第6讲风险管理

合集下载

谈风险管理原则

谈风险管理原则谈风险管理原则概述古人讲：祸兮，福之所倚；福兮，祸之所伏。

任何事，都处于“变”与“不变”之间，“变”是绝对的，“不变”是相对的。

“变”是不确定的，风险就是不确定性对目标的影响。

由于现代社会活动甚为复杂，在人类活动中，不确定因素如影随形，每个人及各行各业每天都必须面对各种不同的风险。

就企业来讲，所有类型和规模的组织，都面临内部和外部的、使组织不能确定是否及何时实现其目标的因素的影响。

如：企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、变更管理、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等，这些活动实施都存在不确定的因素，由此可能出现在特定条件下给定区间内实际结果与期望结果之间可能的负差异。

风险管理就是运用系统的、流程化的框架，通过识别、分析、评价风险以及处理风险，将其风险控制在可承受的范围内。

风险的特性可概括为：客观性——“失控的变化”；风险是波动的结果（系统波动、环境波动；正常波动；异常波动）；风险发生的根本原因在于“变”；损益性——可能带来收益或损失，通常具有危害。

偶然性——可能发生，可能不发生；随机发生；可变性——多种因素作用的结果；因素的时空变化导致风险动态变化；非结构性——人们对风险根源及其复杂的作用机制认识的有限性；可控性——通过监测和预防，可以减少或增加发生的可能性，降低或扩大危害。

风险管理就是指导和控制某一组织与风险相关问题的协调活动。

风险管理通常包括风险评估、风险处理、风险承受和风险沟通。

风险管理目标就是消除和减少不确定性（波动），改进系统以应对变化。

什么是风险管理原则ISO31000:2009提供了风险管理的原则和通用性指南，风险管理原则是ISO31000标准的重要内容。

风险管理系统像质量管理系统一样，ISO31000建立了一些为使风险管理变得有效而需要满足的原则。

风险管理原则是以管理原理为依据考虑管理者、管理对象、管理环境及管理任务的要求而制定出来的进行管理活动应遵循的准则。

汇丰银行的风险管理讲义

汇丰银行的风险管理讲义一、风险管理的概述风险管理是指通过识别、评估和应对各类风险，以保护汇丰银行的利益和稳定运营的过程。

风险管理涉及到对市场风险、信用风险、操作风险、法律风险和声誉风险等多种类型的风险进行全面管理和控制。

二、汇丰银行的风险管理体系汇丰银行建立了完善的风险管理体系，包括风险管理政策、组织结构、流程和工具等方面的安排。

在风险管理体系中，汇丰银行注重风险的识别和评估，同时制定相应的风险管理策略和控制措施。

2.1 风险管理政策汇丰银行的风险管理政策明确了风险管理的目标、原则、策略和责任分配等方面的要求。

风险管理政策是风险管理体系中的基础，为全行业务的风险管理提供了指导和依据。

2.2 风险管理组织结构汇丰银行设立了风险管理部门，负责统筹协调全行的风险管理工作。

风险管理部门负责制定和推动实施风险管理策略，并与各业务线合作，确保风险得到有效管理。

2.3 风险管理流程汇丰银行的风险管理流程包括风险识别、风险评估、风险监控和风险应对等环节。

风险识别是指通过分析市场环境、业务数据等信息，识别出潜在的风险因素；风险评估是指对风险进行量化和评估，确定其程度和可能对银行的影响；风险监控是指对风险发展的监测和跟踪，及时发现异常情况；风险应对是指针对已发生的风险，采取相应的控制和应对措施。

2.4 风险管理工具汇丰银行应用各类风险管理工具进行风险管理，包括风险评估模型、风险指标体系、风险报告和风险控制措施等。

风险评估模型用于对风险进行量化和评估；风险指标体系用于监测和评估风险状况；风险报告用于向管理层和监管部门通报风险状况；风险控制措施用于控制和减少风险的发生和扩大。

