风险管理规范

风险管理规范

集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）

风险管理规范

目录

1概述

本文件规定了风险的识别、评估、应对减缓和跟踪等一系列过程，用于指导产品/项目的风险管理。

风险管理的目的是对潜在的问题进行识别，从而能有计划的避免或减少风险的影响或发生概率，增强产品/项目对风险的预测与应对能力。

本规范适用于所有产品和项目，贯穿产品的立项启动到发布结束的整个过程和项目的整个生命周期；主要体现在产品/项目计划和跟踪过程中。

2术语、定义和说明

1)风险：是指潜在的预算、进度、人力、资源、客户、技术等各方面的

问题，即所有可能危害产品/项目的因素。风险分为内在风险及外在风险。内在风险指产品/项目组能加以控制和影响的风险，如人事任免和成本估计等。外在风险指超出产品/项目组的控制力和影响力之外的风险，如市场转向或政府行为等。

2)风险识别：是标识风险的过程，它包含识别那些可能造成影响的风险

和记录具体风险的各方面特征（包括风险发生的标志性事件等）。3)减缓措施：减缓措施的目标是减少风险发生的机会或使风险无效。该

措施自然拥有较高的优先级，并将成为计划中的一项活动。

4)应急措施：风险发生后采取的措施叫应急措施。应急措施必须在风险

产生重大的损失前触发；风险发生后，应急措施自然被启动。

3角色及职责

4风险管理过程

4.1风险识别

产品/项目经理组织相关人员参考《公司风险列表》识别本产品/项目的风险，记录于《风险跟踪表》中。

风险识别应尽早进行，同时它不是一次性的行为，应贯穿整个产品/项目过程中。

在产品/项目启动时，首次对产品/项目的风险进行识别，在制定计划时要对识别出的风险进行风险评估处理，列出主要风险及其风险减缓应对措施等。

4.2风险评估

产品/项目经理组织相关人员评估已识别风险的可能性、严重性和优先级，并记录于《风险跟踪表》中。

风险可能性指风险发生的几率；风险严重性指风险会造成的危害

程度。

风险的可能性和严重性采用3级模型表示，即3－高，2－中，1

－低。

风险的优先级=可能性×严重性。

表1 风险可能性等级

参数等级值描述

风险可能

性高3

发生概率0.7~1.0，风险非常有可能发生，

甚至几乎是肯定的

中2发生概率0.3~0.7，风险有可能发生

低1发生概率0~0.3，风险发生的几率极小

表2 风险严重性等级

参数等级值描述

风险严重

性高3

造成严重进度延误、费用超支等，客户将非常不

满；

进度延误大于30%，或者费用超支大于30%等

中2

影响某些进度、预算等，客户会有不满意；

进度延误15%~30%，或者费用超支15%~30%等

低1

轻微影响某些进度、预算等，客户意识到影响，

可能略微不满意；

进度延误低于15%，或者费用超支低于15%等

4.3风险处理

产品/项目经理组织相关人员根据评估后的风险明确减缓策略，制定降低风险发生概率或者减轻风险对项目影响的减缓措施，指定该风险责任人，记录于《风险跟踪表》中。风险责任人负责执行减缓措施。

对于产品/项目不具备控制能力且风险优先级很高，或者实施减缓风险策略代价过高等的风险，产品/项目经理必须事先决定风险发生时需要采取的应急措施，记录于《风险跟踪表》中。

风险可采用以下方式处理：

制定减缓措施，例如让其他方（客户、厂商、银行、其他主体等）

承担该风险；

制定应急措施，需考虑的主要内容有：

1)应急措施的可能效果；

2)应急措施的技术可行性；

3)所需资源的分配。

常见的应急措施有：

1)进度缓冲机制；

2)人员备用计划；

3)设备备用计划等其他资源计划。

4.4风险跟踪管理

产品/项目实施过程中由产品/项目经理进行风险跟踪管理活动，维护更新《风险跟踪表》；在阶段结束、里程碑等时间点，根据风险的优先级，定期或不定期的对风险进行重新评估。

风险跟踪管理的主要活动有：

1)重新检查风险，严密监控关键的风险标志，查看变更内容；

2)坚持确保风险减缓措施的执行；

3)关注已发生的风险采取应急措施进行处理的情况，分析造成的后果或损失；

4)排除已完全消除的风险；

5)识别可导致或增加风险的事件；

6)评估处理最近发现的新风险；

7)重新评估风险优先级。

4.5风险评审

产品/项目计划首次评审时，产品/项目风险必须一起评审，评审过程详见《评审规范》。

4.6风险总结

产品发布结束后，产品经理负责统计风险数据，进行风险总结，记录于产品开发总结报告中。

项目结束后，项目经理负责统计风险数据，进行风险总结，记录于项目总结报告中。

风险总结可包含以下内容：

对风险数据的统计，主要为：风险可能性、严重性，已发生风险占

总数的比例，风险总数；

总结风险处理的经验教训，如：

对发生的风险分析原因和应急措施的有效性，总结其造成的后

果或损失；

减缓应急措施是否按计划进行，对未按计划执行的情况分析总

结；

分析减缓应急措施的合理性、有效性等，提出改进建议；

对未预测而发生的问题进行总结；

列出建议纳入《公司风险列表》的新风险。

4.7公司风险列表

质量保证部经理组织收集产品/项目的风险，以此为依据对《公司风险列表》进行更新和维护。

5相关文件及表格

5.1

5.2