識別、分析、計劃、追蹤、控制五個步驟，風險管理方式是連續(xù)循環(huán)的，核心是風險交流，要求

7、在軟件項目生命周期所有階段都關(guān)注風險管理的各項活動，即所謂持續(xù)風險管理框架模型（CRM）。如下圖，持續(xù)風險管理框架模型。圖2 持續(xù)風險管理框架模型（Continuous Risk Management Paradigm）在各種軟件項目風險管理理論框架研究中，每一理論體系都具有結(jié)構(gòu)完整、內(nèi)容完善的特點，并附帶有與結(jié)構(gòu)和內(nèi)容相配套的方法和技術(shù)，它們借用運籌學、決策理論等思想、方法和工具，秉承了經(jīng)典風險管理理論體系的優(yōu)點，同時又體現(xiàn)了軟件項目的某些特點。這些研究成果對于奠定整個軟件項目風險管理學科的基礎起著非常重要的作用。3.軟件項目風險管理基本內(nèi)容3.1軟件項目風險管理定義軟件項目的風險管理更是軟

8、件項目管理中的重要內(nèi)容。大量的統(tǒng)計表明，實行有效的風險管理是軟件項目開發(fā)過程中減少損失的一種重要手段。軟件項目風險管理出現(xiàn)在上世紀年代末，到現(xiàn)在只有三十多年的歷程，在軟件項目風險管理領(lǐng)域中，人們多是借鑒于工程項目的管理方法來解決軟件項目開發(fā)中出現(xiàn)的風險問題，并且對于軟件項目的風險管理概念的理解是來自于其他工程項目的風險管理，并在其基礎上有所討論和改進。因此，軟件項目風險管理是指項目管理團隊通過風險識別、風險量化和風險控制，采用多種管理方法、技術(shù)和工具，對軟件項目所涉及的各種風險實施有效的控制和管理，采取主動行動，盡量使風險事件的有利后果帶來的機會最大，而使風險事件所帶來的不利后果威脅降到最低，

9、以最少的成本保證項目安全、可靠的實施，從而實現(xiàn)項目的總目標。3.2軟件項目風險的特點軟件項目管理的風險來自于軟件項目自身的特點：（1）軟件產(chǎn)品不可見。開發(fā)的進展以及軟件的質(zhì)量是否符合要求難于度量，從而使軟件的管理難于把握；（2）軟件的生產(chǎn)過程不存在絕對正確的過程形式。不同的軟件開發(fā)項目應當采用不同的或者說是有針對性的軟件開發(fā)過程，而真正合適的軟件開發(fā)過程是在軟件項目的開發(fā)完成才能明了的。因此項目開發(fā)之初只能根據(jù)項目的特點和開發(fā)經(jīng)驗進行選擇，并在開發(fā)過程中不斷的調(diào)整；（3）大型軟件項目往往是“一次性”的。以往的經(jīng)驗可以被借鑒的地方不多?；乇芎涂刂栖浖芾盹L險的惟一辦法就是設立監(jiān)督制度，進行有效的

10、風險監(jiān)控和管理。3.3軟件項目風險的分類 按照風險的內(nèi)容，可分為五個方面：（1）社會環(huán)境風險：國家政策、新技術(shù)發(fā)展、自然災害、國際形勢等。（2）技術(shù)風險：技術(shù)的復雜性、兼容性、承受性以及與其他項目的相關(guān)性等。（3）費用風險：成本預算準確性、任務要求明確性、進度和技術(shù)因素制約、合同類型和報價制約等。（4）進度風險：項目人員經(jīng)驗、進度因素制約、計劃合理性和資源充分性等。（5）管理風險：領(lǐng)導素質(zhì)、組織結(jié)構(gòu)、研發(fā)人員的素質(zhì)、各階段的協(xié)調(diào)溝通等。按風險性質(zhì)分類，可以分為三個方面：（1）己知風險，是通過仔細評估項目計劃、開發(fā)項目的商業(yè)及技術(shù)環(huán)境、以及其它可靠的信息來源（如不現(xiàn)實的交付時間，沒有需求或軟件范