三、汇丰银行的市场风险管理市场风险是汇丰银行面临的主要风险之一，主要包括利率风险、汇率风险、股票价格风险等。

汇丰银行采取了一系列的措施进行市场风险管理，确保市场风险在可控范围内。

3.1 利率风险管理汇丰银行通过建立利率风险管理策略和流程，对利率风险进行有效管理。

风险管理课程讲解

发现或者调查风险源认知风险源预见危害重视风险暴露
风险源
案例：教材58页
1.概念
是指那些可能导致风险后果的因素或条件的来源
2.分类
客观风险源：自然环境、人为环境（社会环境、政治环境、经济环境、法律环境、操作环境）
主观风险源
三、风险识别的方法
风险损失清单法现场调查法财务报表法流程图法事故树法
正常期望损失：风险管理单位在正常的风险防范措施下遭受损失的期望值
可能的最大损失：风险管理单位在某些风险防范措施出现故障的情况下，可能遭受的最大损失
最大可能损失：风险管理单位在最不利的条件下，可能遭受的最大损失额
五、风险评价的方法
风险度评价法检查表评价法优良可劣评价法单项评价法
风险损失清单不是识别风险的万能方法，不可能概括风险管理单位面临的特殊风险
风险损失清单只考虑了纯粹风险，没有考虑投机风险
2.现场调查法
现场调查法是指风险管理部门、保险公司、有关咨询机构等方面的工作人员，就风险管理单位或可能面临的损失，进行详尽的调查，并出具调查报告书。
优点
可以获得风险管理单位从事活动的现场调查资料
事故树法简单、形象、逻辑性强，应用广泛
举例
经试验发现，泵失效的概率为0.5次/年，过度输入的概率是1.5次/年，安全阀失效的概率为-410-4
箱体爆炸的概率如果更换泵，新泵失效率为0.25次/年，箱
体爆炸的概率如果更换阀门，新阀失效率1*10-6，箱体爆
炸的概率
缺点
事故树法的绘制需要专门的技术采用事故树法识别风险的管理成本比较高相关概率的准确程度直接影响着估测的结果

金融 - 风险管理(中国人民大学)

Frank Hyneman Knight (18851972)
5
二、与风险相关的几个基本概念
1、风险因素－－指引起风险事故发生变化的因素，即引起风险事故发生的潜在条件。风险因素包括实质、道德和心理等三类。 2、风险事故－－又称风险事件，指在风险管理中直接或的间接造成损失的事件。 3、损失－－指非计划、非预期、非故意的经济价值的减少。损失是风险事故的结果，包括直接损失和间接损失；直接损失即实质性损失，间接损失包括额外费用损失、收入损失和责任损失。 4、风险的测量角度－－包括风险的数量、风险的质量。风险的数量是指可能损失的风险，一般通过评级机构来进行判断；风险的质量是指损失的可能性,通过量化客户违约的可能性和确定弥补违约的资
过去。里森对这段时期的描述为：“对于没有人
来制止我的这件事，我觉得不可思议。伦敦的人
应该知道我的数字都是假造的，这些人都应该知
道我每天向伦敦总部要求的现金是不对的，但他
们仍旧支付这些钱”。
里森以每天1000万英镑的速度从伦敦获得资金，告知伦敦总部这些资金是用于客户业务支持，而非用于自营交易活动。鉴于从集团其他地方流入新加坡分行的资金从1月19日的2亿英镑增长到2月 23日的7.5亿英镑，伦敦的审计师曾经对新加坡分行的这一表述持怀疑态度。
研究不确定性的数学－概率论
直到现在为止，研究不确定性的最主要的数学学科是概率论 (其他还有：模糊数学、混沌理论、集值分析、微分包含等)。
风险＝不确定性？
4
《风险、不确定性与利润》(1921)
Knight 不承认“风险=不确定性”，提出“风险” 是有概率分布的随机性，而“不确定性”是不可能有概率分布的随机性。 Knight 的观点并未被普遍接受。但是这一观点成为研究方法上的区别。

风险治理：完善与提升国家公共安全管理的基石

从公共管理的角度来看，共安全管理可以公被认为是嘲：府制定公共政策，其他公共组织政与
一
步形成，包括军队系统应急体系建设和对地方这
的支援进一步加强；分发挥专家在应急管理充
去。时，功的应急管理工作不能仅限于动员整个社会资源有效地应对 “ ４ ” “ 险 ” 而是同成事－和风ｑ－，
要站在 “ 理 ” 战略高度，合多方力量，公共治理结构等更基础的层面改善和确保整个社治的整从会在常规和非常规状态下的稳定运４－因此，来国家的应急管理工作应当在完善全过程应急５。未管理的基础上，分提升风险管理工作的战略高度，使朝着风险、急与危机管理并重的整合充促应
——１—源自囊董ｉ
。。
量
ｉ
≤ 量≤
＿
江苏社会科学
一
魏嚣靛瓣谢
０
ｊ第期ｌ鼍年ｌ０２锄Ｄ嗍年
的地位最重要。这与抗击ＳＳ前我国主要采取ＡＲ “ 部门为主，合协调不足 ” 模式相比，现以综的呈出常设性、合性和专业性的特点翻，有了很大综且进步，也为推动应急管理工作奠定了组织基础。

风险管理的监督与改进--注册会计师辅导《公司战略与风险管理》第五章讲义6

正保远程教育旗下品牌网站美国纽交所上市公司(NYSE:DL)
中华会计网校会计人的网上家园
注册会计师考试辅导《公司战略与风险管理》第五章讲义6
风险管理的监督与改进
五、风险管理的监督与改进
企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

以重大风险、重大事件和重大决策、重要管理及业务流程为重点
【企业各有关部门和业务单位】。

风险管理框架下的内部控制--注册会计师辅导《公司战略与风险管理》第六章讲义1

正保远程教育旗下品牌网站美国纽交所上市公司(NYSE:DL)
中华会计网校会计人的网上家园
注册会计师考试辅导《公司战略与风险管理》第六章讲义1
风险管理框架下的内部控制
考情分析
主要考点（难点或重点）
内部控制基本规范（目标、原则、五要素）
内部控制应用指引（18项）
内部控制评价与审计
审计委员会公司治理原则
第一节内部控制与风险管理的关系
本节主要内容简介：
企业内部控制理论的演变与发展
内部控制与风险管理的关系
有控则强，失控则弱；
无控则乱，不控则败；
一、企业内部控制理论的演变与发展（了解）
（一）内部“牵制”阶段20世纪40年代之前。

第6讲-MBS与ABS-PPT课程

• Largest Sector of the U.S. Debt Market:
– Aggregate current principal amount outstanding mortgage loans is over $4.9 trillion as compared to about $3.3 trillion of government securities and $4.4 trillion of Corporate bonds.
受托机构未能在支付日后10个工作日内或在有控制权的资产支持证券持有人大会允许的宽限期内对当时应偿付但尚未清偿的最优先级别的资产支持证券付息的但只要存在尚未清偿的级别最高的优先级资产支持证券由于信托没有足够资金而未能支付其他低级别优先级资产支持证券利息和次级资产支持证券收益不应构成违约事件
讨论的问题
– 2/28，即前2年固定利率（一般很低），2年后开始每半年以市场利率为基础重置
– ARM按揭大大增加了参与按揭贷款的人数
• 一般提前还款要付罚款
– 有些罚款高达剩余按揭本金的80%
• 次级贷款的违约风险高
• 按揭贷款利率一般要大于同期的国债收益率，这个利差反映：
– 无法通过担保消除的违约风险 – 较低的流动性 – 现金流分配的不确定性
上例子的等本还款
月月初本金余额月付款额利息
本金月末本金余额
1
600,000.00 4,666.66 3,000.00 1,666.66 598,333.34
2
598,333.34 4,658.34 2,991.66 1,666.66 596,666.66
3
596,666.66 4,650.00 2,983.34 1,666.66 595,000.00

发展战略--注册会计师辅导《公司战略与风险管理》第六章讲义6

正保远程教育旗下品牌网站美国纽交所上市公司(NYSE:DL)中华会计网校会计人的网上家园注册会计师考试辅导《公司战略与风险管理》第六章讲义6发展战略二、发展战略《企业内部控制应用指引第2号——发展战略》所称发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。

什么都可以出错，战略不能出错；什么都可以失败，战略不能失败。

（一）制定与实施发展战略需关注的主要风险（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

（二）内部控制要求与措施1.发展战略的制定（1）企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。

（2）企业应当根据发展目标制定战略规划。

（3）企业应当在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。

（4）董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。

企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。

2.发展战略的实施（1）发展战略的分解（年度工作计划，全面预算）（2）发展战略的宣传（发展战略及其分解落实情况传递到内部各管理层级和全体员工）（3）监控——战略委员会（4）调整——按照规定权限和程序三、人力资源《企业内部控制应用指引第3号——人力资源》所称人力资源，是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。