11、圍的文檔、惡劣的開發(fā)環(huán)境）之后可以發(fā)現(xiàn)的那些風險。（2）可預測風險，能夠從過去項目的經(jīng)驗中推測出來（如人員調(diào)整，與客戶之間無法溝通，由于需要進行維護而使開發(fā)人員精力分散。）（3）不可預測風險，它們可能、也會真的出現(xiàn)，但很難事先識別出它們來。 一般來講，軟件項目過程是一個不斷識別風險、分析風險、計劃風險、監(jiān)控風險和應對風險的過程。一個大型軟件的開發(fā)大約存在30至40種風險。如果每種風險都需要3至7個風險管理步驟，那么風險管理本身就可以構(gòu)成軟件開發(fā)過程的一個子項目。一個好的風險管理過程體現(xiàn)了組織在風險管理上的知識和經(jīng)驗，這種知識和經(jīng)驗通過組織制定的過程規(guī)范得以確定，組織在風險管理基礎結(jié)構(gòu)上的投入，

12、往往也會獲得理想的回報。4軟件項目風險應對和監(jiān)控4.1軟件項目風險應對過程定義風險應對就是處置風險的過程。風險無法被完全避免，對于某些風險也無需完全避免。重要的是把風險置于人們的控制之下。風險應對活動主要有兩部分內(nèi)容事前、事中和事后。事前控制主要是降低風險發(fā)生的可能性，事后控制則主要是減小風險造成的損失。事中主要是對風險狀態(tài)的監(jiān)控，并隨著風險狀態(tài)的改變而做出不同的風險反映。風險應對模型如圖：圖3 風險應對過程定義（1）過程控制如同控制風險識別過程一樣，項目資源、項目需求和風險管理計劃同樣約束著風險應對過程。（2）過程輸入風險行動計劃是風險應對過程的輸入。它包括風險應對的目標、約束和決策，記錄了

13、選擇的途徑、需要的資源和批準權(quán)利。計劃提供了高層次的指導并允許達到目標過程中的靈活性。（3）過程輸出風險狀態(tài)、可接受的風險、減少的重復勞動、校正行動和問題防范是風險應對過程的輸出。風險狀態(tài)是對照風險行動計劃所取得或缺乏的進展。報告風險狀態(tài)，即是報告計劃的實施結(jié)果。可接受的風險意思是指你可接受風險后果，甚至是最糟糕的后果。當你在風險應對方面取得足夠進展時，項目狀態(tài)指標就會得以改進。當狀態(tài)指標回落到可接受范圍內(nèi)時，將觸發(fā)解除或延緩風險應活動。重復勞動是第一次做某事時沒有做對所付出的代價。通過減少重復勞動，不必再次工作，因為你第一次做對了沒有浪費時間。用節(jié)省的成本計算減少的重復勞動，需要將勞動成本翻

14、兩倍，再加上一般管理費用。校正行動是解決問題所需的活動之一。通過校正行動，可以找到問題的己知解決方案。使用這些過程找出大家普遍能接受的解決方案、然后執(zhí)行某些活動來解決問題。問題防范發(fā)生于避免問題時。避免了問題，便消除了問題將帶來的后果，它包括問題發(fā)現(xiàn)成本，重復勞動成本和機會成本。我們將問題定義為風險的發(fā)生，所以必須同時考慮風險發(fā)生的后果。用節(jié)省的成本計算問題防范，合計發(fā)現(xiàn)和解決問題的成本、重復勞動的成本、機會成本和風險發(fā)生的后果。（4）過程機制機制可以是方法、技巧、工具或其他為過程活動提供結(jié)構(gòu)的手段。風險應對技巧、風險應對工具和風險數(shù)據(jù)庫都是風險應對過程的機制。風險應對技巧是對風險應對細節(jié)有幫