政治路线确定之后，干部就是决定的因素——毛泽东（一）人力资源管理需关注的主要风险（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。

——企业决策层和执行层的高管人员（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。

时代光华课程：企业内部控制与风险管理+试题答案

课程考试已完成，现在进入下一步制订改进计划！本次考试你获得 6.0 学分！得分: 100学习课程：学习课程：企业内部控制与风险管理单选题1.企业建立内部控制体系的基础是： 1.企业建立内部控制体系的基础是：企业建立内部控制体系的基础是 1. A 2. B 3. C 4. D 风险管理职业道德目标管理法律法规回答：回答：正确回答：回答：正确年代，内部控制制度被划分为： 2.20 世纪 70 年代，内部控制制度被划分为： 1. A 2. B 3. C 4. D 程序控制和环境控制程序控制和会计控制管理控制和会计控制管理控制和环境控制回答：回答：正确3.单位内部审计的三大目标是： 3.单位内部审计的三大目标是：单位内部审计的三大目标是 1. A 2. B 3. C 4. D工程安全、资金安全和干部安全工程安全、财务安全和干部安全工程安全、资金安全和财务安全财务安全、资金安全和干部安全回答：回答：正确4.属于环境的风险的是： 4.属于环境的风险的是：属于环境的风险的是 1. A 2. B 3. C 4. D经营操作、政治变化、法律监管、市场的变化股东关系、政治变化、法律监管、市场的变化股东关系、经营操作、法律监管、市场的变化股东关系、政治变化、法律监管、经营操作回答：回答：正确5.作为企业来讲，获得效益和现金的过程就叫做： 5.作为企业来讲，获得效益和现金的过程就叫做：作为企业来讲 1. A 2. B 3. C 4. D 引领模式盈利模式经营模式财务管理模式6.部门管理说的是在企业管理里面，部门处于： 6.部门管理说的是在企业管理里面，部门处于：部门管理说的是在企业管理里面 1. A 2. B 3. C 4. D 决策阶段和层次执行阶段和层次管理阶段和层次操作阶段和层次回答：回答：正确7.企业对风险管理进行监控的方法是： 7.企业对风险管理进行监控的方法是：企业对风险管理进行监控的方法是 1. A 2. B 3. C 4. D 持续监控持续监控和个别评估个别评估有效沟通回答：回答：正确8.在企业初创阶段，对企业产生致命影响甚至是毁灭性打击的是： 8.在企业初创阶段，对企业产生致命影响甚至是毁灭性打击的是：在企业初创阶段 1. A 2. B 销售渠道管理回答：回答：正确3. C 4. D产品竞争回答：回答：正确9.内部控制的主体是： 9.内部控制的主体是：内部控制的主体是 1. A 2. B 3. C 4. D 财务部企业部门的集合审计部管理层回答：回答：正确10.规范企业的会计制度操作的是： 10.规范企业的会计制度操作的是：规范企业的会计制度操作的是 1. A 2. B 3. C 4. D 职业道德法律法规企业制度高层领导11.一个企业干不干，一个项目干不干，一个产业干不干，需要考虑的意见是： 11.一个企业干不干，一个项目干不干，一个产业干不干，需要考虑的意见是：一个企业干不干 1. A 2. B 3. C 4. D 不熟悉不干、不激励不干不熟悉不干、不考核不干不考核不干、不激励不干不熟悉不干、不考核不干、不激励不干回答：回答：正确12.在企业战略和业务的操作环节之间起到承上启下作用和功能的是： 12.在企业战略和业务的操作环节之间起到承上启下作用和功能的是：在企业战略和业务的操作环节之间起到承上启下作用和功能的是 1. A 2. B 3. C 4. D 员工发展内部控制制定的目标法人治理风险管理回答：回答：正确回答：回答：正确13.企业内部控制的第五大体系，叫做： 13.企业内部控制的第五大体系，叫做：企业内部控制的第五大体系 1. A 2. B 3. C 4. D 政治对策体系风险对策体系资金对策体系财务对策体系回答：回答：正确14.组合风险观是： 14.组合风险观是：组合风险观是 1. A 2. B 3. C 4. D相对于部门的目标和风险容忍度而言的相对于部门的措施和风险容忍度而言的相对于部门的目标和风险规避能力而言的相对于部门的措施和风险规避能力而言的回答：回答：正确15.企业的成本管理要从： 15.企业的成本管理要从： 1. A 2. B 3. C 4. D从董事会抓起从总经理抓起从总工程师、总设计师抓起从财务总监抓起企业内部控制与风险管理第一讲企业内部控制概述 ................................................................................................... 4 第二讲企业内部控制的功能和机制 ................................................................................. 10 第三讲内部控制的要素 ..................................................................................................... 12 内控要素一：内控环境 ......................................................................................................... 15 第四讲内部控制环境的要素 ............................................................................................. 17 内控要素二：内控目标与风险评估 ..................................................................................... 22 第五讲企业内部控制的目标制定（上） ......................................................................... 22 第六讲企业内部控制的目标制定（下） ......................................................................... 26 第七讲风险评估................................................................................................................. 30 第八讲风险反应................................................................................................................. 34 第九讲内部控制活动（上） ............................................................................................. 37 内控要素三：控制活动 ......................................................................................................... 38 第十讲内部控制活动（下） ............................................................................................. 41 内控要素四：信息与沟通 ..................................................................................................... 43 第十一讲内部控制的信息沟通与监控 ............................................................................. 43 内控要素五：监控................................................................................................................. 45 第十二讲内部控制活动的实施及其局限性 ..................................................................... 48 ★课程意义 ——为什么要学习本课程？（学习本课程的必要性） ——为什么要学习本课程？（学习本课程的必要性）为什么要学习本课程？（学习本课程的必要性 ☆ 如何看待企业在发展过程中效率与安全的矛盾；制度有时为何成为发展的绊脚石；为什么有健全制度仍然出现问题；保证制度有效性的主要责任在谁；如何辨别企业、业务、部门的风险；部门与企业发展战略如何切实连接；怎样确保制度的有效贯彻和执行；生产、采购、销售、投资、应收账款的管理如何全面布局；基于财务的内控体系如何构建。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

图6－3 风险与管理
27
风险预测
• 参照图6－3，从管理关注的角度来看，风险的影响和发生的概率是截然不同的。一个具有高影响但发生概率很低的风险因素不应该耗费太多的管理时间。而高影响且发生概率为中到高的风险、以及低影响且高概率的风险，应该首先列入随后的风险分析步骤中。
• 所有在中截线之上的风险都必须进行管理。标有RMMM的列中包含了一个指示器，指向为所有中截线之上的风险所建立的风险缓解、监测及管理计划（Risk Mitigation，Monitoring and Management Plan， RMMM计划）或一组风险信息表单。
5
基本概念
对于软件工程领域中的，Charette的三个概念定义是显而易见的。 • 未来是我们所关心的——什么样的风险会导致软件项目彻底失败呢？ • 改变也是我们所关心的——用户需求、开发技术、目标计算机、以及所有其他与项目相关的因素的改变将会对按时交付和总体成功产生什么影响呢？ • 最后，我们必须抓住选择机会——我们应该采用什么方法及工具？需要多少人员参与工作？对质量的要求要达到什么程度才是“足够的”？按照以往项目的历史数据进行详细的估算。确定项目的估算工作量和工期。
• 在本讲的其余部分，将讨论风险管理的主动策略。
10
软件风险
虽然对于软件风险的严格定义还存在很多争议，但一般认为软件风险包含两个特性［Hig95］：不确定性（uncertainty）。风险可能发生也可能不发生；即，没有100％会发生的风险（100％发生的风险是加在项目上的约束）。损失（loss）。如果风险发生，就会产生恶性后果或损失。
20
图6－1指出了由于未识别出的软件失误而产生的潜在影响（标号为1的行），或没有达到预期的结果所产生的潜在影响（标号为2的行）。影响类别的选择是以最符合表中描述的特征为基础的。
图6－1 影响评估
风险预测
• 风险预测（risk projection），又称风险估计（risk estimation），试图从两个方面评估每一个风险：（1）风险发生的可能性或概率，（2）如果风险发生，风险相关问题产生的后果。
Software Project Management
第6 讲风险管理
主讲：张纲强
主要内容
风险策略软件风险风险求精风险识别
风险预测
RMMM计划
风险缓解、监测和管理
基本概念
•
• •
很多问题都会困扰软件项目，风险分析和风险管理就辅助软件团队理解和管理不确定事物的活动。
风险是潜在的－它可能发生也可能不发生。但是不管发生还是不发生，都应该去识别它，评估它发生的概率，估算它的影响，并制定它实际发生时的应急计划。风险管理的步骤：（1）风险识别，即辨识出什么情况下可能会出问题。（2）分析每个风险，确定其可能发生的概率以及发生时将带来的危害。了解这些信息之后，就可以按照可能发生的概率和危害程序对风险进行排序。（3）制定一个计划来管理那些发生概率高和危害程度大的风险。
6
基本概念
• Peter Drucker［DRU75］曾经说过： “当没有办法消除风险，甚至连试图降低该风险也存在疑问时，这些风险就是真正的风险了”。 • 在我们能够标识出软件项目中的“真正风险”之前，识别出所有对管理者及开发者而言均为明显的风险是很重要的。ctive risk strategies）被戏称为“印地安那· 琼斯学派的风险管理” ［Tho92］。印地安那· 琼斯在以其名字为影片名的电影中，每当面临无法克服的困难时，总是一成不变地说：“不要担心，我会想出办法来的！”