15、助的方法。風險應對工具利用電腦使風險應對技巧自動化，如做原型和模擬。風險數(shù)據(jù)庫包含負責人的姓名和風險應對活動的結(jié)果，它還包含重要結(jié)果的完成日期。4.2軟件項目風險應對依據(jù)軟件風險應對的依據(jù)，是軟件風險分析過程的結(jié)果，主要包括以下兩個方面：（1）風險管理計劃，包括風險應對的目標、約束、決策、資源等。（2）風險登記清單，指風險分析的結(jié)果。4.3軟件項目風險應對活動根據(jù)風險分析的結(jié)果和風險管理成本對制定的項目實施計劃和方案進行風險評估，選擇風險收益比較小的方案，或按風險收益原則對原計劃方案進行修改。從而達到對風險的事前控制。風險管理對于復雜的軟件項目，還有一個重任務是，協(xié)調(diào)各管理過程間的關(guān)系。運用決

16、策理論選擇行動方案，對方案進行評估，使一方面的風險得到控制是否會引起其它風險。對不同方案的風險進行評估，選擇風險較小的方案。為風險應對方案做作出成本預算。對風險觸發(fā)事件做出反應，執(zhí)行風險行動計劃，報告風險行動計劃的執(zhí)行情況，結(jié)合風險應對的效果和風險管理成本對風險行動計劃進行修正。最后，軟件風險應對的輸出結(jié)果是，更新的風險登記冊、更新的項目管理計劃、與風險相關(guān)的合同協(xié)議。軟件風險應對的目標是風險得到有效的防范、風險指標回落到可接受范圍內(nèi)、校正風險行動計劃，積累風險經(jīng)驗。4.4軟件項目風險應對策略和方法 風險應對策略包括主動策略和被動策略，被動策略是指當風險不利結(jié)果發(fā)生后采取的，而主動策略是以預防

17、為主，如前文所說先識別出主要風險項，再制定出風險管理計劃，對風險進行化解和監(jiān)控。采取主動型風險應對策略主要包括四種方法避免、限制、減輕和監(jiān)控。（1）避免：通過制定風險管理計劃，重新規(guī)劃項目或者改變項目中的一些設計和計劃，使一些風險得到避免。（2）限制：對某些無法避免的風險進行約束和限制，使風險只影響到項目的一小部分，以至于不會影響到項目的總目標。（3）減輕：采取一些積極的措施，使得風險發(fā)生的時候不利結(jié)果降到最低。（4）監(jiān)控：建立風險監(jiān)控機制，密切監(jiān)控無法避免和控制的風險，防止其發(fā)生，當它們發(fā)生時立刻制定風險應急計劃。4.5軟件項目風險監(jiān)控 在項目生命期實施項目管理計劃包含的風險應對措施時，應持

18、續(xù)對項目工作進行監(jiān)督以尋找新風險和變化的風險。風險監(jiān)測與控制指識別、分析和規(guī)劃新生風險，追蹤己識別風險和“觀察清單”中的風險，重新分析現(xiàn)有風險，監(jiān)測應急計劃的觸發(fā)條件，監(jiān)測殘余風險，審查風險應對策略的實施并評估其效力的過程。風險監(jiān)測與控制過程所使用的技術(shù)包括變差和趨勢分析，要求使用項目實施過程中生成的績效數(shù)據(jù)。風險監(jiān)控可能涉及選擇替代對策、實施應急或備用計劃、采取糾正措施，或修改項目管理計劃。圖4 風險監(jiān)控過程定義（1）過程控制如同對風險識別的控制一樣項目資源、項目需求和風險管理計劃同樣約束著風險監(jiān)控過程。（2）過程輸入風險設想、閥值和風險狀態(tài)使風險跟蹤過程的輸入背景監(jiān)視那些將導致不如人意的結(jié)