。印地安那· 琼斯从不担心任何问题，直到风险发生，再做出英雄式的反应。 • 大多数软件项目团队还是仅仅依赖于被动的风险策略。被动策略最多不过是针对可能发生的风险来监测项目，直到风险发生时，才会拨出资源来处理它们。 • 大多数情况下，软件项目团队对于风险不闻不问，直到出现了问题。这时，项目团队才赶紧采取行动，试图迅速地纠正错误。这常常被称为“救火模式”（firefighting mode）。当这样的努力失败后，“危机管理”［Cha92］接管一切，这时项目已经处于真正的危机中了。
•
工作产品：风险缓解、监测和管理（risk mitigation,monitoring and management,RMMM）计划或一组风险信息表单
4
基本概念
• Robert Charette［CHA89］在他的关于风险分析及管理的书中给出了风险概念的定义是：首先，风险涉及的是未来将要发生的事情。今天和昨天已不再被关心，如同我们已经在收获由我们过去的行为所播下的种子。问题是：我们是否能够通过改变我们今天的行为，而为一个不同的、充满希望的、更美好的明天创造机会。其次，风险涉及改变，如思想、观念、行为、或地点的改变……第三，风险涉及选择，而选择本身就具有不确定性。因此，就象死亡和税收一样，风险是生活中最不确定的元素之一。
一般性风险（generic risk）对每一个软件项目而言都是一个潜在的威胁。产品特定的风险（product-specific risk）只有那些对当前项目特定的技术、人员及环境非常了解的人才能识别出来。为了识别产品特定的风险，必须检查项目计划及软件范围说明，然后回答这个问题：“本产品中有什么特殊的特性可能会威胁到我们的项目计划？”
• 在第三列中填入各个风险发生的概率。每个风险的概率值可以由团队成员各自估算，然后按循环投票的方式进行，直到大家对风险概率的评估值趋于接近为止。
• 下一步是评估每个风险所产生的影响。使用图6-1所示的特性评估每个风险因素，并确定其影响的类别。将4个风险因素——性能、支持、成本、及进度——的影响类别求平均可得到一个整体的影响值（如果某个风险因素对项目来说比较重要，可以使用加权平均法）。
(4)由于重点的转移或人员的变动而失去了高级管理层的支持(管理风险)；
(5)没有得到预算或人员的保证(预算风险)。应该注意到的很重要的一点是：简单的分类并不总是行得通。某些风险根本无法事先预测。
风险识别
• 风险识别试图系统化地指出对项目计划（估算、进度、资源分配等）的威胁。识别出已知的和可预测的风险后，项目管理者首先要做的是：在可能时避免这些风险，在必要时控制这些风险。 • 上一小节提出的每一类风险又可以分为两个不同的类型：一般性风险和产品特定的风险。
风险条目检查表可以采用不同的方式来组织。与上述每个主题相关的问题针对每一个软件项目来回答。有了这些问题的答案，项目管理者就可以估计风险产生的影响。也可以采用另一个不同的风险条目检查表，即仅仅列出与每一个常见子类型有关的特性。最终，给出一组“风险因素和驱动因子”［AFC88］以及它们发生的概率。
9
风险策略
• 对于风险管理，更好的是主动风险策略。 • 主动（proactive）风险策略早在技术工作开始之前就已经启动了。标识出潜在的风险，评估它们出现的概率及产生的影响，并按其重要性进行排序。 • 然后，软件项目团队就可以制定一个计划来管理风险。计划的主要目标是回避风险，但因为不是所有的风险都能够回避，所以，项目团队必须制定一个应急计划，使其在必要时能够以可控和有效的方式作出反应。