19、果的事件和情況，以確定風險發(fā)生的可能性是否在增加閥值定義了風險發(fā)生的端倪。預先定義的值作為警告，表示需要發(fā)布通知，執(zhí)行行動計劃風險狀態(tài)在風險數(shù)據(jù)庫中捕捉實施風險行動的結(jié)果。（3）過程輸出度量、度量規(guī)格和觸發(fā)器是風險跟蹤過程的輸出。度量確定大小、數(shù)量或容量如用代編行數(shù)來度量軟件的大小。度量規(guī)格是復合的度量如軟件產(chǎn)量度量規(guī)格是每天行編碼，它是在計劃中非常有用的指南或控制規(guī)則。觸發(fā)器是啟動、解除或延緩活動的裝置如觸發(fā)器啟動風險行動計劃。（4）過程機制機制可以是使過程活動結(jié)構(gòu)化的方法、技巧、工具或其他手段。風險監(jiān)控技巧、風險監(jiān)控工具和風險數(shù)據(jù)庫是風險監(jiān)控過程的機制。風險監(jiān)控技巧是協(xié)助監(jiān)視不同時間風險狀

20、態(tài)的度量和度量規(guī)格。風險監(jiān)控工具將使監(jiān)控過程自動化。風險數(shù)據(jù)庫包括度量、度量規(guī)格和觸發(fā)器。4.6軟件項目風險監(jiān)控活動風險監(jiān)控活動包括兩個方面風險跟蹤和風險控制。風險跟蹤是負責監(jiān)視和緩解風險的人獲得、編輯和匯報風險狀態(tài)信息的過程它對有效地實施風險行動計劃是十分重要的。風險跟蹤的內(nèi)容包括監(jiān)控風險狀態(tài)和采取措施改善風險。在具體的跟蹤操作中，風險團隊收集有關(guān)風險如何變化的信息，用來支持將在下一步控制過程中采取的決策和操作。需要監(jiān)測的三個主要變化是觸發(fā)器值風險的條件、結(jié)果、概率和影響緩解計劃的進展。根據(jù)風險跟蹤的進展情況，還要編寫風險狀態(tài)報告，其目的是傳達風險狀態(tài)的變化及報告緩解計劃的進展，以便對風險進

21、行及時控制，從而降低風險己經(jīng)造成的損失或者避免可能造成的損失。風險控制是決策者分析跟蹤報告中的數(shù)據(jù)、制定決策并實施決策的過程。風險控制接收風險跟蹤活動提供的反饋信息風險狀態(tài)報告，對比風險管理計劃和風險行動計劃、風險糾正、風險識別、風險分析和風險計劃活動中的偏差。風險控制活動包括分析、決定和執(zhí)行。風險控制融入項目管理并依賴于項目管理的過程來控制風險。此外，風險控制的各項活動對有效通訊的依賴性非常強，只有保證團隊成員之間的通訊及時有效，控制步驟才能有效。5軟件項目風險管理方法的改進本文結(jié)合風險識別過程依據(jù)按照軟件生命周期將軟件項目劃分為具體的三個階段，即項目的立項階段、項目的實施階段和項目的調(diào)試階

22、段，并對各階段的風險識別工作做出詳細描述。項目的三個階段如圖一所示，風險識別伴隨著整個過程，當項目完成一個階段的工作時，順利進入下一階段并進行下一階段的風險識別工作，如果項目在某一階段遇到問題，則需要再次識別風險，甚至返回到前一階段或前兩個階段進行風險識別。圖5 軟件項目三階段（1）項目立項階段風險識別首先從產(chǎn)品內(nèi)容和業(yè)主方情況兩個方面對項目特征進行分析，不同的項目具有不同的特征，只有充分了解項目特征才能識別出項目的特定風險。產(chǎn)品內(nèi)容方面需要了解軟件產(chǎn)品的需求功能、質(zhì)量要求和市場價格業(yè)主方情況方面需要了解企業(yè)特征、企業(yè)結(jié)構(gòu)等等。其次，對項目資源進行預算，包括開發(fā)人才、組織管理人才、資金、設備等

23、，并將預算和實際情況進行比較，從而發(fā)現(xiàn)潛在問題。最后，對項目成本和時間進行估算，將項目成本和時間同軟件價格和項目期限進行比較，預估項目的成本和進度風險。項目立項階段的風險識別實際上就是對項目的初步可行性分析，這一階段發(fā)現(xiàn)的問題解決成本最小，同時可以依據(jù)初步可行性分析進行該項目的風險管理總計劃，從而指導下一步的工作。（2）項目實施階段和調(diào)試階段的識別風險識別在整個軟件項目過程中伴隨項目生命周期持續(xù)不斷發(fā)生。進入軟件項目的實施階段以后，根據(jù)風險因子識別法的思想，可以從四個方面，即成本、進度、需求和資源，對項目風險進行識別。應用軟件項目的風險主要體現(xiàn)在成本、進度、需求和資源這四個方面，同時這四方面風

24、險的管理涉及到了項目管理的九大知識領(lǐng)域，因此將這四個方面確定為四個風險因素，通過對這四個風險的綜合分析和評價，可以反映項目的總體風險水平，從而實現(xiàn)對項目進行整體把握。每個風險因素有多個風險因子，一個風險因子也可以與多個風險因素相聯(lián)，每個風險因子都能對相對應的風險因素產(chǎn)生影響。風險因子又可以分為兩個不同的類型一般性風險因子和項目特定的風險因子。一般性風險因子的定義體現(xiàn)了應用軟件項目風險識別中的共性的東西，描述出項目風險的主要方面和重要特征。項目特定風險因子由特殊項目環(huán)境決定，只有對當前項目的技術(shù)、人員及環(huán)境非常了解才能識別出來。6軟件項目風險管理改進策略風險管理對于軟件企業(yè)來說關(guān)系到企業(yè)的生存發(fā)

25、展，應該上升到組織的高度。企業(yè)文化是企業(yè)的核心，在企業(yè)文化的指引下確立適合企業(yè)發(fā)展的企業(yè)戰(zhàn)略目標。風險管理應該是領(lǐng)導帶頭、全員參與、持續(xù)改進的，因此，企業(yè)可通過如下幾個方面來加以改進。（1）建立規(guī)范風險管理的企業(yè)文化。企業(yè)文化是組織成員共有的價值和信念體系，這一體系在很大程度上決定了組織成員的行為方式。企業(yè)應當建立起規(guī)范風險管理的企業(yè)文化，讓所有員工認識到風險管理是項目管理不可或缺的有機部分并貫穿于整個項目的始終。（2）建立支持有效風險管理的組織結(jié)構(gòu)。企業(yè)高層管理人員的支持與重視是進行有效風險管理的先決條件，企業(yè)各級管理人員不僅要有強烈的風險管理意識，而且要積極參與到風險管理中去。建立起以企業(yè)

26、高級管理人員負責的風險管理組織架構(gòu)，制定風險管理過程、確定風險管理工具以及管理監(jiān)控風險，維護風險管理工具庫。（3）建立有效風險管理過程。風險管理過程包括風險識別、風險分析、風險計劃、執(zhí)行計劃、跟蹤控制、評比更新和培訓等幾個活動。有效的風險管理過程應是學習型的、持續(xù)的和不斷進化的。軟件企業(yè)應建立自己的風險管理數(shù)據(jù)工具庫以作為風險管理過程的基礎，并在實施中不斷地更新與完善。風險管理過程的學習性主要體現(xiàn)在培訓活動上，培訓的內(nèi)容包括風險管理技術(shù)以及工具的使用，培訓可以取材于風險管理數(shù)據(jù)工具庫，使風險管理過程不斷地從歷史經(jīng)驗中學習過程的各個活動構(gòu)成了循環(huán)，貫穿于項目始終，以保證風險管理過程的持續(xù)性過程中的每個活動在循環(huán)中都和數(shù)據(jù)庫進行交互，不斷采集并更新數(shù)據(jù)，在各個活動的循環(huán)中不斷加以改進。（4）其他。a.授權(quán)。企業(yè)的管理者要勇于授權(quán)、敢于放權(quán)。制訂各級、各類人員的風險管理責任制，明確