13
软件风险
• 不同类型的风险
商业风险（business risk）威胁到要开发软件的生存能力，且常常会危害到项目或产品。五个主要的商业风险是：
(1)开发了一个没有人真正需要的优秀产品或系统(市场风险)； (2)开发的产品不再符合公司的整体商业策略(策略风险)； (3)开发了一个销售部门不知道如何去销售的产品（销售风险）；
• 过程定义——与软件过程定义的程度以及该过程被开发组织遵守的程度相关的风险 • 开发环境——与用来开发产品的工具的可用性及质量相关的风险。 • 开发技术——与待开发软件的复杂性及系统所包含技术的“新奇性”相关的风险。 • 人员数目及经验——与软件工程师的总体技术水平及项目经验相关的风险。
17
风险识别
16
风险识别
识别风险的一种方法是建立风险条目检查表。该检查表可以用于识别风险，并且主要用来识别下列几种类型中的一些已知的及可预测的风险： • 产品规模——与要开发或要修改的软件的总体规模相关的风险。 • 商业影响——与管理者或市场所施加的约束相关的风险。
• 客户特性——与客户的素质以及开发者和客户定期沟通的能力相关的风险。
23
风险预测
• 项目计划人员，其他管理人员和技术人员都要进行以下4步风险预测活动：（1）建立一个尺度，以反映风险发生的可能性；（2）描述风险产生的后果；（3）估算风险对项目及产品的影响；（4）标明风险预测的整体精确度，以免产生误解。
• 按此步骤进行风险预测，目的是使我们可以按照优先级来考虑风险。任何软件团队都不可能以两样的严格程序来为每个可能的风险分配资源，通过将风险按优先级排序，软件团队可以把资源分配给那些具有最大影响的风险。
技术风险（technical risk）威胁到要开发软件的质量及交付时间。如果技术风险发生，开发工作可能变得很困难或根本不可能。技术风险指设计、实现、接口、验证和维护等方面的问题。此外，规格说明的歧义性、技术的不确定性、陈旧的技术以及“前沿”技术也是技术风险因素。技术风险的发生是因为问题比我们所设想的更加难以解决。
24
风险预测
• 风险表给项目管理者提供了一种简单的风险预测方法（风险表可以采用电子表格模式来实现，使表中的条目易于操作和排序）。
图6－2 排序前的风险表样本
25
风险预测
• 项目管理者首先要在表中的第一列列出所有风险(不管多么细微)。这可以利用风险条目检查表来完成。
• 在第二列中给出每一个风险的类型（如，PS指产品规模风险，BU指商业风险）。
18
风险识别
下面的提问来源于对世界各地有经验的软件项目管理人员的调查而得到的风险资料，根据各个问题对项目成功的相对重要性将问题进行了排序： 1. 高层的软件管理者和客户管理者已经正式承诺支持该项目了吗？ 2. 最终用户对项目和待开发的系统或产品热心支持吗？ 3. 软件工程团队及其客户充分理解需求了吗？ 4. 客户已经完全地参与到需求定义中了吗？ 5. 最终用户的期望现实吗？ 6. 项目范围稳定吗？ 7. 软件工程团队的技能搭配合理吗？ 8. 项目需求稳定吗 9. 项目团队对将实现的技术有经验吗？ 10. 项目团队的人员数量满足项目需要吗？ 11. 所有的客户或用户对项目的重要性和待开发的系统或产品的需求有共识吗？如果对这些问题的任何一个回答是否定的，则应务必启动缓解、监测和管理风险的步骤。项目的风险程度与对这些问题否定回答的数量成正比。 19